это чистка а не крипт , любая апкшка раскомпиливаеться и что манифест ,что смали правяться
-
XSS.stack #1 – первый литературный журнал от юзеров форума
malware Исходный код Android Bot Anubis 2.5 - Source Code Android Bot Anubis 2.5
- Автор темы anti_huckster
- Дата начала
Есть пару сервисов, крипт у них и ГП обходит и McAfee
У них щас лучше других крипт идет 1-3 детекта, чистят частенько ну и цена ниже стала.
Есть несколько способов закриптовать apk файл (сейчас не будем рассматривать вариант морфинга/обфускации на уровне исходников, рассмотрим варианты с скомпилированным apk файлом)
1. DexClassloader:
Это когда dex файл (код apk файла) шифруется, упаковывается чаще всего в ресурсы и при запуске apk расшифровывается dex файл, дропается во внутреннее хранилище и запускается DexClassloader-ом из стаба.
плюсы:
- позволяет очень просто зашифровать полностью всё содержимое dex файла (код, константные строки и так далее)
- простая реализация
минусы:
- даже если при проверке чекером криптованный apk файл будет кристально чистым, можно получить детект антивирусом либо при дропе расшифрованного (оригинального) dex файла во внутреннее хранилище, либо при попытке подгрузить его DexClassloader-м. Это происходит потому что у антивируса уже есть сигнатура на расшифрованный (оригинальный) dex файл.
- ИИ гугл протекта лочит такие приложения при попытке загрузить в GP в большинстве случаев
2. Dex memory loader:
Как и в первом случае, dex файл шифруется и упаковывается в ресурсы. Разница только в том, что при запуске apk расшифровывает и подсовывает оригинальный dex в памяти без дропа в хранилище.
плюсы:
- позволяет очень просто зашифровать полностью всё содержимое dex файла (код, константные строки и так далее)
- сложнее заполучить оригинальный dex, нужно писать заглушки для дампа оригинала из памяти
- простая реализация
минусы:
- ограниченная совместимость и поддержка (как правило загрузчик в памяти жестко платформенно- и версионно- зависим), сложно поддерживать все версии андроида, то есть будьте готовы к тому, что файл после такого крипта может сломаться на половине андроид устройств
- ИИ гугл протекта лочит такие приложения при попытке загрузить в GP в большинстве случаев
3. Нативный морф:
Приложение APK разбирается с помощью apktool - манифест, smali файлы, ресурсы морфятся и далее всё собирается обратно в APK файл. По сути он остаётся таким как и был, за исключением сигнатур, так как строки, хэши ресурсов и код на уровне смали морфятся.
плюсы:
- максимально нативный способ, вероятность сломать файл при правильном морфе минимальна - как результат поддержка 100% систем и версий андроида (конечно же, если сам оригинал софта работает на всех версиях андроида)
- при правильном морфе ИИ гугл протекта не сможет выявить факта крипта\морфинга APK файла, т.к. нет грязных трюков как (DexClassloader, Dex memory loader, so загрузчик и т.д.)
- оригинальный dex файл морфится и его анализ\детект усложняется
минусы:
- сложная реализация, требуется учесть и реализовать большое количество обработчиков для всего содержимого apk файла
нативный морф -это самое надежное и реализуемое решение для анубиса. После такой чистки апкшка около 3 суток де даёт детектов при установке
чем и как делать этот нат. морф
ручками любым ApkTool
Еще бы знать что и как там чистить)))
за 20 баксов криптуют, я раньше пользовался, сейчас у них с оплатой проблемы, принимают только биткойн
Бро, если точечные заливы идут и чем меньше ботов используют одну подпись, тем дольше держится. Бывает и месяцами висит без палева, лично проверял ради интереса.
Если сам не умеешь то проще закажи по 20-30 баксов, щас два сервиса точно нормально делают морф.
Ну так это не проблема а соблюдение безопасности. Если сервис по продаже малварей и всего что их касается принимает к оплате киви, яндекс и т.п. то лучше задуматься, нужно ли тебе это и не приедут ли в гости пацаны в одинаковых ботинках на чашечку кофе.
Вот держи, надеюсь пригодится.
FUD Manual - чистка Андроид приложений от сигнатур
Спасибо, но для меня это очень все сложно(
Для меня тоже это китайская грамота, поэтому подписку беру на крипт.
Уже нет шансов, что anubis с авто отключением протекта и криптором выложат?
Хз, возможно когда-нибудь и выложат напакостив тем, кто его покупал и работают на нем. Когда в паблик сливают малварь, он как елка на новый год, светиться начинает. Жалко тех людей, кто лицензии покупал а обнов нет. Считаю, что сливать надо только кривые проекты, которые нуждаются в доработке, да и то в приват темах или под жирных хайд.
Если криптовать на одном сервисе, тотам по сути тоже чистят под ГП, т.ч зачем его отключать?
Почаще малварь подписывать перед выгрузкой и все
На тот случай, если ты один билд с криптом льешь не на один телефон а на сотню или как некоторые вообще на 1-2к, тогда вот и думай, что будет когда ГП начнет палить билд.