I tera atu ra Group-IB e pā ana ki te mahi o te pūkoro Android Torotiana Gustuff. Ka mahi anake i nga maakete o te ao, ka whakaeke i nga kaihoko o nga peeke 100 nui rawa atu, nga kaiwhakamahi o nga pukoro 32 crypto pūkoro, me nga rauemi e-tauhokohoko nui. Engari ko te kaiwhakawhanake a Gustuff he tangata hara ipurangi reo Ruhia i raro i te ingoa īngoa Bestoffer. Tae noa ki tenei wa, i whakanui ia i tana Torotiana hei "hua nui mo nga tangata whai matauranga me te wheako."
He tohunga tātari waehere kino i te Rōpū-IB Ivan Pisarev i roto i ana rangahau, e korero ana ia mo te mahi a Gustuff me te aha o ona kino.
Ko wai e whaia ana e Gustuff?
Ko Gustuff no te reanga hou o te malware me nga mahi aunoa. E ai ki te kaiwhakawhanake, kua noho te Torotiana hei putanga hou me te pai ake o te AndyBot malware, mai i te marama o Whiringa-a-rangi 2017 e whakaeke ana i nga waea Android me te tahae moni na roto i nga puka tukutuku hītinihanga e huna ana hei tono pūkoro o nga peeke o te ao rongonui me nga punaha utu. I kii a Bestoffer ko te utu riihi a Gustuff Bot he $800 ia marama.
Ko te tātaritanga o te tauira Gustuff i whakaatu ko te Torotiana kei te aro pea ki nga kaihoko ma te whakamahi i nga tono pūkoro o nga peeke nui rawa atu, penei i te Bank of America, Bank of Scotland, JPMorgan, Wells Fargo, Capital One, TD Bank, PNC Bank, me nga putea crypto. Pukoro Bitcoin, BitPay, Cryptopay, Coinbase, etc.
I hanga tuatahi hei Torotiana putea matarohia, i roto i te putanga o naianei kua tino whakawhānuihia e Gustuff te rarangi o nga whaainga ka taea te whakaeke. I tua atu i nga tono Android mo nga peeke, kamupene fintech me nga ratonga crypto, ko te Gustuff e whai ana ki nga kaiwhakamahi o nga tono maakete, toa ipurangi, punaha utu me nga karere tere. Ina koa, PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut me etahi atu.
Wāhi whakauru: tātaitanga mō te mate papatipu
Ko te ahua o Gustuff e te "matarohia" vector o te kuhu ki nga waea atamai Android na roto i nga mēra SMS me nga hononga ki nga APK. Ka pangia tetahi taputapu Android ki te Torotiana i runga i te whakahau a te kaimau, ka horapa atu pea a Gustuff i roto i te papaunga raraunga whakapā o te waea kua pangia, i te papaunga raraunga tūmau ranei. Ko te mahi a Gustuff i hangaia mo te mate papatipu me te nui o te whakapaipai o te pakihi o ana kaiwhakahaere - he mahi "aunoa-uta" motuhake ki roto i nga tono peeke pūkoro tika me nga putea crypto, e taea ai e koe te tere me te tarai i te tahae moni.
I whakaatuhia e te rangahau mo te Torotiana i whakatinanahia te mahi whakakiiaunoa ki roto ma te whakamahi i te Ratonga Whakaaetanga, he ratonga mo te hunga haua. Ehara a Gustuff i te Torotiana tuatahi ki te karo i te whakamarumaru ki te taunekeneke me nga huānga matapihi o etahi atu tono ma te whakamahi i tenei ratonga Android. Heoi, he onge tonu te whakamahi i te Ratonga Whakaaetanga me te whakakii waka.
I muri i te tango ki te waea a te tangata i paopaohia, ka taea e Gustuff, ma te whakamahi i te Ratonga Whakaaetanga, te taunekeneke me nga waahanga matapihi o etahi atu tono (peeke, cryptocurrency, me nga tono mo te hokohoko tuihono, karere, me etahi atu), e mahi ana i nga mahi e tika ana mo nga kaiwhaiwhai. . Hei tauira, i runga i te whakahau a te kaimau, ka taea e te Torotiana te pehi i nga paatene me te whakarereke i nga uara o nga mara kuputuhi i roto i nga tono putea. Ma te whakamahi i te huarahi Ratonga Whakaaetanga ka taea e te Torotiana te karo i nga tikanga haumaru e whakamahia ana e nga peeke ki te aukati i nga Trojans pūkoro reanga o mua, me nga huringa o te kaupapa here haumarutanga i whakatinanahia e Google i roto i nga putanga hou o te Android OS. Na, ka "mohio" a Gustuff ki te whakakore i te Tiaki Tiaki a Google: e ai ki te kaituhi, ka mahi tenei mahi i roto i te 70% o nga keehi.
Ka taea hoki e Gustuff te whakaatu i nga whakamohiotanga PUSH rūpahu me nga tohu o nga tono pūkoro tika. Ka paatohia e te kaiwhakamahi te panui PUSH ka kite i te matapihi hītinihanga i tangohia mai i te tūmau, ka uru atu ia ki te kaari putea kua tonohia, ki te raraunga putea crypto ranei. I tetahi atu ahuatanga Gustuff, ka whakatuwherahia te tono mo te mea i whakaatuhia te panui PUSH. I tenei keehi, ka taea e te malware, i runga i te whakahau mai i te tūmau ma te Ratonga Whakaaetanga, ka taea te whakakii i nga waahanga puka o te tono putea mo te hokohoko tinihanga.
Kei roto hoki i nga mahi a Gustuff te tuku korero mo tetahi taputapu kua pangia ki te tūmau, te kaha ki te panui/tuku karere SMS, te tuku tono USSD, te whakarewa i te SOCKS5 Proxy, te whai hononga, te tuku i nga konae (tae atu ki nga karapa whakaahua o nga tuhinga, nga whakaahua, nga whakaahua) ki te tūmau , tautuhi anō i te pūrere ki ngā tautuhinga wheketere.
Te tātari Malware
I mua i te whakauru i tetahi tono kino, ka whakaatu te Android OS ki te kaiwhakamahi he matapihi kei roto he rarangi motika i tonoa e Gustuff:
Ko te whakaurunga o te tono ka puta noa i muri i te whiwhi whakaaetanga a te kaiwhakamahi. I muri i te whakarewatanga o te tono, ka whakaatu te Torotiana ki te kaiwhakamahi he matapihi:
Muri iho ka tangohia e ia tana tohu.
E kii ana a Gustuff, e ai ki te kaituhi, na tetahi kaipakihi mai i te FTT. I muri i te tiimatanga, ka whakapiri atu te tono ki te tūmau CnC kia whiwhi tono. He maha nga konae i tirohia e matou i whakamahia he wahitau IP hei tūmau mana 88.99.171[.]105 (i muri nei ka tohuhia e matou hei <%CnC%>).
I muri i te whakarewatanga, ka timata te papatono ki te tuku karere ki te tūmau http://<%CnC%>/api/v1/get.php.
Ko te whakautu ko te JSON i roto i te whakatakotoranga e whai ake nei:
{
"results" : "OK",
"command":{
"id": "<%id%>",
"command":"<%command%>",
"timestamp":"<%Server Timestamp%>",
"params":{
<%Command parameters as JSON%>
},
},
}Ia wa ka uru atu te tono, ka tukuna e ia nga korero mo te taputapu kua pangia. Ko te whakatakotoranga karere kei raro nei. He mea tika kia mohio ko nga mara ki tonu, anō, taupānga и whakaaetanga – he kowhiringa ka tukuna mai mena he tono tono mai i a CnC.
{
"info":
{
"info":
{
"cell":<%Sim operator name%>,
"country":<%Country ISO%>,
"imei":<%IMEI%>,
"number":<%Phone number%>,
"line1Number":<%Phone number%>,
"advertisementId":<%ID%>
},
"state":
{
"admin":<%Has admin rights%>,
"source":<%String%>,
"needPermissions":<%Application needs permissions%>,
"accesByName":<%Boolean%>,
"accesByService":<%Boolean%>,
"safetyNet":<%String%>,
"defaultSmsApp":<%Default Sms Application%>,
"isDefaultSmsApp":<%Current application is Default Sms Application%>,
"dateTime":<%Current date time%>,
"batteryLevel":<%Battery level%>
},
"socks":
{
"id":<%Proxy module ID%>,
"enabled":<%Is enabled%>,
"active":<%Is active%>
},
"version":
{
"versionName":<%Package Version Name%>,
"versionCode":<%Package Version Code%>,
"lastUpdateTime":<%Package Last Update Time%>,
"tag":<%Tag, default value: "TAG"%>,
"targetSdkVersion":<%Target Sdk Version%>,
"buildConfigTimestamp":1541309066721
},
},
"full":
{
"model":<%Device Model%>,
"localeCountry":<%Country%>,
"localeLang":<%Locale language%>,
"accounts":<%JSON array, contains from "name" and "type" of accounts%>,
"lockType":<%Type of lockscreen password%>
},
"extra":
{
"serial":<%Build serial number%>,
"board":<%Build Board%>,
"brand":<%Build Brand%>,
"user":<%Build User%>,
"device":<%Build Device%>,
"display":<%Build Display%>,
"id":<%Build ID%>,
"manufacturer":<%Build manufacturer%>,
"model":<%Build model%>,
"product":<%Build product%>,
"tags":<%Build tags%>,
"type":<%Build type%>,
"imei":<%imei%>,
"imsi":<%imsi%>,
"line1number":<%phonenumber%>,
"iccid":<%Sim serial number%>,
"mcc":<%Mobile country code of operator%>,
"mnc":<%Mobile network codeof operator%>,
"cellid":<%GSM-data%>,
"lac":<%GSM-data%>,
"androidid":<%Android Id%>,
"ssid":<%Wi-Fi SSID%>
},
"apps":{<%List of installed applications%>},
"permission":<%List of granted permissions%>
} Pupuri raraunga whirihoranga
Pupuri ana a Gustuff i nga korero nui i roto i te konae manakohanga. Ko te ingoa kōnae, me nga ingoa o nga tawhā kei roto, ko te hua o te tatau i te moni MD5 mai i te aho. 15413090667214.6.1<%name%>te wahi <%name%> — ingoa-uara tuatahi. Te whakamaoritanga a Python mo te mahi whakaputa ingoa:
nameGenerator(input):
output = md5("15413090667214.6.1" + input)
I roto i nga mea e whai ake nei ka tohuhia e matou Kaihanga ingoa(whakauru).
Na ko te ingoa kōnae tuatahi ko: nameGenerator("API_SERVER_LIST"), kei roto nga uara me nga ingoa e whai ake nei:
| Ingoa taurangi | uara |
|---|---|
| nameGenerator("API_SERVER_LIST") | Kei roto he rarangi o nga wahitau CnC i te ahua o te huinga. |
| nameGenerator("API_SERVER_URL") | Kei roto te wāhitau CnC. |
| nameGenerator("SMS_UPLOAD") | Kua tautuhia te haki ma te taunoa. Mena kua tautuhia te haki, ka tuku karere SMS ki CnC. |
| nameGenerator("SMS_ROOT_NUMBER") | Te nama waea ka tukuna atu nga karere SMS e te taputapu kua pangia. He null te taunoa. |
| nameGenerator("SMS_ROOT_NUMBER_RESEND") | Ka whakawāteahia te haki mā te taunoa. Mena kua whakauruhia, ka whiwhi SMS tetahi taputapu pangia, ka tukuna ki te nama pakiaka. |
| nameGenerator("DEFAULT_APP_SMS") | Ka whakawāteahia te haki mā te taunoa. Mena kua tautuhia tenei haki, ka tukatukahia e te tono nga karere SMS taumai. |
| nameGenerator("DEFAULT_ADMIN") | Ka whakawāteahia te haki mā te taunoa. Mena kua tautuhia te haki, kei te tono mo nga mana kaiwhakahaere. |
| nameGenerator("DEFAULT_ACCESSIBILITY") | Ka whakawāteahia te haki mā te taunoa. Mena kua tautuhia te haki, kei te haere tetahi ratonga e whakamahi ana i te Ratonga Uru. |
| nameGenerator("APPS_CONFIG") | He ahanoa JSON kei roto he rarangi o nga hohenga me mahi ina whakaohohia he takahanga Urunga e hono ana ki tetahi tono motuhake. |
| nameGenerator("APPS_INSTALLED") | Pupuri ana i te rarangi o nga tono kua whakauruhia ki runga i te taputapu. |
| nameGenerator("IS_FIST_RUN") | Ka tautuhia te haki i te timatanga tuatahi. |
| nameGenerator("UNIQUE_ID") | Kei roto he tautohu ahurei. I hangaia ina whakarewahia te karetao mo te wa tuatahi. |
Kōwae mō te tukatuka tono mai i te tūmau
Ka penapenahia e te tono nga wahitau o nga kaimau CnC i roto i te ahua o te huinga kua whakawaeheretia e Basexnumx raina. Ka taea te whakarereke i te rarangi o nga tūmau CnC i te wa i riro mai ai te whakahau e tika ana, katahi ka penapena nga wahitau ki tetahi konae hiahia.
Hei whakautu ki te tono, ka tukuna e te tūmau he whakahau ki te tono. He mea tika kia mohio kei te whakaatuhia nga whakahau me nga tawhā ki te whakatakotoranga JSON. Ka taea e te tono te whakahaere i nga whakahau e whai ake nei:
| rōpū | Whakaahuatanga |
|---|---|
| whakamuaTīmata | Tīmatahia te tuku karere SMS kua riro mai i te taputapu pangia ki te tūmau CnC. |
| muaKati | Kati te tuku karere SMS kua riro mai i te taputapu kua pangia ki te tūmau CnC. |
| ussdRun | Whakahaerehia te tono USSD. Ko te nama e hiahia ana koe ki te tono USSD kei te mara JSON "nama". |
| tukuSms | Tukuna tetahi karere SMS (mehemea e tika ana, ka "wehea" te karere ki etahi waahanga). Hei tawhā, ka mau te whakahau i tetahi ahanoa JSON kei roto nga mara "ki" - te tau ūnga me te "tinana" - te tinana o te karere. |
| tukuSmsAb | Tukuna nga karere SMS (mehemea e tika ana, ka "wehea" te karere ki etahi waahanga) ki nga tangata katoa kei roto i te rarangi whakapiri o te taputapu kua pangia. Ko te waahi i waenga i te tuku karere he 10 hēkona. Ko te tinana o te karere kei te mara JSON "tinana" |
| tukuSmsMass | Tukuna nga karere SMS (mehemea e tika ana, ka "wehea" te karere ki nga waahanga) ki nga hoapaki kua tohua i roto i nga tawhā whakahau. Ko te waahi i waenga i te tuku karere he 10 hēkona. Hei tawhā, ka mau te whakahau i te raupapa JSON (te mara "sms"), kei roto i nga waahanga nga mara "ki" - te tau ūnga me te "tinana" - te tinana o te karere. |
| huringaTumautumau | Ka taea e tenei whakahau te tango i te uara me te matua "url" hei tawhā - katahi ka hurihia e te karetao te uara o nameGenerator("SERVER_URL"), "array" ranei - katahi ka tuhia e te karetao te huinga ki te nameGenerator ("API_SERVER_LIST") No reira, ka huri te tono i te wahitau o nga tūmau CnC. |
| adminNumber | Kua hoahoatia te whakahau kia mahi me te tau pakiaka. Ka whakaaehia e te whakahau tetahi ahanoa JSON me nga tawhā e whai ake nei: "tau" — hurihia te ingoaGenerator("ROOT_NUMBER") ki te uara kua riro, "tuku" - huri ingoaGenerator("SMS_ROOT_NUMBER_RESEND"), "sendId" - tukuna ki nameGenerator("ROOT_NUMBER" ) uniqueID. |
| whakahouInfo | Tukua nga korero mo te taputapu kua pangia ki te tūmau. |
| wipeRaraunga | Ko te tono ki te whakakore i nga raraunga kaiwhakamahi. I runga i te ingoa i whakarewahia te tono, ka murua katoatia nga raraunga me te whakaara ano i te taputapu (kaiwhakamahi tuatahi), ka mukua ranei nga raraunga kaiwhakamahi (kaiwhakamahi tuarua). |
| tōkenaTīmata | Whakarewahia te kōwae Takawaenga. Ko te mahi o te kōwae e whakaahuatia ana i roto i te waahanga motuhake. |
| tōkenaKati | Kati te kōwae Takawaenga. |
| hono tuwhera | Whaia te hono. Ko te hononga kei roto i te tawhā JSON i raro i te matua "url". Ka whakamahia te "android.intent.action.VIEW" hei whakatuwhera i te hono. |
| uploadAllSms | Tukuna nga karere SMS katoa kua riro mai i te taputapu ki te tūmau. |
| uploadAllPhotos | Tukuna nga whakaahua mai i tetahi taputapu kua pangia ki te URL. Ka tae mai te URL hei tawhā. |
| uploadFile | Tukuna he konae ki tetahi URL mai i tetahi taputapu kua pangia. Ka tae mai te URL hei tawhā. |
| uploadPhoneNumbers | Tukuna nga nama waea mai i to rarangi whakapā ki te tūmau. Mena ka whakawhiwhia he uara ahanoa JSON me te matua "ab" hei tawhā, ka whiwhi te tono i te rarangi o nga hoapaki mai i te pukapuka waea. Mena ka whakawhiwhia he ahanoa JSON me te "sms" matua hei tawhā, ka panuihia e te tono te rarangi o nga hoapaki mai i nga kaituku o nga karere SMS. |
| huringaPuranga | Ka tangohia e te tono te konae mai i te wahitau ka puta hei tawhā ma te whakamahi i te matua "url". Ka tiakina te konae kua tangohia me te ingoa "archive.zip". Ka wetekina e te tono te konae, ma te whakamahi i te kupuhipa puranga "b5jXh37gxgHBrZhQ4j3D". Ko nga konae kua wetewetehia ka tiakina ki roto i te raarangi [pupuhi o waho]/hgps. I roto i tenei raarangi, ka penapenahia e te tono nga rūpahu paetukutuku (kua whakaahuatia i raro nei). |
| kararehe | Kua hoahoatia te whakahau ki te mahi tahi me te Mahi Mahi, e whakaahuatia ana i roto i tetahi waahanga motuhake. |
| whakamātautau | Te kore mahi. |
| download | Ko te tono ki te tango i tetahi konae mai i te tūmau mamao ka penapena ki te raarangi "Tikiake". Ko te URL me te ingoa konae ka tae mai hei tawhā, nga mara i roto i te ahanoa tawhā JSON, ia: "url" me "fileName". |
| tango | Ka tango i tetahi konae mai i te raarangi "Tikiake". Ko te ingoa konae ka tae mai ki te tawhā JSON me te matua "NameName". Ko te ingoa kōnae paerewa ko “tmp.apk”. |
| whakamōhiotanga | Whakaatuhia he panui me nga tuhinga whakaahuatanga me nga taitara kua tautuhia e te tūmau whakahaere. |
Hōputu Whakahau whakamōhiotanga:
{
"results" : "OK",
"command":{
"id": <%id%>,
"command":"notification",
"timestamp":<%Server Timestamp%>,
"params":{
"openApp":<%Open original app or not%>,
"array":[
{"title":<%Title text%>,
"desc":<%Description text%>,
"app":<%Application name%>}
]
},
},
}Ko te whakamohiotanga i hangaia e te konae e tirotirohia ana he rite ki nga whakamohiotanga i hangaia e te tono kua tohua ki te mara taupānga. Mena te uara mara tuwheraApp — Pono, ka whakatuwherahia he panui, ka whakarewahia te tono kua tohua ki te mara taupānga. Mena te uara mara tuwheraApp — He teka, na:
- Ka tuwhera he matapihi hītinihanga, ko nga ihirangi ka tangohia mai i te whaiaronga <%rokiroki waho%>/hgps/<%filename%>
- Ka tuwhera he matapihi hītinihanga, ka tangohia nga ihirangi mai i te tūmau <%url%>?id=<%Bot id%>&app=<%Ingoa tono%>
- Ka tuwhera he matapihi hītinihanga, ka huna hei Kaari Play Google, me te whai waahi ki te whakauru i nga taipitopito kaari.
Ka tukuna e te tono te hua o tetahi whakahau ki <%CnC%>set_state.php hei ahanoa JSON i te whakatakotoranga e whai ake nei:
{
"command":
{
"command":<%command%>,
"id":<%command_id%>,
"state":<%command_state%>
}
"id":<%bot_id%>
}
MahiRatonga
Ko te rarangi o nga whakahau kei roto i nga tukanga tono mahi. Ina tae mai he tono, ka uru te kōwae tukatuka whakahau ki tenei ratonga ki te whakahaere i te whakahau roa. Ka whakaaetia e te ratonga he ahanoa JSON hei tawhā. Ka taea e te ratonga te whakahaere i nga whakahau e whai ake nei:
1. PARAMS_ACTION — i te wa e whiwhi ana i taua whakahau, ka whiwhi tuatahi te ratonga mai i te tawhā JSON te uara o te taviri Momo, penei pea:
- serviceInfo – ka whiwhi te whakahau iti i te uara ma te matua mai i te tawhā JSON whakauruKaore i te mea nui. Mena he Pono te haki, ka whakatauhia e te tono te haki FLAG_ISOLATED_PROCESS ki tetahi ratonga ma te whakamahi i te Ratonga Uru. Ma tenei huarahi ka whakarewahia te ratonga i roto i tetahi waahanga motuhake.
- pakiaka — whiwhi me te tuku korero ki te tūmau mo te matapihi kei te arotahi. Ka whiwhi korero te tono ma te whakamahi i te akomanga AccessibilityNodeInfo.
- admin — tono motika kaiwhakahaere.
- whakaroa — whakatārewatia te ActionsService mo te maha o nga milliseconds kua tohua ki te tawhā mo te kī “raraunga”.
- matapihi — tukuna he rarangi o nga matapihi ka kitea e te kaiwhakamahi.
- tāuta — tāuta te tono i runga i te taputapu pangia. Ko te ingoa o te kete pūranga kei te kī "Ingoakōnae". Ko te pūranga kei roto i te whaiaronga Tikiake.
- ao – ko te whakahau iti hei whakatere mai i te matapihi o naianei:
- i runga i te tahua Tautuhinga Tere
- muri
- kainga
- ki nga whakamohiotanga
- ki te matapihi tono i whakatuwherahia tata nei
- Whakarewatanga - whakarewahia te tono. Ko te ingoa tono ka puta hei tawhā ma te matua raraunga.
- tangi — huri i te aratau tangi ki te wahangu.
- iriti — ka whakakā i te rama tuara o te mata me te papapātuhi kia kanapa tonu. Ka mahia e te tono tenei hohenga ma te whakamahi i te WakeLock, e tohu ana i te aho [Tapanga tono]:INFO hei tohu
- whakakikorua — kaore i te whakatinanahia te mahi (ko te whakautu ki te mahi whakahau ko {"karere":"Kare i te tautoko"} ranei {"karere":"sdk iti"})
- tohu — kaore i te whakatinanahia te mahi (ko te whakautu ki te mahi whakahau ko {"karere":"Kare i te tautoko"}ranei {"karere":"API iti"})
- whakaaetanga — he mea tika tenei whakahau ki te tono whakaaetanga mo te tono. Heoi, kaore i te whakatinanahia te mahi uiui, no reira he koretake te whakahau. Ko te rarangi o nga motika i tonohia mai he huinga JSON me te "whakaaetanga" matua. Rarangi Paerewa:
- android.permission.READ_PHONE_STATE
- android.permission.READ_CONTACTS
- android.permission.CALL_PHONE
- android.permission.RECEIVE_SMS
- android.permission.SEND_SMS
- android.permission.READ_SMS
- android.permission.READ_EXTERNAL_STORAGE
- WhakaahuatangaWEXITE_EXTERNAL_STORAGE
- tuwhera — whakaatu i te matapihi hītinihanga. I runga i te tawhā ka puta mai i te tūmau, ka whakaatu pea te tono i nga matapihi hītinihanga e whai ake nei:
- Whakaatuhia he matapihi hītinihanga kua tuhia nga ihirangi ki roto i te konae kei roto i te whaiaronga <%whaiaronga o waho%>/hgps/<%param_filename%>. Ko te hua o te taunekeneke a te kaiwhakamahi me te matapihi ka tukuna ki <%CnC%>/records.php
- Whakaatuhia he matapihi hītinihanga kua utaina i mua i te waahi noho <%url_param%>?id=<%bot_id%>&app=<%packagename%>. Ko te hua o te taunekeneke a te kaiwhakamahi me te matapihi ka tukuna ki <%CnC%>/records.php
- Whakaatuhia he matapihi hītinihanga e huna ana hei Kaari Play Google.
- pāhekoheko — I hangaia te whakahau ki te taunekeneke me nga huānga matapihi o etahi atu tono ma te whakamahi AcessibilityService. Kua whakatinanahia he ratonga motuhake i roto i te kaupapa mo te taunekeneke. Ka taea e te tono e tirotirohia ana te taunekeneke me nga matapihi:
- Kei te kaha inaianei. I tenei keehi, kei roto i te tawhā te id, te kuputuhi ranei (ingoa) o te ahanoa e hiahia ana koe ki te taunekeneke.
- Ka kitea e te kaiwhakamahi i te wa e mahia ai te whakahau. Ka tohua e te tono nga matapihi ma te id.
Kua whiwhi taonga AccessibilityNodeInfo Mo nga huānga matapihi e pai ana, ka taea e te tono, i runga i nga tawhā, te mahi i nga mahi e whai ake nei:
- arotahi — whakaritea te arotahi ki te ahanoa.
- pāwhiri - pāwhiri i runga i te ahanoa.
- actionId — mahia he mahi ma te ID.
- setText — huri i te tuhinga o tetahi mea. Ka taea te whakarereke i te tuhinga ma nga huarahi e rua: mahia he mahi ACTION_SET_TEXT (mehemea he iti ake, he rite ranei te putanga Android o te taputapu kua pangia NGĀ MAHI), ma te tuku aho ranei ki runga i te papatopenga me te whakapiri ki tetahi mea (mo nga putanga tawhito). Ka taea te whakamahi i tenei tono ki te huri i nga raraunga i roto i te tono putea.
2. PARAMS_ACTIONS - rite tonu PARAMS_ACTION, ka tae mai he huinga whakahau JSON anake.
Te ahua nei he maha nga tangata ka aro ki te ahua o te mahi o te taunekeneke me nga waahanga matapihi o tetahi atu tono. Ko tenei te whakatinanatanga o tenei mahi ki Gustuff:
boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
int count = action.optInt("repeat", 1);
Iterator aiListIterator = ((Iterable)aiList).iterator();
int count = 0;
while(aiListIterator.hasNext()) {
Object ani = aiListIterator.next();
if(1 <= count) {
int index;
for(index = 1; true; ++index) {
if(action.has("focus")) {
if(((AccessibilityNodeInfo)ani).performAction(1)) {
++count;
}
}
else if(action.has("click")) {
if(((AccessibilityNodeInfo)ani).performAction(16)) {
++count;
}
}
else if(action.has("actionId")) {
if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
++count;
}
}
else if(action.has("setText")) {
customHeader ch = CustomAccessibilityService.a;
Context context = this.getApplicationContext();
String text = action.optString("setText");
if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
++count;
}
}
if(index == count) {
break;
}
}
}
((AccessibilityNodeInfo)ani).recycle();
}
res.addPropertyNumber("res", Integer.valueOf(count));
}Taumahi whakakapi kupu:
boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
boolean result;
if(Build$VERSION.SDK_INT >= 21) {
Bundle b = new Bundle();
b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
result = ani.performAction(0x200000, b); // ACTION_SET_TEXT
}
else {
Object clipboard = context.getSystemService("clipboard");
if(clipboard != null) {
((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
result = ani.performAction(0x8000); // ACTION_PASTE
}
else {
result = false;
}
}
return result;
}Na, me te whirihoranga tika o te tūmau mana, ka taea e Gustuff te whakakii i nga mara tuhinga i roto i te tono putea me te panui i nga paatene e tika ana hei whakaoti i te tauwhitinga. Ko te Torotiana karekau e hiahia ki te takiuru ki te tono—e nui ana ki te tuku i tetahi whakahau hei whakaatu i te panui PUSH ka whakatuwhera i te tono peeke kua whakauruhia i mua. Ka whakamanahia e te kaiwhakamahi a ia ano, ka mutu ka taea e Gustuff te whakakii i te motuka.
Kōwae tukatuka karere SMS
Ka whakauruhia e te tono he kaikawe huihuinga mo te taputapu kua pangia ki te whakaae ki nga karere SMS. Ka taea e te tono e ako ana te tono mai i te kaiwhakahaere, ka puta mai i te tinana o te karere SMS. Ka tae mai nga tono ki te whakatakotoranga:
7!5=<%Base64 tono whakawaehere%>
Ka rapu te tono mo te aho i roto i nga karere SMS taumai katoa 7!5=, ka kitea he aho, ka wetewetehia e ia te aho mai i te Base64 i te whakatiki 4 ka mahia te whakahau. He rite nga whakahau ki era whai CnC. Ka tukuna te hua mahi ki te tau ano i puta mai ai te whakahau. Hōputu whakautu:
7*5=<%Base64 whakawaehere o “whakahau tohu_huatanga”%>
Ko te hiahia, ka taea e te tono te tuku i nga karere kua riro katoa ki te nama Root. Ki te mahi i tenei, me tohu te nama Root ki te konae manakohanga me te tohu tohu whakawhiti karere. Ka tukuna he karere SMS ki te nama o te kaitukino i te whakatakotoranga:
<%Mai te nama%> - <%Wā, hōputu: dd/MM/yyyy HH:mm:ss%> <%SMS body%>
Ano, ka taea e te tono te tuku karere ki a CnC. Ka tukuna te karere SMS ki te tūmau i te hōputu JSON:
{
"id":<%BotID%>,
"sms":
{
"text":<%SMS body%>,
"number":<%From number%>,
"date":<%Timestamp%>
}
}Mena kua whakaritea te haki nameGenerator("DEFAULT_APP_SMS") - ka mutu te tono ki te tukatuka i te karere SMS me te whakakore i te rarangi o nga karere taumai.
Kōwae takawaenga
Kei roto i te tono e akohia ana he kōwae Takawaenga Backconnect (i muri nei ka kiia ko te kōwae Takawaenga), he karaehe motuhake kei roto nga mara pateko me te whirihoranga. Ko nga raraunga whirihoranga ka rongoa ki te tauira i roto i te ahua marama:
Ko nga mahi katoa i mahia e te waahanga Takawaenga kua takiuru ki roto i nga konae. Ki te mahi i tenei, ka hangaia e te tono i roto i te Rokiroki Waho he raarangi e kiia nei ko "rakau" (te mara ProxyConfigClass.logsDir i roto i te akomanga whirihoranga), kei roto nga konae raarangi. Ka puta te takiuru ki nga konae me nga ingoa:
- matua.txt – Ko te mahi a te karaehe e kiia nei ko CommandServer kua takiuru ki tenei konae. I nga mea e whai ake nei, ko te takiuru i te aho str ki roto i tenei konae ka kiia ko mainLog(str).
- wātū-<%id%>.txt — ka tiakina e tenei konae nga raraunga rangitaki e pa ana ki tetahi huihuinga takawaenga motuhake. I roto i nga mea e whai ake nei, ko te takiuru i te aho str ki tenei konae ka kiia ko te sessionLog (str).
- server.txt – ka whakamahia tenei konae ki te whakauru i nga raraunga katoa kua tuhia ki nga konae kua whakaahuahia i runga ake nei.
Hōputu raraunga rangitaki:
<%Rā%> [Miro[<%thread id%>], id[]]: aho-raupapa
Ko nga okotahi ka puta i te wa e mahi ana te kōwae Takawaenga ka takiuru ano ki tetahi konae. Hei mahi i tenei, ka hangaia e te tono he ahanoa JSON i roto i te whakatakotoranga e whai ake nei:
{
"uncaughtException":<%short description of throwable%>
"thread":<%thread%>
"message":<%detail message of throwable%>
"trace": //Stack trace info
[
{
"ClassName":
"FileName":
"LineNumber":
"MethodName":
},
{
"ClassName":
"FileName":
"LineNumber":
"MethodName":
}
]
}Katahi ka huri hei tohu aho ka tuhia.
Ka whakarewahia te kōwae Takawaenga i muri i te whiwhinga i te whakahau e rite ana. Ina tae mai he whakahau ki te whakarewa i te kōwae Takawaenga, ka timata te tono i tetahi ratonga e kiia ana Ratonga Matua, который отвечает за управление работой Proxy-модуля – его запуск и остановку.
Nga waahanga o te tiimata i te ratonga:
1. Tīmatahia he matawā ka haere kotahi i te meneti ka taki i te mahi o te kōwae Takawaenga. Ki te kore e hohe te kōwae, ka tīmatahia.
Ano hoki i te wa e whakaohohia ana te huihuinga android.net.conn.CONNECTIVITY_CHANGE Kua whakarewahia te kōwae Takawaenga.
2. Ka hangaia e te tono he wake-raka me te tawhā WAKE_WAKE_LOCK a ka mau ia ia. Ma tenei ka aukati te PTM taputapu ki te haere ki te aratau moe.
3. Ka whakarewahia te karaehe tukatuka whakahau o te kōwae Takawaenga, tuatahi te takiuru i te raina mainLog("tīmata tūmau") и
Tūmau::start() ope[<%proxy_cnc%>], commandPort[<%command_port%>], proxyPort[<%proxy_port%>]
te wahi takawaenga_cnc, tauranga_whakahau me te tauranga_kaupapa – tawhā i whiwhi mai i te whirihoranga tūmau Takawaenga.
Ka karangahia te akomanga tukatuka whakahau Hononga Whakahau. I muri tonu i te tiimata, mahia nga mahi e whai ake nei:
4. Ka hono ki ProxyConfigClass.host: ProxyConfigClass.commandPort me te tuku raraunga mo te taputapu kua pangia ki reira i te whakatakotoranga JSON:
{
"id":<%id%>,
"imei":<%imei%>,
"imsi":<%imsi%>,
"model":<%model%>,
"manufacturer":<%manufacturer%>,
"androidVersion":<%androidVersion%>,
"country":<%country%>,
"partnerId":<%partnerId%>,
"packageName":<%packageName%>,
"networkType":<%networkType%>,
"hasGsmSupport":<%hasGsmSupport%>,
"simReady":<%simReady%>,
"simCountry":<%simCountry%>,
"networkOperator":<%networkOperator%>,
"simOperator":<%simOperator%>,
"version":<%version%>
}Kei hea:
- id – identifier, ka ngana ki te tiki uara me te mara “id” mai i te konae Manakohanga Tirihia ko “x”. Ki te kore e taea te whiwhi i tenei uara, ka puta he mea hou. No reira, ko te waahanga Takawaenga kei a ia ano te tohu, he rite tonu te hanga ki te Bot ID.
- imei — IMEI o te taputapu. Mena i puta he hapa i te wa e whiwhi ana i te uara, ka tuhia he karere kuputuhi hapa hei utu mo tenei mara.
- imsi — International Mobile Subscriber Tuakiri o te taputapu. Mena i puta he hapa i te wa e whiwhi ana i te uara, ka tuhia he karere kuputuhi hapa hei utu mo tenei mara.
- tauira — Ko te ingoa mutunga-kaiwhakamahi-kitea mo te hua mutunga.
- kaihanga — Ko te kaihanga o te hua / taputapu (Build.MANUFACTURER).
- androidVersion - he aho kei te whakatakotoranga "<%release_version%> (<%os_version%>),<%sdk_version%>"
- whenua — te waahi o naianei o te taputapu.
- Ko partnerId he aho kau.
- packageName – ingoa mōkihi.
- networkType — momo hononga whatunga o naianei (tauira: “WIFI”, “MOBILE”). Ki te he, ka whakahokia null.
- hasGsmSupport – pono – ki te tautoko te waea i te GSM, ki te kore he teka.
- simReady - te ahua o te kaari SIM.
- simCountry - waehere whenua ISO (i runga i te kaiwhakarato kaari SIM).
- networkOperator — ingoa kaiwhakahaere. Mena i puta he hapa i te wa e whiwhi ana i te uara, ka tuhia he karere kuputuhi hapa hei utu mo tenei mara.
- simOperator — Te Ingoa Kaiwhakarato Ratonga (SPN). Mena i puta he hapa i te wa e whiwhi ana i te uara, ka tuhia he karere kuputuhi hapa hei utu mo tenei mara.
- putanga - kei te rongoa tenei mara ki te akomanga whirihora; mo nga putanga whakamatautau o te bot he rite ki te "1.6".
5. Ka huri ki te aratau tatari mo nga tono mai i te tūmau. Ko nga tono mai i te tūmau ka tae mai ki te whakatakotoranga:
- 0 whakakē – whakahau
- 1 whitiwhiti – sessionId
- 2 whakatiki – roa
- 4 whitiwhiti - raraunga
Ka tae mai he tono, ka takiuru te tono:
mainLog("Pūpoko { sessionId<%id%>], momo[<%command%>], roa[<%length%>] }")
Ko nga whakahau e whai ake nei mai i te tūmau ka taea:
| ingoa | Whakahaua | Raraunga | Whakaahuatanga |
|---|---|---|---|
| honongaId | 0 | ID Hononga | Waihangatia he hononga hou |
| Tuhinga | 3 | Te wā | Tatarihia te kōwae Takawaenga |
| PING_PONG | 4 | - | Tukuna te karere PONG |
Ko te karere PONG e 4 nga paita me te ahua penei: 0x04000000.
Ina tae mai te tono connectionId (ki te hanga hononga hou) Hononga Whakahau ka hangaia he tauira o te karaehe Hononga Takawaenga.
- E rua nga karaehe ka whai waahi ki te takawaenga: Hononga Takawaenga и mutunga. Ina hanga akomanga Hononga Takawaenga hono ana ki te wāhitau ProxyConfigClass.host: ProxyConfigClass.proxyPort me te tuku i te ahanoa JSON:
{
"id":<%connectionId%>
}Hei whakautu, ka tukuna e te tūmau he karere SOCKS5 kei roto te wāhitau o te tūmau mamao e tika ana kia whakapumautia te hononga. Ko te taunekeneke me tenei tūmau ka puta mai i te akomanga mutunga. Ko te tatūnga hononga ka taea te whakaatu i nga tikanga e whai ake nei:
Nga taunekeneke whatunga
Hei aukati i te tātari waka a te hunga hongi whatunga, ka taea te tiaki i te taunekeneke i waenga i te tūmau CnC me te tono ma te whakamahi i te kawa SSL. Ko nga raraunga tuku katoa mai i te tūmau ka whakaatuhia ki te whakatakotoranga JSON. Ka mahia e te tono nga tono e whai ake nei i te wa e mahi ana:
- http://<%CnC%>/api/v1/set_state.php — te hua o te mahi whakahau.
- http://<%CnC%>/api/v1/get.php — te whiwhi whakahau.
- http://<%CnC%>/api/v1/load_sms.php — te tango i nga karere SMS mai i tetahi taputapu kua pangia.
- http://<%CnC%>/api/v1/load_ab.php — te tuku rarangi hoapaki mai i tetahi taputapu kua pangia.
- http://<%CnC%>/api/v1/aevents.php – ka puta te tono ina whakahou i nga tawhā kei roto i te konae manakohanga.
- http://<%CnC%>/api/v1/set_card.php — te tuku i nga raraunga i whiwhi ma te whakamahi i te matapihi hītinihanga e whakaahua ana ko te Google Play Market.
- http://<%CnC%>/api/v1/logs.php – te tuku raraunga rangitaki.
- http://<%CnC%>/api/v1/records.php – te tuku i nga raraunga i whiwhi mai i nga matapihi hītinihanga.
- http://<%CnC%>/api/v1/set_error.php – whakamohiotanga mo tetahi hapa kua puta.
tūtohutanga
Hei tiaki i o raatau kaihoko mai i te riri o nga Trojans pūkoro, me whakamahi nga kamupene i nga otinga matawhānui e taea ai e ratou te aro turuki me te aukati i nga mahi kino me te kore e whakauru i etahi atu rorohiko ki nga taputapu kaiwhakamahi.
Ki te mahi i tenei, me whakakaha nga tikanga waitohu mo te kimi Torotiana pūkoro me nga hangarau hei tātari i te whanonga o te kiritaki me te tono ake. Me whakauru ano hoki ki roto i te whakamarutanga he mahi tautuhi taputapu ma te whakamahi i te hangarau tapumati matimati, ka taea te mohio ki te wa e whakamahia ana he kaute mai i tetahi taputapu atypical ka taka ki roto i nga ringaringa o te tangata tinihanga.
Ko tetahi mea tino nui ko te waatea o te tātari whakawhiti-whakawhiti, e taea ai e nga kamupene te whakahaere i nga tupono ka puta mai ehara i te ipurangi anake, engari ano hoki i runga i te hongere pūkoro, hei tauira, i roto i nga tono mo te peeke waea, mo nga whakawhitinga me nga moni crypto me etahi atu kei hea. ka taea te whakahaere moni.
Nga ture haumaru mo nga kaiwhakamahi:
- kaua e whakauru i nga tono mo te taputapu pūkoro me te Android OS mai i etahi atu puna i tua atu i a Google Play, kia aro nui ki nga mana i tonoa e te tono;
- te whakauru i nga whakahoutanga OS Android i nga wa katoa;
- kia tupato ki nga toronga o nga konae kua tangohia;
- kaua e toro atu ki nga rauemi whakapae;
- Kaua e paatohia nga hononga kua tae mai ki nga karere SMS.
Whetuhia Semyon Rogacheva, tohunga teina i roto i te rangahau malware i te Roopu-IB Computer Forensics Laboratory.
Source: will.com