malware Банкбот Anubis 2

[InstallsWithLove]

Описание думаю не нужно, любители Android ботов и так знают что это.
Скачать - https://www.sendspace.com/file/qgxt59
Пароль - xss.pro
Был слит уже давненько, сейчас есть новая версия, автор maza-in. В архиве админка, apk файл, кое какие инжы даже есть.

 

[FreeWar]

вот и анубис выложили) а чем новый от старого отличается?

 

[maza-in]

первые наработки, там вроде даже инжекты работали только до 6 версии

чем отличается?
да всем! только названия осталось и немного фронтэнд панели

 

[Venum]

посмотрим из-за чего столько шума)

 

[Dark Koder]

первые наработки, там вроде даже инжекты работали только до 6 версии

чем отличается?
да всем! только названия осталось и немного фронтэнд панели

 

[maza-in]

Скрытое содержимое

у каждого кодера свои цены

лично у меня сейчас полный завал в работе, даже думать не когда))

 

[tabac]

маза-ин, респект тебе. анубис - мощная весссчь, хотя уже старовато ) инжекты дальше 6й уже не работают, +1
хорошие "обзоры" от аверов были тут

https://medium.com/@fs0c131y/reverse-engineering-of-the-anubis-malware-part-1-741e12f5a6bd
https://news.sophos.com/en-us/2018/08/14/anubis-is-back-are-you-prepared/

 

[maza-in]

староват? я им каждый день занимаюсь))

____://youtu.be/c9-OfARZdI4

 

[Venum]

Это последняя версия?

 

[Venum]

https://news.sophos.com/en-us/2018/08/14/anubis-is-back-are-you-prepared/
Админка что на скрине https://prnt.sc/m818aq напоминает админку loki бота и лодер эхо бота, твои работы?

 

[maza-in]

нет, не моя!
нет, это можно сказать первая версия
за последнию версию нет инфы в инете!

 

[InstallsWithLove]

староват? я им каждый день занимаюсь))

____://youtu.be/c9-OfARZdI4

Он наверно имел ввиду старую версию.
Новую я видел, зверь.

 

[Venum]

Бегло пробежался по админке

Это банальная

На самом деле есть посерьезнее ошибки не думаю что стоит тут выкладывать.
Не нашел сорцов бота, но если надо сделаю билдер.
Обфусцированно (allatori java obfuscator), выше задал вопрос :
https://news.sophos.com/en-us/2018/08/14/anubis-is-back-are-you-prepared/
Админка что на скрине https://prnt.sc/m818aq напоминает админку loki бота и лодер эхо бота, твои работы?
Автор ты, недавний обзор лодеров loki https://xss.pro/threads/27187/ , шестой скрин.

Тут вообще п*здец

Обфусцированно все кроме нужных строк. Я в замешательстве как будто писал школьник но такие громкие работы Anubis,loki,exobot.
Если будет время и желание сделаю более детальный разбор со всеми ошибками, сравню код с ботов.

 

[InstallsWithLove]

Бегло пробежался по админке

Посмотреть вложение 2478

Это банальная

Посмотреть вложение 2479

На самом деле есть посерьезнее ошибки не думаю что стоит тут выкладывать.
Не нашел сорцов бота, но если надо сделаю билдер.
Обфусцированно (allatori java obfuscator), выше задал вопрос :
https://news.sophos.com/en-us/2018/08/14/anubis-is-back-are-you-prepared/
Админка что на скрине https://prnt.sc/m818aq напоминает админку loki бота и лодер эхо бота, твои работы?
Автор ты, недавний обзор лодеров loki https://xss.pro/threads/27187/ , шестой скрин.

Посмотреть вложение 2480

Тут вообще п*здец

Посмотреть вложение 2481

Обфусцированно все кроме нужных строк. Я в замешательстве как будто писал школьник но такие громкие работы Anubis,loki,exobot.
Если будет время и желание сделаю более детальный разбор со всеми ошибками, сравню код с ботов.

Loki, Exo это проекты совсем других людей.

 

[Venum]

Loki, Exo это проекты совсем других людей.

Похоже что нет, либо автор падальщик соберает код с других ботов.
Предпоследняя версия Anubis бота.

Тут автор использует так же DexClassLoader, 3 скрин https://xss.pro/threads/27187/.

Это с админки анубиса

Это c админки loki бота.

Тут похоже идея с Red Alert бота

Все теже ошибки что и со старой версии
maza-in сказал(а):
староват? я им каждый день занимаюсь))

Будет время пробегусь по коду 3 ботов,если аудитории интересно. Если у кого есть apk Red Alert бота взял бы на анализ.
Мне на пиво 1K3mVvucPDMKfqRhfYTb8hnK4k1jq4y4Xi

 

[InstallsWithLove]

Похоже что нет, либо автор падальщик соберает код с других ботов.
Предпоследняя версия Anubis бота.

Посмотреть вложение 2482

Тут автор использует так же DexClassLoader, 3 скрин https://xss.pro/threads/27187/.

Посмотреть вложение 2483

Это с админки анубиса

Посмотреть вложение 2484

Это c админки loki бота.

Посмотреть вложение 2485

Тут похоже идея с Red Alert бота

Посмотреть вложение 2486

Все теже ошибки что и со старой версии
maza-in сказал(а):
староват? я им каждый день занимаюсь))

Будет время пробегусь по коду 3 ботов,если аудитории интересно. Если у кого есть apk Red Alert бота взял бы на анализ.
Мне на пиво 1K3mVvucPDMKfqRhfYTb8hnK4k1jq4y4Xi

Похоже может и похоже, но проекты разных людей.

 

[Venum]

Похоже может и похоже, но проекты разных людей.

Продавали может и разные люди но автор один. Anubis,loki,exobot loder - админ панели самописные и имеют местами схожий код.

Если в первых наработках :smile86: одна папка слогам индексировалась. В предпоследней их уже три, есть куда расти.

Логи

Файлы

Номера

Сейчас будет решение всему

Вот так были решены все касяки в админ панели, ip сменил дабы не палить.

 

[sii]

Я не мобайл кодер да и не кодер вообше но я думал уровень мобайл малвари повыше будет, за столько то лет.

 

[maza-in]

Это далеко не последняя версия))
и не у кого и не когда код с других ботов я не брал

Похоже что нет, либо автор падальщик соберает код с других ботов.
Все теже ошибки что и со старой версии
maza-in сказал(а):
староват? я им каждый день занимаюсь))

Будет время пробегусь по коду 3 ботов,если аудитории интересно. Если у кого есть apk Red Alert бота взял бы на анализ.
Мне на пиво 1K3mVvucPDMKfqRhfYTb8hnK4k1jq4y4Xi

это билд для крипта, обфускацией занимался как раз он!

Тут автор использует так же DexClassLoader, 3 скрин https://xss.pro/threads/27187

а кто не юзает дехкласслоадер?

 

[Venum]

Это далеко не последняя версия))
и не у кого и не когда код с других ботов я не брал



это билд для крипта, обфускацией занимался как раз он!



а кто не юзает дехкласслоадер?

Не думаю, что ты исправил все косяки в версии 2.5 или какая у тебя там “последняя”. С тем учётом, что это уже вторая итерация малвари. Скинь новую версию на обзор =)