Cerberus Rat v2 Kaynak kodlari ve programi (7 Viewers)

Cybuly

Samet Kaya
Joined
Sep 10, 2019
Credits
3,682
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 
Joined
Oct 6, 2020
Credits
3,034
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

++
 
Joined
Nov 6, 2018
Credits
149
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

Bklm
 
Joined
Dec 10, 2022
Credits
1,720
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

eyw
 
Joined
Jan 20, 2021
Credits
1,797
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 
Joined
Jun 15, 2021
Credits
1,823
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 
Joined
Dec 25, 2022
Credits
2,105
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

eyvallah
 
Joined
Nov 24, 2021
Credits
345
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 
Joined
Nov 24, 2021
Credits
345
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 
Joined
Jan 10, 2021
Credits
9,901
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

Eline sağlık. Up+
 

Massacre666

SpyWare_X
Joined
Sep 17, 2021
Credits
11,384
Rating - 100%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 
Joined
Sep 26, 2022
Credits
947
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 
Joined
Oct 28, 2018
Credits
38
Rating - 0%
bakalım bir
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 

Turan

Rehber Kuran, Hedef Turan
Joined
Jan 28, 2021
Credits
11,330
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

Konu paylaşımı için teşekkürler, elinize sağlık :)
 
Joined
Jan 31, 2023
Credits
1,995
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

Eline sağlık kardeşim güzel konu
 
Joined
Jun 1, 2021
Credits
8,691
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

ES
 
Joined
May 16, 2020
Credits
4,643
Rating - 50%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

 
Joined
Feb 14, 2023
Credits
1,598
Rating - 0%
Geçtiğimiz aylarda , birkaç kez daha önce yazdığımız Cerberus Android kötü amaçlı yazılım kaynak kodu halka açıldı .

Cerberus Rat hakkındakı yazım için *** Hidden text: cannot be quoted. ***

Giriş​

Geliştiricisi, bir yeraltı forumunda projenin ellerini yıkadığını ve başarısız bir müzayedenin ardından, kaynak kodunu müşterileri ve söz konusu forumun tüm premium kullanıcıları ile paylaştığını belirttikten sonra yayınladı.

Bu kararın ışığında, kötü amaçlı yazılımın , tespit edilen örneklerin analizinden zaten bilinenin ötesinde nasıl çalıştığını bütünüyle görmek artık mümkün .

cerberus-code-01.jpg

Ana geliştiricinin mesajı
Kötü amaçlı uygulama kodunun kendisinden daha ilginç olan, kontrol sunucusunda çalışan kodun analizidir. Sonuçta, örnekleri analiz etmek, kötü amaçlı yazılımın nasıl çalıştığı hakkında zaten büyük miktarda bilgi sağladı. Bununla birlikte, bu, sunucu tarafından çalıştırılan kodu elimize ilk kez aldığımız zamandır ve çalınan **yasak-içerik** bilgilerinin kaydının ötesinde, bunları kullanmak için bir tür otomatik mekanizma olup olmadığını bilmek ilgi çekicidir.


Uygulama Kodu​

Daha önce de belirttiğimiz gibi, kötü amaçlı uygulamanın kaynak kodunu analiz etmek en ilginç yönü değil, ancak bu kötü amaçlı yazılımın nasıl çalıştığı hakkında çok daha net bir fikir edinmemize ve bunun gizli işlevlere olanak sağlama olasılığı keşfedilebilir veya hangi kod sürümüyle uğraştığımıza bağlı olarak, henüz geliştirilmekte olan son sürümlere henüz uygulanmamış işlevler.

Analiz edilecek kodun en ilginç kısımlarından biri, kontrol sunucusuyla olan iletişim protokolüdür, çünkü kaynak koduna erişim sağlayarak, uygulamayı simüle eden ve kontrol sunucusuyla iletişim kuran küçük programlar veya komut dosyaları geliştirmek daha kolaydır. mevcut kampanya hakkında bilgi alın. Kodun bir kısmı, potansiyel olarak yeni sürümleri analiz etmek için yararlı araçlar geliştirmek üzere doğrudan yeniden kullanılabilir.

cerberus-code-02.jpg
İçerik eklenmiş banka **yasak-içerik** avı yoluyla toplanan bilgileri göndermek için kaynak kodu

Şifreleme fonksiyonlarının isimleri kaynak kodda açıkça görülebilir. Bununla birlikte, daha önce RC4 şifrelemesini kullandığı bilinmesine rağmen, artık görülmesi çok daha kolay ve net.

cerberus-code-03.jpg
Şifreleme işlevleri ve onaltılık kod

Uygulama kodunda, Truva Atı tarafından kontrol sunucusuyla iletişim kurmak ve çalınan verileri göndermek için kullanılan URL'lerin tam listesini de alabiliriz. Aşağıdaki görüntüde, URL'lerin veri gönderimi ile isteği yapan kodda daha sonra kullanılacak sabitler olarak nasıl tanımlandığını görebiliriz.

Bununla ilgili birincil raporumuzda görülebileceği gibi, aşağıdaki URL'ler Truva Atı'nın ilk sürümüne karşılık gelir.

cerberus-code-04.jpg

Sabit olarak tanımlanan URL'ler

Sunucu kodu​

Sunucu tarafında, işlevselliği iki ana öğeye ayırdık:
cerberus-code-05.jpg
  • geçit : virüslü cihazlar tarafından yapılan istekleri işleyen PHP kodu Önceki bölümde belirtilen URL'lere yapılan isteklerle ilgilenen sunucu kodudur.
  • restapi : Karşılık gelen sonuçlarla yapılan isteklere yanıt vermek için sunucunun veritabanına sorgular yapan bir Rest API uygulayan PHP kodu.
Sunucu kurulum betiğinin üzerinden geçersek, NGINX'te iki farklı sitenin nasıl yapılandırıldığını görebiliriz, bunlardan biri 80 numaralı bağlantı noktasında kapı, diğeri 8080 bağlantı noktasında restapi için.

Ayrıca, ikincisi, normal ağ üzerinden değil TOR ağı üzerinden erişilebilir olacak şekilde yapılandırılmıştır, böylece yalnızca ONION etki alanını bilen saldırgan API'ye istekte bulunma yeteneğine sahip olmalıdır.

Sunucunun kaynak koduna erişim, gizli işlevlerin yanı sıra, koddaki diğer saldırganlar tarafından veya analistler ve yetkililer tarafından botnet'i bozmak için kontrol altına almak için kullanılabilecek güvenlik açıklarını ortaya çıkarabilir. Karşılaşabileceğimiz güvenlik açıklarından biri, veritabanı sorgularındaki SQL enjeksiyon güvenlik açıklarıdır.

Ancak, geliştiricilerin PHP kitaplığından hazırlanmış ifadeler kullanarak izlerini kapatmaya çalıştıkları görülüyor ki bu da en azından kapıda bu gibi güvenlik açıklarını engelliyor.
cerberus-code-06.jpg

Veritabanına yeni bir virüslü cihaz eklemek için verilen kod

Kötü amaçlı uygulama ve arka uç kodun yanı sıra, kod deposunda her bir Cerberus botnet'in yöneticileri tarafından kullanılan panel koduna da rastlıyoruz.

Bu panel, TOR ağı üzerinden açığa çıkan Rest API'ye bağlanan bir ReactJS uygulamasıdır.

Botnet yönetimi arandığında, panelin ReactJS uygulamasının botnet yöneticisinin bilgisayarında çalıştırılması gerekli görünmektedir, bu nedenle, kodun analiz edilmesi, yöneticinin uzaktan kod yürütmesini bile etkinleştirebilecek güvenlik açıklarını hafifletebilir. bilgisayar. Kodun birkaç bölümünde, JavaScript kodunu çalıştırmayı sağlayan try_eval işlevine çağrı buluyoruz:

cerberus-code-07.jpg
Bu işlev, virüs bulaşmış cihaz veritabanından kaynaklanan parametrelerle ve belirli karakterleri filtrelemeden kullanılıyorsa, bunlar JavaScript kodunu ReactJS uygulamasında ve saldırganın sisteminde çalıştırmak için kullanılabilir. Analizimiz sırasında bu işlevin kötüye kullanılmasını sağlayacak hiçbir güvenlik açığı tespit edilmedi.


Sonuçlar​

Yılın en popüler Android banka Truva atlarından birinin kaynak kodunun yayımlanmasının olumlu ve olumsuz yanları vardır. Bir yandan, bu bankacının artık desteklenmiyor olması, orijinal projeyi sona erdirdi, bu da prensipte bankacılık kötü amaçlı yazılım oyununda bir oyuncu daha az olduğu anlamına geliyor.

CERVERUS-696x346.jpg

Sending SMS
2FA grabber
Interception of SMS
Covert SMS interception
Lock your device
Mute the sound
Keylogger (messengers, watz app, telegram-secret, banks, etc., except for browsers!)
Executing USSD commands
Call forwarding
Bank fake page opening
Launch any installed application
Bank push notification (Automatic push – determines which established bank)
Open url in browser
Get all installed apps
Retrieve all contacts from their phone book
Retrieve all saved SMS
Removing any application
Bot self-destruction
Automatic confirmation of rights and permissions
The bot can have several spare urls to connect to the server
Injections (html + js + css, download to the device and run from disk, poor connection or lack of Internet will not affect the operation of injections)
Card grabber
Mail Grabber
Automatic inclusion of injections after the time specified in the admin panel
Automatic shutdown of Google Play Protect + shutdown after the time specified in the admin panel
Anti-emulator (Bot starts working after the device is active)


Modularity
Bot application size from 125 to 180 KB (Crypt about 1 MB)
Works on Android versions 5 and above
Covert SMS interception works from version 5 and higher
Injectors work on all current versions of Android 5 – 10+
Data between the server and the bot is encrypted using the RC4 + base64 algorithm with a random key
Blocking bot deletion
Blocking disabling admin rights
Blocking Disable Accessibility Service
May have several spare domains for submission
Multilanguage

Unique bot identifier
Android version
Build Marking
Country + language which is set in the device settings
Last knock
Screen status (on / off)
Google Play Protect status
Accessibility Service state
Administrator Rights Status
Main module receive status
Status of hidden SMS interception
Availability of bank logs, cards and mails!
List of established banks
Device IP
Date of device infections
Device model
Operator
Battery state of charge
Holder’s cell number
Phone activity (Determine the presence of an emulator)
Bot working hours!

Live admin panel
General and individual tasks
Filtering the bot table
Adding your own injections using a user-friendly interface
Loading injections in HTML format
Statistics: Online, Offline, Logs
Storing application lists and phone contacts in the database
Separate logs of banks, cards and mails
The panel is located in the TOR network on our servers
Builder

DOWNLOAD LİINK

++
 

Users who are viewing this thread

Top