S.O.V.A. Android Botnet

[DukeEugene]

в цербере такая же цена по аренде ? 1000 вечно зеленых . = )

Цербер сорцы в паблик слили, возьми кодера на каком-нибудь Кворке, измени панель, добавь какую-нибудь хрень для полного борща и тоже можешь продавать как супер бот нового поколения)))

 

[ermac]

Люд добрый, давайте не будем нагнетать обстановку. Чел постарался что-то создать, хоть и на основе велосипеда..но он все же приложил руку. Как говорится перья подняты, чернила высохли. Нет смысла душить автора, функционал бота сам все скажет за него. Ждём видосы по установке на китайцах

 

[DukeEugene]

Люд добрый, давайте не будем нагнетать обстановку. Чел постарался что-то создать, хоть и на основе велосипеда..но он все же приложил руку. Как говорится перья подняты, чернила высохли. Нет смысла душить автора, функционал бота сам все скажет за него. Ждём видосы по установке на китайцах

Бро, суть не в боте а гео.
Я всегда рад новым малварям и модам на основе старых, главное, чтобы были лучше предыдущих.
А мягко выражаясь, против работы по тому гео, где ты родился, вырос, живешь и долбишь своих же.

 

[DukeEugene]

Надеюсь ТС рано или поздно поймет, что некрасиво как минимум работать по своей стране т.к. это потом приводит ко всякому питушизму, когда брат идет против брата и начинают уважать, ценить не свои а западные ценности

 

[ermac]

да, работа по снг - табу. Но в данном случае как то пока не однозначно все.. имхо

 

[DukeEugene]

да, работа по снг - табу. Но в данном случае как то пока не однозначно все.. имхо

Ну как не однозначно?
Я просто не вижу необходимости для теста бота ставить сбербанк.
Тем более когда пилят бота, то стараются тестить даже не на ру прошивках а под те гео, где бот будет работать и тем более под те прилы банков, которые собираются отрабатывать.
У тебя у самого бот Ермак и ты та это лучше многих должен знать, что ставишь минимум язык, прилы тех гео, где работаешь.
Ну я уверен, что каждый уважаемый здесь пользователь сделает для себя выводы

 

[ermac]

Ну как не однозначно?
Я просто не вижу необходимости для теста бота ставить сбербанк.
Тем более когда пилят бота, то стараются тестить даже не на ру прошивках а под те гео, где бот будет работать и тем более под те прилы банков, которые собираются отрабатывать.
У тебя у самого бот Ермак и ты та это лучше многих должен знать, что ставишь минимум язык, прилы тех гео, где работаешь.
Ну я уверен, что каждый уважаемый здесь пользователь сделает для себя выводы

Ну, тут с вами не поспоришь герцог Евгений

 

[DukeEugene]

Ну, тут с вами не поспоришь герцог Евгений

?

 

[Krypt0n]

Ну как не однозначно?
Я просто не вижу необходимости для теста бота ставить сбербанк.
Тем более когда пилят бота, то стараются тестить даже не на ру прошивках а под те гео, где бот будет работать и тем более под те прилы банков, которые собираются отрабатывать.
У тебя у самого бот Ермак и ты та это лучше многих должен знать, что ставишь минимум язык, прилы тех гео, где работаешь.
Ну я уверен, что каждый уважаемый здесь пользователь сделает для себя выводы

а че там сложного сделать анти снг?

 

[DukeEugene]

а че там сложного сделать анти снг?

А кто сказал, что сложно?

 

[jorah]

Да ладно че вы завелись, я тоже против СНГ, ну тестил чел что то, сбер не сбер заявлено же по снг не работает. А так то вполне себе функционал и депозит внес.
А панель да похрен на основе чего, мне вот тоже церберовская нравится смысл с нуля пилить ? Главное содержание, всем мира

 

[blaze]

Из заголовка ясно уже что это за малварь и кто такой топикстартер. Тс , загугли слово бот и слово ботнет,и ты будешь неприятно удивлён.

 

[infernel]

Надеюсь ТС рано или поздно поймет, что некрасиво как минимум работать по своей стране т.к. это потом приводит ко всякому питушизму, когда брат идет против брата и начинают уважать, ценить не свои а западные ценности

Полностью согласен. И насчет турков ты прав т.к. сам работаю по тр и вижу как долбят своих

 

[sovenok]

update v0.1

1. Пофиксили проблему с СМС
2. Улучшили запрос accessibility
3. добавили 2fa grabber
4. ПОфиксили ддос, теперь работает нормально даже без прав, пустые боты будут ддосить


1. Fixed a problem with SMS

2. Improved accessibility request

3. added 2fa grabber
4. DDOS working without accessibility and other permissions


Provide test, first contact in PM

Screenshot

Captured with Lightshot

prnt.sc

 

[bbi34yy]

Вайты уже взор свой кинули:
хттps://blog.cyble.com/2021/09/14/deep-dive-analysis-of-s-o-v-a-android-banking-trojan/

Отличный продукт, судя по описанию(сам написал ТС сегодня, чтобы взять), но меня лично волнует следующее (уверен, что это - какое-то недоразумение):

S.O.V.A. malware constantly monitors the device screen for targeted applications. The targeted applications are stored in the packageList.txt file in the assets folder. The below figure shows the file with the list of targeted apps.

Whenever the user opens a target application, the malware creates an overlay using the WebView with the link provided by C&C server.
The targeted apps include banking apps, cryptocurrency apps etc. The TA can also add new apps to target based on their requirements.

The targeted application list in assets/packageList.txt is shown below.

Спойлер: Сам список.

com.google.android.apps.authenticator2
com.bankaustria.android.olb
com.cibc.android.mobi
com.rbc.mobile.android
cz.airbank.android
com.kutxabank.android
es.lacaixa.mobile.android.newwapicon
com.mtel.androidbea
jp.co.aeonbank.android.passbook
com.barclays.ke.mobile.android.ui
nz.co.anz.android.mobilebanking
alior.bankingapp.android
wit.android.bcpBankingApp.millenniumPL
com.idamobile.android.hcb
ru.rosbank.android
com.vkontakte.android
ru.taxovichkof.android
hr.asseco.android.jimba.mUCI.ro
may.maybank.android
com.amazon.mShop.android.shopping
ru.alfabank.mobile.android
com.idamob.tinkoff.android
ru.vtb24.mobilebanking.android
com.akbank.android.apps.akbank_direkt
com.akbank.android.apps.akbank_direkt_tablet
com.akbank.android.apps.akbank_direkt_tablet_20
com.ykb.android
com.ykb.android.mobilonay
com.ykb.androidtablet
biz.mobinex.android.apps.cep_sifrematik
com.matriksmobile.android.ziraatTrader
de.comdirect.android
de.fiducia.smartphone.android.banking.vr
fr.creditagricole.androidapp
com.boursorama.android.clients
com.caisseepargne.android.mobilebanking
fr.lcl.android.customerarea
com.paypal.android.p2pmobile
com.usaa.mobile.android.usaa
com.chase.sig.android
com.grppl.android.shell.BOS
com.rbs.mobile.android.natwestoffshore
com.rbs.mobile.android.natwest
com.rbs.mobile.android.natwestbandc
com.rbs.mobile.android.rbs
com.rbs.mobile.android.rbsbandc
com.rbs.mobile.android.ubr
com.grppl.android.shell.halifax
com.grppl.android.shell.CMBlloydsTSB73
com.barclays.android.barclaysmobilebanking
com.unionbank.ecommerce.mobile.android
au.com.ingdirect.android
com.cba.android.netbank
com.anz.android.gomoney
com.anz.android
de.fiducia.smartphone.android.banking.vr
it.volksbank.android
de.fiducia.smartphone.android.securego.vr
com.starfinanz.smob.android.sfinanzstatus
com.starfinanz.mobile.android.pushtan
com.starfinanz.smob.android.sfinanzstatus.tablet
com.starfinanz.smob.android.sbanking
com.palatine.android.mobilebanking.prod
es.cm.android
es.cm.android.tablet
com.bestbuy.android
com.latuabancaperandroid
com.latuabanca_tabperandroid
it.copergmps.rt.pf.android.sp.bmps
com.ykb.android
aib.ibank.android
com.jpm.sig.android
pinacleMobileiPhoneApp.android
com.fuib.android.spot.online
com.ukrsibbank.client.android
ru.alfabank.mobile.ua.android
ua.aval.dbo.client.android
ua.com.cs.ifobs.mobile.android.otp
ua.com.cs.ifobs.mobile.android.pivd
io.getdelta.android
com.coinbase.android
piuk.blockchain.android
com.thunkable.android.santoshmehta364.UNOCOIN_LIVE
com.thunkable.android.manirana54.LocalBitCoins
com.thunkable.android.manirana54.LocalBitCoins_unblock
com.citizensbank.androidapp
com.navyfederal.android

Интересные строки следующие:
ru.rosbank.android
com.vkontakte.android
ru.taxovichkof.android
ru.alfabank.mobile.android
com.idamob.tinkoff.android
ru.vtb24.mobilebanking.android

 

[sovenok]

Вайты уже взор свой кинули:
хттps://blog.cyble.com/2021/09/14/deep-dive-analysis-of-s-o-v-a-android-banking-trojan/

Отличный продукт, судя по описанию(сам написал ТС сегодня, чтобы взять), но меня лично волнует следующее (уверен, что это - какое-то недоразумение):

Спойлер: Сам список.

com.google.android.apps.authenticator2
com.bankaustria.android.olb
com.cibc.android.mobi
com.rbc.mobile.android
cz.airbank.android
com.kutxabank.android
es.lacaixa.mobile.android.newwapicon
com.mtel.androidbea
jp.co.aeonbank.android.passbook
com.barclays.ke.mobile.android.ui
nz.co.anz.android.mobilebanking
alior.bankingapp.android
wit.android.bcpBankingApp.millenniumPL
com.idamobile.android.hcb
ru.rosbank.android
com.vkontakte.android
ru.taxovichkof.android
hr.asseco.android.jimba.mUCI.ro
may.maybank.android
com.amazon.mShop.android.shopping
ru.alfabank.mobile.android
com.idamob.tinkoff.android
ru.vtb24.mobilebanking.android
com.akbank.android.apps.akbank_direkt
com.akbank.android.apps.akbank_direkt_tablet
com.akbank.android.apps.akbank_direkt_tablet_20
com.ykb.android
com.ykb.android.mobilonay
com.ykb.androidtablet
biz.mobinex.android.apps.cep_sifrematik
com.matriksmobile.android.ziraatTrader
de.comdirect.android
de.fiducia.smartphone.android.banking.vr
fr.creditagricole.androidapp
com.boursorama.android.clients
com.caisseepargne.android.mobilebanking
fr.lcl.android.customerarea
com.paypal.android.p2pmobile
com.usaa.mobile.android.usaa
com.chase.sig.android
com.grppl.android.shell.BOS
com.rbs.mobile.android.natwestoffshore
com.rbs.mobile.android.natwest
com.rbs.mobile.android.natwestbandc
com.rbs.mobile.android.rbs
com.rbs.mobile.android.rbsbandc
com.rbs.mobile.android.ubr
com.grppl.android.shell.halifax
com.grppl.android.shell.CMBlloydsTSB73
com.barclays.android.barclaysmobilebanking
com.unionbank.ecommerce.mobile.android
au.com.ingdirect.android
com.cba.android.netbank
com.anz.android.gomoney
com.anz.android
de.fiducia.smartphone.android.banking.vr
it.volksbank.android
de.fiducia.smartphone.android.securego.vr
com.starfinanz.smob.android.sfinanzstatus
com.starfinanz.mobile.android.pushtan
com.starfinanz.smob.android.sfinanzstatus.tablet
com.starfinanz.smob.android.sbanking
com.palatine.android.mobilebanking.prod
es.cm.android
es.cm.android.tablet
com.bestbuy.android
com.latuabancaperandroid
com.latuabanca_tabperandroid
it.copergmps.rt.pf.android.sp.bmps
com.ykb.android
aib.ibank.android
com.jpm.sig.android
pinacleMobileiPhoneApp.android
com.fuib.android.spot.online
com.ukrsibbank.client.android
ru.alfabank.mobile.ua.android
ua.aval.dbo.client.android
ua.com.cs.ifobs.mobile.android.otp
ua.com.cs.ifobs.mobile.android.pivd
io.getdelta.android
com.coinbase.android
piuk.blockchain.android
com.thunkable.android.santoshmehta364.UNOCOIN_LIVE
com.thunkable.android.manirana54.LocalBitCoins
com.thunkable.android.manirana54.LocalBitCoins_unblock
com.citizensbank.androidapp
com.navyfederal.android

Интересные строки следующие:
ru.rosbank.android
com.vkontakte.android
ru.taxovichkof.android
ru.alfabank.mobile.android
com.idamob.tinkoff.android
ru.vtb24.mobilebanking.android

Да уже давно взор кинули, правда они все одну и ту же статью у threat fabric перепечатывают везде, ну ещё в cecuritylabs попали, достижение)) https://www.securitylab.ru/news/524392.php
По теме
этот список остался от прошлого кодера как с полгода, уже удалили. Тупо в txt файле список пакетов который я первый раз в жизни вижу. мы сделали 3 защиты против снг, почитай https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html#updates
Малварь не работает при установленных тиньке/сбере на телефоне+ язык и айпи


UPD: Скоро маленький апдейт (очень интересный), потом большой апдейт, потом ещё больше)

 

[bbi34yy]

Такой ответ я и хотел услышать. Спасибо.
Не хотелось, чтобы такой качественный продукт ассоциировался с работой по РУ.

 

[sovenok]

Такой ответ я и хотел услышать. Спасибо.
Не хотелось, чтобы такой качественный продукт ассоциировался с работой по РУ.

приглашаю на тест, контакты в ЛС дал вроде)

 

[infernel]

приглашаю на тест, контакты в ЛС дал вроде)

Можно взять на тест?

 

[РКН]

Могу поздравить автора уже видел в новостях от гугла его ботнет к сожалению тогда не заскринил