bakalımmmGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
 |
|
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Bot silmeyi engelleme
Engelleme yönetici haklarını devre dışı bırakma
Engelleme Erişilebilirlik Hizmetini Devre Dışı Bırakma
Gönderim için birkaç yedek alan olabilir
çok dilli
Benzersiz bot tanımlayıcısı
android versiyonu
Yapı İşaretleme
Cihaz ayarlarında ayarlanan ülke + dil
son vuruş
Ekran durumu (açık / kapalı)
Google Play Koruma durumu
Erişilebilirlik Hizmeti durumu
Yönetici Hakları Durumu
Ana modül alma durumu
Gizli SMS müdahalesinin durumu
Banka kayıtlarının, kartların ve postaların mevcudiyeti!
Yerleşik bankaların listesi
Cihaz IP'si
Cihaz bulaşma tarihi
Cihaz modeli
Şebeke
Pil şarj durumu
Sahibinin cep numarası
Telefon etkinliği (Bir öykünücünün varlığını belirleyin)
Bot çalışma saatleri!
Canlı yönetici paneli
Genel ve bireysel görevler
Bot tablosunu filtreleme
Kullanıcı dostu bir arayüz kullanarak kendi enjeksiyonlarınızı ekleme
Enjeksiyonları HTML biçiminde yükleme
İstatistikler: Çevrimiçi, Çevrimdışı, Günlükler
Uygulama listelerini ve telefon kişilerini veri tabanında saklama
Bankaların, kartların ve postaların ayrı günlükleri
Panel, sunucularımızda TOR ağında yer almaktadır.
Oluşturucu
LİNK İNDİR
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Bot silmeyi engelleme
Engelleme yönetici haklarını devre dışı bırakma
Engelleme Erişilebilirlik Hizmetini Devre Dışı Bırakma
Gönderim için birkaç yedek alan olabilir
çok dilli
Benzersiz bot tanımlayıcısı
android versiyonu
Yapı İşaretleme
Cihaz ayarlarında ayarlanan ülke + dil
son vuruş
Ekran durumu (açık / kapalı)
Google Play Koruma durumu
Erişilebilirlik Hizmeti durumu
Yönetici Hakları Durumu
Ana modül alma durumu
Gizli SMS müdahalesinin durumu
Banka kayıtlarının, kartların ve postaların mevcudiyeti!
Yerleşik bankaların listesi
Cihaz IP'si
Cihaz bulaşma tarihi
Cihaz modeli
Şebeke
Pil şarj durumu
Sahibinin cep numarası
Telefon etkinliği (Bir öykünücünün varlığını belirleyin)
Bot çalışma saatleri!
Canlı yönetici paneli
Genel ve bireysel görevler
Bot tablosunu filtreleme
Kullanıcı dostu bir arayüz kullanarak kendi enjeksiyonlarınızı ekleme
Enjeksiyonları HTML biçiminde yükleme
İstatistikler: Çevrimiçi, Çevrimdışı, Günlükler
Uygulama listelerini ve telefon kişilerini veri tabanında saklama
Bankaların, kartların ve postaların ayrı günlükleri
Panel, sunucularımızda TOR ağında yer almaktadır.
Oluşturucu
LİNK İNDİR
57urrrrrrrrrvGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
EywGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
eline sağlıkGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
tyyyyyyyyyyyGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
Geçen aylarda, birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı.
Cerberus Rat hakkında yazı için *** Gizli metin: alıntı yapılamaz. ***
GirişGeliştiricisi, bir üretici forumunda ellerini yıkamadığını ve başarısız bir müzayedenin ardından, kaynak defteri müşterilerini ve söz konusu forumun tüm premium kullanıcılarının ile dağıtımını belirttikten sonra yayınladı.Kötü amaçlı uygulama kitapçıklarından daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuç olarak, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl yapıldığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez yayıldıkça ve çalınan **yasak-içerik** bilgilerinin geçişinin aşılması, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın elde edilmesi, kötü niyetli yazılımın, tespit edilen testlerin analizinden zaten bilinenin eşiğine nasıl gelindiğiyle artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de yetişkinlerimiz gibi, kötü amaçlı kullanım kaynak kodlarını analiz etmek en ilginç yön değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikrimize ve bunun gizli işleyişine olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, hazır geliştirilmekte olan son sürümlere henüz uygulanmamış geçmiş.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, simüle eden ve kontrol sunucusuyla iletişim kuran küçük programları veya komut dosyalarını çalıştırmayı daha kolay hale getirir. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni cihazlar analiz etmek için faydalı araçları geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla anket bilgilerini çözmek için kaynak kodu
Şifreleme elden çıkarmanın isimleri kaynak kodda görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullanmasına rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme bileşenleri ve onaltılık kodu
Uygulamada, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri kaldırmak için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile talep eden kodda daha sonra kullanılan sabitler olarak nasıl tanımlandığını görebilirsiniz.
Bununla ilgili birincil kanıtımızda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu bölmeleri, barındırdıkları iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebilirsiniz, bunlardan biri 80 bağlantılı bağlantı kapısı, diğer 8080 bağlantı istasyonu restapi için.
- geçiş : virüslü cihazlar tarafından yapılan gözlemler gözlem PHP Önceki kodu belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılandırılmış isteklere yanıt vermek için sunucunun koleksiyonlarına sorgulayanlar yapan bir Rest API'si PHP kodunu uygular.
ikinci, normal ağ üzerinden değil TOR ağ üzerinden erişilebilir olacak şekilde algılamatır, böylece yalnızca ONION etki alanını bilen saldırganlar API'ye ayrıca istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli bilgilerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve kurumlar tarafından botnet'i bozmak için kontrol altına almak için saldırganların güvenlik açıklarını açığa çıkarma. Karşılaşabileceğimiz güvenlik açıklarından biri, belgelerdeki sorgularındaki SQL korumalı güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitabından oluşturdukları ifadeler kullanarak sınırları kapatmaya çalıştıkları görülüyor ki bu da en yaygın kapıda bu gibi güvenlik açıklarını engelliyor.
Bilgisayara yeni bir virüslü cihazın eklenmesi için verilen kod
Kötü amaçlı uygulama ve arka uç kodunun yanı sıra, kod deposunda her bir Cerberus botnet'in bulunduğu yer tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye ulaşan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS sunucusu kodu botnet yöneticisinin bilgisayarında çalıştırılması gerekli dosyaları, bu nedenle, analiz edilmesi, yöneticinin uzaktan kod çalıştırmasını bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümü, JavaScript çalıştırmayı çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu kullanım, virüs bu biçimli cihaz depolamalarından depolama sahiplerine ve belirli karakterlerin kullanılmasından kullanılırsa, bu JavaScript dosyalarını ReactJS yöneticileri ve saldırganların işletim sistemini kullanmak için kullanılabilir. Analizimiz sırasında bu işlevin korunmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından kullanan kaynak yazmanın yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da temelde bankacılık kötü amaçlı yazılım oyunu bir karakterden daha az olduğu amaç geliyor.
SMS gönderme
2FA yakalayıcı
SMS'in kesilmesi
Gizli SMS müdahalesi
Cihazınızı kilitleyin
sesi kapat
Keylogger (mesajcılar, watz uygulaması, telgraf-gizli, bankalar, vb, tarayıcılar hariç!)
USSD komutlarını yürütme
Çağrı yönlendirme
Banka sahte sayfa açma
Yüklü herhangi bir uygulamayı başlatın
Banka push bildirimi (Otomatik push - hangi bankanın kurulduğunu belirler)
URL'yi tarayıcıda aç
Yüklü tüm uygulamaları al
Tüm kişileri telefon defterinden alın
Kayıtlı tüm SMS'leri al
Herhangi bir uygulamayı kaldırma
Bot kendini yok etme
Hakların ve izinlerin otomatik olarak onaylanması
Bot, sunucuya bağlanmak için birkaç yedek url'ye sahip olabilir.
Enjeksiyonlar (html + js + css, cihaza indirme ve diskten çalıştırma, zayıf bağlantı veya İnternet eksikliği enjeksiyonların çalışmasını etkilemez)
kart kapmak
Posta Kapmak
Yönetici panelinde belirtilen süreden sonra enjeksiyonların otomatik olarak dahil edilmesi
Google Play Protect'in otomatik olarak kapatılması + yönetici panelinde belirtilen sürenin sonunda kapanma
Anti-emülatör (Cihaz aktif olduktan sonra bot çalışmaya başlar)
modülerlik
Bot uygulama boyutu 125'ten 180 KB'a (Crypt yaklaşık 1 MB)
Android 5 ve üzeri sürümlerde çalışır
Gizli SMS müdahalesi, sürüm 5 ve üzeri sürümlerden itibaren çalışır
Enjektörler, Android 5 – 10+ sürümlerinin tüm güncel sürümlerinde çalışır
Sunucu ve bot arasındaki veriler, rastgele bir anahtarla RC4 + base64 algoritması kullanılarak şifrelenir
Bot silmeyi engelleme
Engelleme yönetici haklarını devre dışı bırakma
Engelleme Erişilebilirlik Hizmetini Devre Dışı Bırakma
Gönderim için birkaç yedek alan olabilir
çok dilli
Benzersiz bot tanımlayıcısı
android versiyonu
Yapı İşaretleme
Cihaz ayarlarında ayarlanan ülke + dil
son vuruş
Ekran durumu (açık / kapalı)
Google Play Koruma durumu
Erişilebilirlik Hizmeti durumu
Yönetici Hakları Durumu
Ana modül alma durumu
Gizli SMS müdahalesinin durumu
Banka kayıtlarının, kartların ve postaların mevcudiyeti!
Yerleşik bankaların listesi
Cihaz IP'si
Cihaz bulaşma tarihi
Cihaz modeli
Şebeke
Pil şarj durumu
Sahibinin cep numarası
Telefon etkinliği (Bir öykünücünün varlığını belirleyin)
Bot çalışma saatleri!
Canlı yönetici paneli
Genel ve bireysel görevler
Bot tablosunu filtreleme
Kullanıcı dostu bir arayüz kullanarak kendi enjeksiyonlarınızı ekleme
Enjeksiyonları HTML biçiminde yükleme
İstatistikler: Çevrimiçi, Çevrimdışı, Günlükler
Uygulama listelerini ve telefon kişilerini veri tabanında saklama
Bankaların, kartların ve postaların ayrı günlükleri
Panel, sunucularımızda TOR ağında yer almaktadır.
Oluşturucu
LİNKİ İNDİR
eyw
eywGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
KkGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
adamsınGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
eyw hocam
eyvvvGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
.Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
bakalımGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
tşkrlerGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK
SonraGeçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .
Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***
GirişGeliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.
Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .
Ana geliştiricinin mesajı
Uygulama Kodu
Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.
Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu
Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.
Şifreleme işlevleri ve onaltılık kod
Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.
Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.
Sabit olarak tanımlanan URL'ler
Sunucu kodu
Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.
- geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
- restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.
Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.
Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
Veritabanına yeni bir virüslü cihaz eklemek için verilen kod
Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.
Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.
Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.
Sonuçlar
Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.
Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)
Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage
Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!
Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder
DOWNLOAD LİINK