Повышение квалификации экспертов МВД, Воронежский институт МВД России

13 февраля 2016 г.

В рамках учебного занятия по тематике исследования компьютерных носителей в Воронежском институте МВД с экспертами ЭКЦ с демонстрацией возможностей комплекса "Forensic Toolkit" был проведена экспертиза по факту хищения денежных средств с банковской карты физического лица через СМС-переводы.

В рамках занятия был извлечен физический дамп из мобильного устройства LG GSM P715 Optimus L7 II Dual, работающего под управлением ОС Андроид, с помощью метода ADB. Данный дамп с помощью модуля BitDefender, входящего в состав программного средства «UFED Physical Analyzer», был проанализирован на наличие в нем приложений потенциально вредоносного характера. В результате сканирования были выявлены 4 файла, 3 из которых находились в папке «Downloads» (Загрзуки), а один - в папке «app», что говорит о том, что он был установлен и запускался. Получения физический дамп мобильного телефона был загружен в программное средство «Forensic Toolkit», в котором он был декодирован до уровня файловой системы.

В ходе распаковки контейнерных файлов (архивов) были получены распакованные APK-приложения, помеченные на шаге 1 как вредоносные, при анализе которых выявлены следующие признаки их противоправности (каталоги, содержащие HTML-страницы , предназначенные для хищения номеров банковских карт и реквизитов их владельца, посредством создания поддельных страниц авторизации ресурсов «Сбербанк Онлайн» и «Google Play»; элементы JavaScript в исходном коде страниц, предназначенные для проверки валидности пластиковых карт и отправки реквизитов на Интернет-адрес, формируемый при исполнении отдельных программных кодов).

В ходе декомпиляции также был получен исходный код вредоносного APK-приложения (в формате *.dex), который для удобства анализа был преобразован в программный код Java. Полученный исходный код был загружен на Интернет-ресурс Anubis для проведения динамического анализа, в ходе которого подтвердилось вредоносное предназначение данного APK-приложения (получение административных прав с помощью подмены интерфейса мессенджера WhatsApp, создание/отправка/чтение СМС-сообщений, запуск/прекращение процессов и приложений, чтение записей календаря, записной книжки, сетевая активность, получение/передача данных через сеть Интернет, перехват системных событий, автозапуск после перезагрузки устройства).

В заключении была выявлена сетевая активность в виде приема и передачи зашифрованной информации по порту 443 (SSL) на ресурсы, принадлежащие компании Google, а также IP-адреса, находящиеся за пределами РФ. Экспертиза подтверждает возможность комплексного использования криминалистических инструментов для исследования мобильных устройств на предмет выявления вредоносного ПО как средствами мобильной криминалистики, так и компьютерной.