• XSS.stack #1 – первый литературный журнал от юзеров форума

Android + Malware + Protect + AV = Working Android Bot

Отслеживать
maza-in

maza-in

HDD-drive
Пользователь
Регистрация
25.09.2018
Сообщения
23
Реакции
22
Пожалуйста, обратите внимание, что пользователь заблокирован
crashoveride-first-malware-platform-designed-to-take-down-electrical-grids.jpg


/*----Русский----*/

Привет друзья, давно не писал статьи, так как ушел с головой в работу, ну да ладно.. думаю со временем наверстаю упущенное)).

Сегодня хочу не много рассказать о проблеме которая касается многих людей работающих с андроид ботнетами, это "слабая живучесть ботов", или "как правильно работать Андроид ботом".


Начнем.

В нашем не простом деле, есть преграды которые мешают нам нормально работать, а это: антивирусные компании, отделы безопасности google,
аналитики и много-много разных организаций которые занимаются информационной безопасностью.
Вообщем нам хотят помешать все кому не лень. Но мы их победим))

Как же работает система безопасности в Android? Да все просто, каждое приложение имеет свой package, что-то типа "com.fasttrack.security" и подписной сертификат.
Это две причины в которых вся проблема! Google реализовал внутрению систему безопасности "Google Play Protect", эта система удаляет все установленные приложения с сертификатом или package который был задетектин ребятами перечисленных выше, по этому нужно не допускать это!

Многие администраторы ботнетов думают проблема в детектах их apk файла! Это не совсем так, у антивирусных программ нет root прав и они не могут проверить установленное приложение, только определят имя пакета. Антивирусные программы предотвращают установку таких приложений или же уведомляют холдера сразу после установки вашего malware, по этому статические детекты не могут влиять на живучесть вашего малваря! Точнее могут, но только для быстрого определения вредоносный файл или нет! У Антивирусных программ для андроида нет Runtime, да и быть не могло, так как телефон не выдержит такой нагрузки, Аверы так же как и Google Play Protect отправляют ваш apk файлы на проверку, где проверяется Runtime на своих комплексных эмуляторах с рутом.


Какие же есть решения этой проблемы?
Для работы массов нужно ребилдить или криптовать и выдать каждой жертве уникальный apk файл и тогда всегда будет рандомный сертификат и имя пакета, где нашим врагам будет сложнее победить ботнет!
Но лучше не допускать попадания апк файла аверам, к этому я пришел когда точечно установил 3м жертвам и они прожили около 1 года, в итоге я сам удалил бот)))


Какими вариантами обычно распространяют свой малварь:
1) Спам смс или почт;
2) Лендинг + траффик;
3) Лоадер в Google Play + траффик с Google Adwords;
4) Методом СИ, типа звонки от банка и так делее.

Как попадают наши apk файлы плохим дядькам?
Спам мыл или смс, провайдеры проверяют ваши ссылки на эмуляторах и детектят их сразу, cпам палят очень быстро!
Рассмотрим вариант со стандартной схемой, лить траффик на лендинг. Жертвы, так же как и Аверы попадают на лендинг где открывает URL для скачивания вашего вредоносного файла,
это конечно можно отфильтровать где мы уменьшим эту вероятность утечки apk, но проблема в том, что все эти URLы(apk) при открытии файла n-го количество раз разными
холдерами, отправляются на сервер google(если это хром) и дальше ваш файл попадет в руки плохих дядек, где они просто удалят ваш установленный малварь с девайсов!
Лучшее решение это установить апк самому лично на телефон, бот будет работать и не кто не умрет! Но как установить так? Есть решение, это 3й вариант "Лоадер в
Google Play + траффик с Google Adwords", но и там все не так просто,
нужно устанавливать только реальных холдерам и отключать google protect, так же лучше грузить рандомные файлы(серт и package),
но как убедиться что это реальный человек? Человек двигается эмулятор нет! Но проблема в том, что аверы тоже тестируют на реальных девайсах, есть решение!
Люди ходят и это нам на руку! Можно сделать шагомер, где можно дететировать реального холдера, даже если аверы сидят за компом и тестируют бот они не находят к
примеру 100 шагов чтоб ваш бот начал проявлять активность!
Ваш бот смогут обнаружить после реверса!

Пример ____xakep.ru/2019/01/18/new-anubis-apps/

Заключение:
Пусть даже будет меньше инсталлов, но они будут качественными + если аудитория будет женская) и тогда будет % выше успеха монетизации вашего андроид бота!
Помимо вышеперечисленного не забывайте об аккуратном (деликатном) управлении ботом, не нужно запускать на нем кучу команд и нетерпеливо инжектировать. Позвольте боту
прижиться и активировать необходимые права и возможности. Необходимые данные (логи) придут к вам рано или поздно, и вы всегда сможете подтолкнуть на это владельца девайса
с помощью удаленного запуска приложений либо пуш уведомлений.
Да, согласен, не все так просто, но оно того стоит когда вы сами к этому придете!



/*----English----*/

Today I want to tell you a little bit about problems that concern many people working with Android Botnets, those problems are "low bot lifetime", or "how to properly work with an Android bot".

Let's start.

In our line of work, there are many obstacles that prevent us from doing our job properly: anti-virus companies, Google security departments, analysts and many different organizations that are engaged in information security. Basically anyone who has any time on their hands, but rest assured, they won't stop us.

How does the security system work on an Android? Everything is pretty simple, each application has its own package, something like "com.fasttrack.security" and a certificate. These are two basic reasons for our problems. Google has rolled out the "Google Play Protect" internal security system, this system removes all installed applications with a certificate or package that has been detected by the guys we have listed above, so we need to find a way to prevent it!

Most Botnet administrators think that the problem is in the detection of their .apk file! This is not entirely true; antivirus programs do not have root rights and cannot verify the installed application, they can only determine the name of the package. Antivirus programs prevent the installation of such applications or notify the holder immediately after installing your malware, so static detections cannot affect the life time of your malware! More precisely they can, but only to determine whether the file is malicious file or not! Antivirus software for Android does not have Runtime, and could not possibly have, since the mobile phone will not be able to withstand such process capacity. Anti viruses as well as Google Play Protect will send your .apk files for testing, where Runtime is checked on their complex root emulators.

What are the possible solutions to our problem?
For mass work, you need to rebuild or crypt and give each holder/victim a unique .apk file and then there will always be a random certificate and the name of the package, thus it will be much harder for our enemies to defeat the botnet! But it is best not to allow the .apk file to get into the antivirus' hands, I came to this point when I installed 3 bots and they lived for about 1 year, in the end I myself deleted the bots)))

Options to spread the malware:
1) Spam sms or mail;
2) Landing + traffic;
3) Loader on Google Play + traffic with Google Adwords;
4) By the SI method, such as calls from the bank, and so on.

How do our .apk files get to the bad guys?
Spam emails or sms, providers check your links on emulators and detect them immediately, spam get blocked very quickly!
Consider the option with the standard scheme, direct traffic on the landing page. The victims, as well as antivirus firms will get on the landing page where it opens the URL for downloading your malicious file, of course you can filter it where we reduce the probability of .apk being leaked, but the problem is that all these URLs (apk) when the file is opened x-number of times by different holders they are sent to the Google server (if it is Chrome) and then your file gets into the hands of bad guys where they simply remove your installed malware from the device!

The best solution is to install the .apk yourself on the phone yourself, the bot will work and no one will die! How to install it? There is a solution, this is the third option "Loader on Google Play + traffic with Google Adwords", but everything is not as simple there, you need to install only real holders and disable Google Protect, as its better to load random files (certificate and package),
but how to make sure that this is a real person? Real person moves, an emulator doesn't! But the problem is that the anti viruses also test on real devices, but there is a solution!
The fact that real people move is an advantage! You can make a step meter that way you can determine if the holder is real or not, even if the antivirus guys are sitting at their computers and testing the bot, for example, they do not see until a 100th step that your bot has become active!
Your bot can be detected after the reverse!

Example ____xakep.ru/2019/01/18/new-anubis-apps/

Conclusion:
Even though there will be fewer installations, they will be of higher quality + if the audience is female, there will be a higher % success in monetizing your Android bot!
Please keep in mind apart from everything mentioned above, remember to pay close attention to your bot (be delicate), do not run a bunch of commands and impatiently injecting.
Let the bot activate properly, select the necessary rights and allow access. You will eventually get all the needed info (logs), and will be able to push the victim/holder by remotely launching apps or push notifications.
Yes, I agree, not everything is so simple, but it's definitely worth it when you come understand these details!



by maza-in and cccalypse aka kamikaze
 
Последнее редактирование:
Следующим этапом можно было бы воткнуть съем с микро децибел определенных, соответсвенно запуск на эмуляторе отсечь, гиро и т.д. Вообще даже удаленность от девайса хозяина так то можно "прикрутить" ;) Аля софт для героиновых наркоманов который по дыханию "пациента" понимает когда у него передоз)
 
maza-in сказал(а):
crashoveride-first-malware-platform-designed-to-take-down-electrical-grids.jpg

Как же работает система безопасности в Android? Да все просто, каждое приложение имеет свой package, что-то типа "com.fasttrack.security" и подписной сертификат.
Это две причины в которых вся проблема! Google реализовал внутрению систему безопасности "Google Play Protect", эта система удаляет все установленные приложения с сертификатом или package который был задетектин ребятами перечисленных выше, по этому нужно не допускать это!
Не знал этого, спасибо за информацию. Я занимаюсь спамом, по мессенждерам, от туда делаю инсталлы. Делаю довольно большие обьемы, и как сделать чтобы каждая жертва получала уникальный файл, не представляю. Только если брать какие то подписки в крипт сервисе, безлимит, API, и настроить всё чтобы каждая жертва получала свежий, уникальный файл.
Других вариантов вроде нет. Или я может что то не знаю?
 
купил нокию , полёт нормальный. :smile35:
*( блеАд , телефон должен быть телефоном , а не карманным жучком )

по сабжу : есть софтины контролирующие траф с телефона .
что мешает поставить и отловить что и куда ?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
kilobyte сказал(а):
Не знал этого, спасибо за информацию. Я занимаюсь спамом, по мессенждерам, от туда делаю инсталлы. Делаю довольно большие обьемы, и как сделать чтобы каждая жертва получала уникальный файл, не представляю. Только если брать какие то подписки в крипт сервисе, безлимит, API, и настроить всё чтобы каждая жертва получала свежий, уникальный файл.
Других вариантов вроде нет. Или я может что то не знаю?

да либо через безлимит крипт сервиса, либо своим криптором))

Bard сказал(а):
купил нокию , полёт нормальный. :smile35:
*( блеАд , телефон должен быть телефоном , а не карманным жучком )

по сабжу : есть софтины контролирующие траф с телефона .
что мешает поставить и отловить что и куда ?
ну и что ты отловишь?
аверы тоже ведь не дураки, они не только тестируют на эмуляторах, но и также реальный девайсах,тут это хорошо видно)) ___//www.youtube.com/channel/UCg08SXtXlfADk4yAODpShfQ
к примеру с шагомером, даже если аверы тестируют на реальном девайсе, то они поставили бот себе и сидят, но пусть даже продайдут они по помещенюшаго 15-20 и то врятли, а условия в лоадере стоит к примеру на 100 шагов, таким образом можно фильровать!

аверы сначала тестирую лоадер или бот, если сниффер или поведение самого бота покажет что то подозретельное и только потом они будут его реверсить!
по этому данный детектор будет более полезный, проверял лично на лоадер + с траффом гугл адворса, живучесть ботов и стабильность на много выше чем лить с бирж на лендинг

к примеру с биржи может быть 100 ботов и 30 онлайн, с таким методом с лоадера 100 ботов 80 из них онлайн, а то и больше!
 
airaiven сказал(а):
в риперы ушел
В риперы? Тут у всех немного другая информация.
А Анубиса уже продают по форумам, сегодня на мигалках видел.
 
InstallsWithLove сказал(а):
В риперы? Тут у всех немного другая информация.
А Анубиса уже продают по форумам, сегодня на мигалках видел.
возможно я и ошибаюсь но он был кодером мазара и забил хуец с своим кривым ботом который меня было угараздило купить пару лет назад и потом на экспе получил статус.
 
airaiven сказал(а):
возможно я и ошибаюсь но он был кодером мазара и забил хуец с своим кривым ботом который меня было угараздило купить пару лет назад и потом на экспе получил статус.
Не, то GanjaMan был
 
m00r сказал(а):
как же хочется анубсика мощного, накаченого, второго.
это больше басня чем реальность . промониторив рынок андройд банк решений пришел к выводу что нет нехера сейчас толком , я увидил ток одно дельное предложение и протестировал но там сука сложно ибо админка сделана кодером для кодеров скорее , и дорого очень (15к+) из + работа на 4-8ver. андройд , стабильный бэкконект , годный формграббер а также инжи но... тоже не годится для рядового кардера ибо кодер ахуел или я нищеброд такой по меркам дарквеба....
 
Пожалуйста, обратите внимание, что пользователь заблокирован
airaiven сказал(а):
это больше басня чем реальность . промониторив рынок андройд банк решений пришел к выводу что нет нехера сейчас толком , я увидил ток одно дельное предложение и протестировал но там сука сложно ибо админка сделана кодером для кодеров скорее , и дорого очень (15к+) из + работа на 4-8ver. андройд , стабильный бэкконект , годный формграббер а также инжи но... тоже не годится для рядового кардера ибо кодер ахуел или я нищеброд такой по меркам дарквеба....
поделись продуктом в личку
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх