Cerberus Rat v2 Kaynak kodlari ve programi

[eniskobraj]

Thankks

 

[AdsMan]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

deneme

 

[Ardox]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

bkl

 

[hangimk1]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

tesekkkurler

 

[enespp10]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

bklm

 

[Dnxt]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

ty

 

[duoxx]

ty

Bbnn

 

[Talhaa05]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

es

 

[emreben9985]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

baya iyi kralsın

 

[Trakyalı40]

guzelmis

 

[mannnnykkberko]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

x

 

[mr-dark-d]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
منع حذف البوت
حظر تعطيل حقوق المسؤول
حظر تعطيل خدمة الوصول
قد يكون هناك عدة مجالات احتياطية لتقديمها
متعدد اللغات

معرف بوت فريد
نسخة أندرويد
بناء العلامات
البلد + اللغة التي تم ضبطها في إعدادات الجهاز
الضربة الأخيرة
حالة الشاشة (تشغيل / إيقاف)
حالة حماية Google Play
حالة خدمة الوصول
حالة حقوق المسؤول
الوحدة الرئيسية تتلقى الحالة
حالة اعتراض الرسائل القصيرة المخفية
توافر سجلات البنك والبطاقات ورسائل البريد!
قائمة البنوك القائمة
IP الجهاز
تاريخ إصابة الجهاز
طراز الجهاز
المشغل أو العامل
حالة شحن البطارية
رقم جوال صاحبه
نشاط الهاتف (تحديد وجود محاكي)
ساعات عمل البوت!

لوحة الإدارة الحية
المهام العامة والفردية
تصفية جدول الروبوتات
إضافة الحقن الخاصة بك باستخدام واجهة سهلة الاستخدام
تحميل الحقن بتنسيق HTML
الإحصائيات: متصل، غير متصل، سجلات
تخزين قوائم التطبيقات وجهات الاتصال الهاتفية في قاعدة البيانات
سجلات منفصلة للبنوك والبطاقات ورسائل البريد
اللوحة موجودة في شبكة TOR على خوادمنا
منشئ

رابط التحميل

[إخفاء الشكر]*** النص المخفي: لا يمكن اقتباسه. ***
[/إخفاء الشكر]​

 

[Ralynn]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

...

 

[kocakola]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

 

[kararara]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

thank you

 

[kapss]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

eline sağlık

 

[maskot]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

es

 

[alidmrxx0]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

iyi

 

[kemalbehramis]

teşekkur ederim sagollll

 

[galaxy_01]

thanks

 

[Mami Official]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

++

 

[mrblown]

bakalım

 

[thenos]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

eyw lanla

 

[bycoders]

link kırık

 

[mXBozkurt]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

ellerine sağlık

 

[harasad]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

ii

 

[harasad]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

Virus total dan geçir linki çalışmıyor

 

[eroin66]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Botun silinmesini engelleme
Yönetici haklarının devre dışı bırakılmasını engelleme
Erişilebilirlik Hizmetini Engelleme
Gönderim için birkaç yedek alan adı olabilir
Çoklu dil

Benzersiz bot tanımlayıcısı
Android sürümü
Yapı İşaretlemesi
Cihaz ayarlarında belirlenen ülke + dil
Son vuruş
Ekran durumu (açık/kapalı)
Google Play Koruma durumu
Erişilebilirlik Hizmeti durumu
Yönetici Hakları Durumu
Ana modül alma durumu
Gizli SMS müdahalesinin durumu
Banka günlüklerinin, kartların ve postaların mevcudiyeti!
Kurulu bankaların listesi
Cihaz IP'si
Cihaz bulaşma tarihi
Cihaz modeli
Şebeke
Pilin şarj durumu
Sahibinin cep numarası
Telefon etkinliği (Bir öykünücünün varlığını belirleme)
Bot çalışma saatleri!

Canlı yönetici paneli
Genel ve bireysel görevler
Bot tablosunu filtreleme
Kullanıcı dostu bir arayüz kullanarak kendi enjeksiyonlarınızı ekleme
Enjeksiyonları HTML formatında yükleme
İstatistikler: Çevrimiçi, Çevrimdışı, Günlükler
Uygulama listelerini ve telefon kişilerini veritabanında saklama
Bankaların, kartların ve postaların ayrı kayıtları
Panel, sunucularımızdaki TOR ağında bulunur
İnşaatçı

LİNK'İ İNDİR

To view the content, you need to Sign In or Register.

To view the content, you need to Sign In or Register.

To view the content, you need to Sign In or Register.

 

[eroin66]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

eyw

 

[Aleister Crowley]

Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

​

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

Ana geliştiricinin mesajı
​

Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.

Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:

• geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
• restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.

Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.

​

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.

Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

To view the content, you need to Sign In or Register.

look