• XSS.stack #1 – первый литературный журнал от юзеров форума

Инсталлы на андроид через QR - реально ли?

Отслеживать
Bezenchuk

Bezenchuk

ripper
КИДАЛА
Регистрация
28.10.2023
Сообщения
52
Реакции
1
Пожалуйста, обратите внимание, что пользователь заблокирован
Коллеги, давно не даёт покоя идея фарма инсталлов через сканирование QR кода жертвами ИРЛ. Насколько реально получать успешно инсталлы, с помощью заманчивого QR кода в правильных местах IRL? Каковы подводные камни? Насколько сложно организовать полный цикл от скана QR до инсталла apk?
 
На дрова не знаю но ведро давно шлют, если мне конечно память не изменяет если взять прямую ссылку с почты гугля на apk то файл автоматом ставился, работает это сейчас или нет не скажу.

MobilePhish

Phishing mobile devices, with DeviceCode phishing and QR codes As protections for endpoints (Laptops, Virtual-Desktops, …) are getting better and sometimes really tough to bypass, it might be time to move along. One of the next weaker devices might be mobile ones, in that case smartphones. Imho...
badoption.eu
 
Пожалуйста, обратите внимание, что пользователь заблокирован
xrahitel сказал(а):
На дрова не знаю но ведро давно шлют, если мне конечно память не изменяет если взять прямую ссылку с почты гугля на apk то файл автоматом ставился, работает это сейчас или нет не скажу.

MobilePhish

Phishing mobile devices, with DeviceCode phishing and QR codes As protections for endpoints (Laptops, Virtual-Desktops, …) are getting better and sometimes really tough to bypass, it might be time to move along. One of the next weaker devices might be mobile ones, in that case smartphones. Imho...
badoption.eu
Спаcибо за линк, бро. Прочитал статью, но там несколько иной вектор атаки для получения доступа к Azure/Microsoft 360 с помощью фиша с QR внутри.
Моя задумка несколько иная, размещать физически заманчивые QR коды в местах нереста жирного мамонта. Чтобы они сами сканили QR и становились участниками ботнета.
Какой-либо боевой пэйлоад засунуть в QR не представляется возможным. Поэтому вопрос, как сделать максимально эффективной и скрытной установку apk. Ну и прошу оценить задумку в целом вместе с её подводными камнями.

P.S. Могу перевести указанную статью для комьюнити, если кто-то готов символически вознаградить за труды.
 
Bezenchuk сказал(а):
Спаcибо за линк, бро. Прочитал статью, но там несколько иной вектор атаки для получения доступа к Azure/Microsoft 360 с помощью фиша с QR внутри.
Моя задумка несколько иная, размещать физически заманчивые QR коды в местах нереста жирного мамонта. Чтобы они сами сканили QR и становились участниками ботнета.
Какой-либо боевой пэйлоад засунуть в QR не представляется возможным. Поэтому вопрос, как сделать максимально эффективной и скрытной установку apk. Ну и прошу оценить задумку в целом вместе с её подводными камнями.

P.S. Могу перевести указанную статью для комьюнити, если кто-то готов символически вознаградить за труды.
Надо наоборот каким то образом убедить установить апк как мне кажется. Скрытно вряд ли выйдет.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
tugarinzmey сказал(а):
Надо наоборот каким то образом убедить установить апк как мне кажется. Скрытно вряд ли выйдет.
Убеждать установить апк будет сопутствующая заманчивая инфа на стикерах. Тут вопрос в том, как минимизировать количество операций жертвы от скана QR кода до установки апк.
 
Bezenchuk сказал(а):
Спаcибо за линк, бро. Прочитал статью, но там несколько иной вектор атаки для получения доступа к Azure/Microsoft 360 с помощью фиша с QR внутри.
Моя задумка несколько иная, размещать физически заманчивые QR коды в местах нереста жирного мамонта. Чтобы они сами сканили QR и становились участниками ботнета.
Какой-либо боевой пэйлоад засунуть в QR не представляется возможным. Поэтому вопрос, как сделать максимально эффективной и скрытной установку apk. Ну и прошу оценить задумку в целом вместе с её подводными камнями.

P.S. Могу перевести указанную статью для комьюнити, если кто-то готов символически вознаградить за труды.
копай в сторону чайны, там эта тема распространена

количество инцидентов исчесляется тысячами, если не сотнями тысяч жертв

в крупных городах поднебесной развита инфра с куарами везде, от ресторанов, до собственных подъездов, где вход в дом по qr, крч копай туда


также по аналогии с чайной, предварительно необходимо подумать насчет гео, где также технологии интегрированы ирл для дефолт граждан
 
Bezenchuk сказал(а):
размещать физически заманчивые QR коды в местах нереста жирного мамонта. Чтобы они сами сканили QR и становились участниками ботнета.
Какой-либо боевой пэйлоад засунуть в QR не представляется возможным. Поэтому вопрос, как сделать максимально эффективной и скрытной установку apk.
АПК у тебя в любом случае попросит "доступы". поэтому, думаю, что просто QR не будет работать так, как тебе нужно.
его лучше использовать под определенную контору. отсканируй/залогинся, чтобы при скане вводил лог пасс. с инжектами потом голову ебать не придется.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх