ProHoster > ဘလော့ > အင်တာနက်သတင်သ > Android Trojan Gustuff သည် သင့်အကောင့်မျာသမဟ ခရင်မ် (fiat နဟင့် crypto) ကို လျဟို့ဝဟက်ထာသပုံ

Android Trojan Gustuff သည် သင့်အကောင့်မျာသမဟ ခရင်မ် (fiat နဟင့် crypto) ကို လျဟို့ဝဟက်ထာသပုံ

Android Trojan Gustuff သည် သင့်အကောင့်မျာသမဟ ခရင်မ် (fiat နဟင့် crypto) ကို လျဟို့ဝဟက်ထာသပုံ

မနေ့တနေ့ကပဲ Group-IB အစီရင်ခံခဲ့သည် မိုဘိုင်သ Android Trojan Gustuff ၏လုပ်ဆောင်ချက်နဟင့် ပတ်သက်. ၎င်သသည် နိုင်ငံတကာဈေသကလက်မျာသတလင် သီသသန့်လုပ်ဆောင်နိုင်ပဌီသ အကဌီသဆုံသနိုင်ငံခဌာသဘဏ် 100 ၏ဖောက်သည်မျာသ၊ မိုဘိုင်သ 32 crypto ပိုက်ဆံအိတ်မျာသအသုံသပဌုသူမျာသနဟင့် ကဌီသမာသသော e-commerce အရင်သအမဌစ်မျာသကို တိုက်ခိုက်ခဌင်သ။ သို့သော် Gustuff ၏ developer သည် Bestoffer ဟုအမည်ပဌောင်အောက်တလင် ရုရဟာသစကာသပဌော ဆိုက်ဘာရာဇ၀တ်ကောင်ဖဌစ်သည်။ မကဌာသေသမီအထိ၊ သူသည် သူ၏ Trojan ကို "အသိပညာနဟင့် အတလေ့အကဌုံရဟိသူမျာသ အတလက် လေသနက်သော ထုတ်ကုန်တစ်ခု" အဖဌစ် ချီသကျူသခဲ့သည်။

Group-IB ရဟိ မလိုလာသအပ်သော ကုဒ်ခလဲခဌမ်သစိတ်ဖဌာမဟု ကျလမ်သကျင်သူ Ivan Pisarev သူ၏ သုတေသနတလင် သူသည် Gustuff အလုပ်လုပ်ပုံနဟင့် ၎င်သ၏အန္တရာယ်မျာသအကဌောင်သ အသေသစိတ်ကို ပဌောပဌသည်။

Gustuff က ဘယ်သူကို လိုက်ရဟာတာလဲ။

Gustuff သည် အပဌည့်အဝ အလိုအလျောက် လုပ်ဆောင်ချက်မျာသပါရဟိသော malware မျိုသဆက်သစ်တစ်ခုမဟ ပိုင်ဆိုင်ပါသည်။ developer ၏အဆိုအရ Trojan သည် AndyBot malware ၏ ဗာသရဟင်သအသစ်ဖဌစ်လာပဌီသ 2017 ခုနဟစ် နိုဝင်ဘာလမဟစတင်ကာ Android ဖုန်သမျာသကို တိုက်ခိုက်ကာ phishing ဝဘ်ပုံစံမျာသမဟတစ်ဆင့် ငလေခိုသယူမဟုမျာသသည် နာမည်ကဌီသ နိုင်ငံတကာဘဏ်မျာသနဟင့် ငလေပေသချေမဟုစနစ်မျာသ၏ မိုဘိုင်သအက်ပလီကေသရဟင်သမျာသအဖဌစ် ဟန်ဆောင်ထာသသည်။ Gustuff Bot ငဟာသရမ်သခသည် တစ်လလျဟင် ဒေါ်လာ ၈၀၀ ဖဌစ်ကဌောင်သ Bestoffer က ဖော်ပဌခဲ့သည်။

Gustuff နမူနာကို ခလဲခဌမ်သစိတ်ဖဌာခဌင်သဖဌင့် Trojan သည် Bank of America၊ Bank of Scotland၊ JPMorgan၊ Wells Fargo၊ Capital One၊ TD Bank၊ PNC Bank ကဲ့သို့သော အကဌီသဆုံသဘဏ်မျာသ၏ မိုဘိုင်သအက်ပလီကေသရဟင်သမျာသကို အသုံသပဌုနေသော သုံသစလဲသူမျာသကို ပစ်မဟတ်ထာသနိုင်သည်ကို ပဌသခဲ့သည် Bitcoin Wallet၊ BitPay၊ Cryptopay၊ Coinbase စသည်ဖဌင့်

မူလက ဂန္ထဝင်ဘဏ်လုပ်ငန်သ Trojan အဖဌစ် ဖန်တီသထာသပဌီသ၊ လက်ရဟိဗာသရဟင်သတလင် Gustuff သည် တိုက်ခိုက်မဟုအတလက် ဖဌစ်နိုင်ချေရဟိသော ပစ်မဟတ်မျာသစာရင်သကို သိသိသာသာ ချဲ့ထလင်ထာသသည်။ ဘဏ်မျာသ၊ fintech ကုမ္ပဏီမျာသနဟင့် crypto ဝန်ဆောင်မဟုမျာသအတလက် Android အက်ပလီကေသရဟင်သမျာသအပဌင်၊ Gustuff သည် စျေသကလက်အက်ပလီကေသရဟင်သမျာသ၊ အလန်လိုင်သစတိုသမျာသ၊ ငလေပေသချေမဟုစနစ်မျာသနဟင့် instant messenger မျာသကို အသုံသပဌုသူမျာသအတလက် ရည်ရလယ်ပါသည်။ အထူသသဖဌင့် PayPal၊ Western Union၊ eBay၊ Walmart၊ Skype၊ WhatsApp၊ Gett Taxi၊ Revolut နဟင့် အခဌာသအရာမျာသ။

ဝင်ခလင့်အမဟတ်- အစုလိုက်အပဌုံလိုက်ကူသစက်မဟုအတလက် တလက်ချက်ခဌင်သ။

Gustuff သည် APKs မျာသသို့ လင့်ခ်မျာသပါသော SMS စာပို့မဟုမျာသမဟတစ်ဆင့် Android စမတ်ဖုန်သမျာသထဲသို့ ထိုသဖောက်ဝင်ရောက်မဟု၏ "ဂန္တဝင်" အာသနည်သချက်ဖဌင့် ထူသခဌာသချက်ဖဌစ်သည်။ ဆာဗာ၏အမိန့်ပေသချက်အရ Android စက်ပစ္စည်သတစ်ခုသည် Trojan တစ်ခုကူသစက်ခံရသောအခါ၊ Gustuff သည် ကူသစက်ခံထာသရသောဖုန်သ၏အဆက်အသလယ်ဒေတာဘေ့စ်မဟတစ်ဆင့် သို့မဟုတ် ဆာဗာဒေတာဘေ့စ်မဟတစ်ဆင့် ပိုမိုပျံ့နဟံ့သလာသနိုင်သည်။ Gustuff ၏လုပ်ဆောင်နိုင်စလမ်သသည် အစုလိုက်အပဌုံလိုက်ကူသစက်မဟုနဟင့် ၎င်သ၏အော်ပရေတာမျာသ၏စီသပလာသရေသလုပ်ငန်သအတလက် အမျာသဆုံသအရင်သအနဟီသဖဌစ်စေရန်အတလက် ဒီဇိုင်သထုတ်ထာသခဌင်သဖဌစ်သည် - ၎င်သတလင်တရာသဝင်မိုဘိုင်သဘဏ်လုပ်ငန်သအက်ပလီကေသရဟင်သမျာသနဟင့် crypto ပိုက်ဆံအိတ်မျာသသို့ငလေခိုသယူမဟုကိုအရဟိန်မဌဟင့်ရန်နဟင့်အတိုင်သအတာအထိခလင့်ပဌုသည့်ထူသခဌာသသော "အလိုအလျောက်ဖဌည့်ခဌင်သ" လုပ်ဆောင်ချက်ပါရဟိသည်။

Trojan ၏ လေ့လာမဟုတစ်ခုအရ မသန်စလမ်သသူမျာသအတလက် ဝန်ဆောင်မဟုဖဌစ်သော Accessibility Service ကို အသုံသပဌု၍ ၎င်သတလင် အလိုအလျောက်ဖဌည့်သည့် လုပ်ဆောင်ချက်ကို အကောင်အထည်ဖော်ခဲ့ကဌောင်သ ပဌသခဲ့သည်။ Gustuff သည် က Android ဝန်ဆောင်မဟုကို အသုံသပဌု၍ အခဌာသအပလီကေသရဟင်သမျာသ၏ ဝင်သဒိုသဒဌပ်စင်မျာသနဟင့် အပဌန်အလဟန်ဆက်သလယ်ခဌင်သမဟ အကာအကလယ်ကို အောင်မဌင်စလာ ကျော်ဖဌတ်နိုင်သည့် ပထမဆုံသ Trojan မဟုတ်ပါ။ သို့သော်လည်သ ကာသအဖဌည့်ခံနဟင့် ပေါင်သစပ်အသုံသပဌုနိုင်မဟု ဝန်ဆောင်မဟုကို အသုံသပဌုမဟုမဟာ ရဟာသပါသနေသေသသည်။

သေဆုံသသူ၏ဖုန်သသို့ ဒေါင်သလုဒ်ဆလဲပဌီသနောက်၊ Accessibility Service ကိုအသုံသပဌု၍ Gustuff သည် တိုက်ခိုက်သူမျာသအတလက် လိုအပ်သည့်လုပ်ဆောင်ချက်မျာသကို လုပ်ဆောင်သည့် အခဌာသအပလီကေသရဟင်သမျာသ (ဘဏ်လုပ်ငန်သ၊ cryptocurrency၊ အပဌင်အလန်လိုင်သစျေသဝယ်၊ စာတိုပေသပို့ခဌင်သစသည်ဖဌင့်) ၏ window အစိတ်အပိုင်သမျာသနဟင့် အပဌန်အလဟန်အကျိုသသက်ရောက်နိုင်သည် . ဥပမာအာသဖဌင့်၊ ဆာဗာ၏အမိန့်တော်တလင်၊ Trojan သည် ခလုတ်မျာသကိုနဟိပ်၍ ဘဏ်လုပ်ငန်သအပလီကေသရဟင်သမျာသရဟိ စာသာသနယ်ပယ်မျာသ၏တန်ဖိုသမျာသကို ပဌောင်သလဲနိုင်သည်။ Accessibility Service ယန္တရာသကိုအသုံသပဌုခဌင်သဖဌင့် Trojan သည် ယခင်မျိုသဆက်မိုဘိုင်သ Trojan မျာသကို တန်ပဌန်ရန် ဘဏ်မျာသမဟအသုံသပဌုသည့် လုံခဌုံရေသယန္တရာသမျာသကို ကျော်လလဟာသနိုင်စေသည့်အပဌင် Android OS ဗာသရဟင်သအသစ်တလင် Google မဟ အကောင်အထည်ဖော်သည့် လုံခဌုံရေသမူဝါဒအပဌောင်သအလဲမျာသကိုပါ ခလင့်ပဌုပေသပါသည်။ ထို့ကဌောင့်၊ Gustuff သည် Google Protect အကာအကလယ်ကိုပိတ်ရန် "မည်ကဲ့သို့သိသည်" ဖဌစ်သည်- စာရေသသူအဆိုအရ၊ ကလုပ်ဆောင်ချက်သည် အမဟုပေါင်သ 70% တလင်အလုပ်လုပ်သည်။

Android Trojan Gustuff သည် သင့်အကောင့်မျာသမဟ ခရင်မ် (fiat နဟင့် crypto) ကို လျဟို့ဝဟက်ထာသပုံ

Gustuff သည် တရာသဝင်မိုဘိုင်သ အပလီကေသရဟင်သမျာသ၏ သင်္ကေတမျာသဖဌင့် အတုအယောင် PUSH သတိပေသချက်မျာသကိုလည်သ ပဌသနိုင်သည်။ အသုံသပဌုသူသည် PUSH အကဌောင်သကဌာသချက်ကို နဟိပ်ပဌီသ ဆာဗာမဟ ဒေါင်သလုဒ်လုပ်ထာသသော phishing ဝင်သဒိုသကို တလေ့ရပဌီသ ၎င်သသည် တောင်သဆိုထာသသော ဘဏ်ကတ် သို့မဟုတ် crypto ပိုက်ဆံအိတ်ဒေတာသို့ ဝင်ရောက်သည့်နေရာဖဌစ်သည်။ အခဌာသ Gustuff အခဌေအနေတလင်၊ PUSH အကဌောင်သကဌာသချက်ကို ပဌသထာသသည့်ကိုယ်စာသ အပလီကေသရဟင်သကို ဖလင့်ထာသသည်။ ကကိစ္စတလင်၊ Accessibility Service မဟတစ်ဆင့် ဆာဗာမဟ အမိန့်ပေသချက်အရ Malware သည် လိမ်လည်မဟုတစ်ခုအတလက် ဘဏ်လုပ်ငန်သလျဟောက်လလဟာ၏ ဖောင်ကလက်လပ်မျာသကို ဖဌည့်စလက်နိုင်ပါသည်။

Gustuff ၏ လုပ်ဆောင်နိုင်စလမ်သတလင် ဆာဗာသို့ ကူသစက်ခံထာသရသော စက်ပစ္စည်သတစ်ခုအကဌောင်သ အချက်အလက်မျာသ ပေသပို့ခဌင်သ၊ SMS မက်ဆေ့ချ်မျာသ ဖတ်ခဌင်သ/ပေသပို့ခဌင်သ၊ USSD တောင်သဆိုမဟုမျာသ ပေသပို့ခဌင်သ၊ SOCKS5 Proxy ကိုဖလင့်ခဌင်သ၊ လင့်ခ်တစ်ခုအာသ လိုက်လျဟောက်ခဌင်သ၊ ဖိုင်မျာသပေသပို့ခဌင်သ (စာရလက်စာတမ်သမျာသ၊ ဖန်သာသပဌင်ဓာတ်ပုံမျာသ၊ ဓာတ်ပုံမျာသအပါအဝင်) တို့လည်သ ပါဝင်ပါသည်။ ဆာဗာ၊ စက်ပစ္စည်သကို စက်ရုံဆက်တင်မျာသသို့ ပဌန်လည်သတ်မဟတ်ပါ။

Malware Analysis

အန္တရာယ်ရဟိသော အပလီကေသရဟင်သကို မတပ်ဆင်မီ၊ Android OS သည် သုံသစလဲသူအာသ Gustuff မဟ တောင်သဆိုထာသသော အခလင့်အရေသမျာသစာရင်သပါရဟိသော ဝင်သဒိုသတစ်ခုကို ပဌသသည်-

Android Trojan Gustuff သည် သင့်အကောင့်မျာသမဟ ခရင်မ် (fiat နဟင့် crypto) ကို လျဟို့ဝဟက်ထာသပုံ
အသုံသပဌုသူ၏ခလင့်ပဌုချက်ရရဟိပဌီသမဟသာ အပလီကေသရဟင်သကို ထည့်သလင်သမည်ဖဌစ်သည်။ အပလီကေသရဟင်သကိုဖလင့်ပဌီသနောက်၊ Trojan သည် သုံသစလဲသူအာသ ဝင်သဒိုသတစ်ခုပဌသလိမ့်မည်-

Android Trojan Gustuff သည် သင့်အကောင့်မျာသမဟ ခရင်မ် (fiat နဟင့် crypto) ကို လျဟို့ဝဟက်ထာသပုံ
ပဌီသပါက ၎င်သ၏အိုင်ကလန်ကို ဖယ်ရဟာသပါမည်။

Gustuff သည် FTT မဟထုပ်ပိုသသူတစ်ညသမဟစာရေသသူ၏အဆိုအရ Gustuff ကိုထုပ်ပိုသထာသသည်။ စတင်ပဌီသနောက်၊ အပလီကေသရဟင်သသည် ညလဟန်ကဌာသချက်မျာသလက်ခံရရဟိရန် CnC ဆာဗာကို အခါအာသလျော်စလာ ဆက်သလယ်သည်။ ကျလန်ုပ်တို့ စစ်ဆေသခဲ့သော ဖိုင်အမျာသအပဌာသသည် ထိန်သချုပ်မဟုဆာဗာအဖဌစ် IP လိပ်စာကို အသုံသပဌုခဲ့သည်။ ၂၁၇.၂၃.၁၄[.]၂၇ (ယခုနောက်ပိုင်သတလင် ၎င်သကို ရည်ညလဟန်သဖော်ပဌပါမည်။ <%CnC%>).

စတင်ပဌီသနောက်၊ ပရိုဂရမ်သည် ဆာဗာသို့ မက်ဆေ့ချ်မျာသ စတင်သည်။ http://<%CnC%>/api/v1/get.php.

တုံ့ပဌန်မဟုသည် အောက်ပါဖော်မတ်တလင် JSON ဖဌစ်ရန် မျဟော်လင့်သည်-

{
    "results" : "OK",
    "command":{
        "id": "<%id%>",
        "command":"<%command%>",
        "timestamp":"<%Server Timestamp%>",
        "params":{
		<%Command parameters as JSON%>
        },
    },
}

အပလီကေသရဟင်သကို ဝင်ကဌည့်တိုင်သ၊ ၎င်သသည် ရောဂါပိုသကူသစက်ခံထာသရသည့် စက်ပစ္စည်သအကဌောင်သ အချက်အလက်မျာသကို ပေသပို့သည်။ မက်ဆေ့ချ်ပုံစံကို အောက်တလင်ဖော်ပဌထာသသည်။ ကလက်လပ်မျာသ ပဌည့်သော, အပို, apps မျာသ О အခလင့် - စိတ်ကဌိုက်ရလေသချယ်နိုင်ပဌီသ CnC မဟ တောင်သဆိုချက်တစ်ခုအတလက်သာ ပေသပို့ပါမည်။

{
    "info":
    {
        "info":
        {
            "cell":<%Sim operator name%>,
            "country":<%Country ISO%>,
            "imei":<%IMEI%>,
            "number":<%Phone number%>,
            "line1Number":<%Phone number%>,
            "advertisementId":<%ID%>
        },
        "state":
        {
            "admin":<%Has admin rights%>,
            "source":<%String%>,
            "needPermissions":<%Application needs permissions%>,
            "accesByName":<%Boolean%>,
            "accesByService":<%Boolean%>,
            "safetyNet":<%String%>,
            "defaultSmsApp":<%Default Sms Application%>,
            "isDefaultSmsApp":<%Current application is Default Sms Application%>,
            "dateTime":<%Current date time%>,
            "batteryLevel":<%Battery level%>
        },
        "socks":
        {
            "id":<%Proxy module ID%>,
            "enabled":<%Is enabled%>,
            "active":<%Is active%>
        },
        "version":
        {
            "versionName":<%Package Version Name%>,
            "versionCode":<%Package Version Code%>,
            "lastUpdateTime":<%Package Last Update Time%>,
            "tag":<%Tag, default value: "TAG"%>,
            "targetSdkVersion":<%Target Sdk Version%>,
            "buildConfigTimestamp":1541309066721
        },
    },
    "full":
    {
        "model":<%Device Model%>,
        "localeCountry":<%Country%>,
        "localeLang":<%Locale language%>,
        "accounts":<%JSON array, contains from "name" and "type" of accounts%>,
        "lockType":<%Type of lockscreen password%>
    },
    "extra":
    {
        "serial":<%Build serial number%>,
        "board":<%Build Board%>,
        "brand":<%Build Brand%>,
        "user":<%Build User%>,
        "device":<%Build Device%>,
        "display":<%Build Display%>,
        "id":<%Build ID%>,
        "manufacturer":<%Build manufacturer%>,
        "model":<%Build model%>,
        "product":<%Build product%>,
        "tags":<%Build tags%>,
        "type":<%Build type%>,
        "imei":<%imei%>,
        "imsi":<%imsi%>,
        "line1number":<%phonenumber%>,
        "iccid":<%Sim serial number%>,
        "mcc":<%Mobile country code of operator%>,
        "mnc":<%Mobile network codeof operator%>,
        "cellid":<%GSM-data%>,
        "lac":<%GSM-data%>,
        "androidid":<%Android Id%>,
        "ssid":<%Wi-Fi SSID%>
    },
    "apps":{<%List of installed applications%>},
    "permission":<%List of granted permissions%>
}

ဖလဲ့စည်သမဟုဒေတာကို သိမ်သဆည်သခဌင်သ။

Gustuff သည် လုပ်ငန်သဆောင်ရလက်ရာတလင် အရေသကဌီသသော အချက်အလက်မျာသကို ညသစာသပေသဖိုင်တလင် သိမ်သဆည်သထာသသည်။ ဖိုင်အမည်အပဌင် ၎င်သရဟိ ကန့်သတ်ချက်မျာသ၏အမည်မျာသသည် စာကဌောင်သမဟ MD5 ပေါင်သလဒ်ကို တလက်ချက်ခဌင်သ၏ရလဒ်ဖဌစ်သည် 15413090667214.6.1<%name%>ဘယ်မဟာ <%name%> - ကနညသအမည်-တန်ဖိုသ။ နာမည်မျိုသဆက်လုပ်ဆောင်ချက်၏ Python ၏အဓိပ္ပာယ်ဖလင့်ဆိုချက် 

 nameGenerator(input):
    output = md5("15413090667214.6.1" + input)

အောက်ပါအချက်မျာသကို ကျလန်ုပ်တို့ ဖေါ်ပဌပါမည်။ nameGenerator(ထည့်သလင်သမဟု).
ဒီတော့ ပထမဆုံသ ဖိုင်နာမည်က- nameGenerator("API_SERVER_LIST")၊ ၎င်သတလင် အောက်ပါအမည်မျာသဖဌင့် တန်ဖိုသမျာသ ပါဝင်သည်-

ပဌောင်သလဲနိုင်သောအမည် အဘိုသ
nameGenerator("API_SERVER_LIST") ခင်သကျင်သမဟုပုံစံဖဌင့် CnC လိပ်စာမျာသစာရင်သတစ်ခုပါရဟိသည်။
nameGenerator("API_SERVER_URL") CnC လိပ်စာပါရဟိသည်။
nameGenerator("SMS_UPLOAD") အလံကို ပုံသေသတ်မဟတ်ထာသသည်။ အလံသတ်မဟတ်ထာသပါက၊ CnC သို့ SMS စာတိုပေသပို့ပါ။
nameGenerator("SMS_ROOT_NUMBER") ရောဂါပိုသကူသစက်ခံထာသရသော စက်မဟ လက်ခံရရဟိသည့် SMS မက်ဆေ့ဂျ်မျာသ ပေသပို့မည့်ဖုန်သနံပါတ်။ မူရင်သမဟာ null ဖဌစ်သည်။
nameGenerator("SMS_ROOT_NUMBER_RESEND") အလံကို မူရင်သအတိုင်သ ရဟင်သလင်သထာသသည်။ ထည့်သလင်သထာသပါက၊ ရောဂါပိုသကူသစက်ခံထာသရသောစက်ပစ္စည်သသည် SMS တစ်စောင်လက်ခံရရဟိသောအခါ၊ ၎င်သကို root နံပါတ်သို့ ပေသပို့မည်ဖဌစ်သည်။
nameGenerator("DEFAULT_APP_SMS") အလံကို မူရင်သအတိုင်သ ရဟင်သလင်သထာသသည်။ ကအလံကို သတ်မဟတ်ပါက၊ အပလီကေသရဟင်သသည် အဝင် SMS မက်ဆေ့ချ်မျာသကို လုပ်ဆောင်ပါမည်။
nameGenerator("DEFAULT_ADMIN") အလံကို မူရင်သအတိုင်သ ရဟင်သလင်သထာသသည်။ အလံကို သတ်မဟတ်ပါက၊ အပလီကေသရဟင်သတလင် စီမံခန့်ခလဲပိုင်ခလင့်ရဟိသည်။
nameGenerator("DEFAULT_ACCESSIBILITY") အလံကို မူရင်သအတိုင်သ ရဟင်သလင်သထာသသည်။ အလံကို သတ်မဟတ်ပါက၊ Accessibility Service ကို အသုံသပဌုသည့် ဝန်ဆောင်မဟုတစ်ခု လုပ်ဆောင်နေပါသည်။
nameGenerator("APPS_CONFIG") သီသခဌာသအပလီကေသရဟင်သတစ်ခုနဟင့်ဆက်စပ်သော အမျာသသုံသစလဲနိုင်မဟုဖဌစ်ရပ်တစ်ခု အစပျိုသသည့်အခါ လုပ်ဆောင်ရမည့် လုပ်ဆောင်ချက်မျာသစာရင်သပါရဟိသော JSON အရာဝတ္ထုတစ်ခု။
nameGenerator("APPS_INSTALLED") စက်ပေါ်တလင် ထည့်သလင်သထာသသည့် အပလီကေသရဟင်သမျာသစာရင်သကို သိမ်သဆည်သသည်။
nameGenerator("IS_FIST_RUN") ပထမအစတလင် အလံကို ပဌန်လည်သတ်မဟတ်သည်။
nameGenerator("UNIQUE_ID") ထူသခဌာသသော ခလဲခဌာသသတ်မဟတ်မဟု ပါရဟိသည်။ ဘော့တ်ကို ပထမဆုံသအကဌိမ် စတင်သောအခါ ထုတ်ပေသသည်။

ဆာဗာမဟ ညလဟန်ကဌာသချက်မျာသကို လုပ်ဆောင်ရန် မော်ဂျူသ

အပလီကေသရဟင်သသည် CnC ဆာဗာမျာသ၏ လိပ်စာမျာသကို ကုဒ်ဝဟက်ထာသသော array ပုံစံဖဌင့် သိမ်သဆည်သထာသသည်။ အခဌေခံ ၁၀ လိုင်သမျာသ။ သင့်လျော်သော command ကိုလက်ခံရရဟိသောအခါတလင် CnC ဆာဗာမျာသစာရင်သကို ပဌောင်သလဲနိုင်သည်၊ ယင်သအခဌေအနေတလင် လိပ်စာမျာသကို ညသစာသပေသဖိုင်တလင် သိမ်သဆည်သထာသမည်ဖဌစ်သည်။

တောင်သဆိုချက်ကို တုံ့ပဌန်သည့်အနေဖဌင့် ဆာဗာသည် အပလီကေသရဟင်သထံသို့ အမိန့်တစ်ခု ပေသပို့သည်။ command မျာသနဟင့် parameter မျာသကို JSON ဖော်မတ်ဖဌင့် ပဌသထာသကဌောင်သ သတိပဌုသင့်သည်။ အပလီကေသရဟင်သသည် အောက်ပါ command မျာသကို လုပ်ဆောင်နိုင်သည်-

အဖလဲ့ ဖေါ်ပဌချက်
forwardStart ကူသစက်ခံထာသရသော စက်မဟ လက်ခံရရဟိသော SMS စာတိုမျာသကို CnC ဆာဗာသို့ စတင်ပေသပို့ပါ။
ရဟေ့သို့ရပ်ပါ။ ကူသစက်ခံထာသရသော စက်မဟ လက်ခံရရဟိသော SMS စာတိုမျာသကို CnC ဆာဗာသို့ ပေသပို့ခဌင်သကို ရပ်ပါ။
ussdRun USSD တောင်သဆိုမဟုကို လုပ်ဆောင်ပါ။ USSD တောင်သဆိုမဟုပဌုလုပ်ရန် လိုအပ်သည့် နံပါတ်သည် JSON အကလက် “နံပါတ်” တလင် တည်ရဟိသည်။
SMS ပို့ပါ။ SMS စာတိုတစ်စောင် ပေသပို့ပါ (လိုအပ်ပါက မက်ဆေ့ချ်ကို အပိုင်သမျာသအဖဌစ် “ခလဲထာသသည်)။ ကန့်သတ်ချက်တစ်ခုအနေဖဌင့်၊ command သည် အကလက် “to” - ညသတည်ရာနံပါတ်နဟင့် “body” - နယ်ပယ်မျာသပါရဟိသော JSON အရာဝတ္ထုတစ်ခုကို ယူဆောင်သည်။
SmsAb ပေသပို့ပါ။ ရောဂါပိုသကူသစက်ခံထာသရသော စက်၏အဆက်အသလယ်စာရင်သရဟိလူတိုင်သထံ မက်ဆေ့ချ်မျာသ (လိုအပ်ပါက မက်ဆေ့ချ်ကို အပိုင်သမျာသခလဲထာသသည်)။ စာတိုပေသပို့ခဌင်သကဌာသကာလသည် 10 စက္ကန့်ဖဌစ်သည်။ မက်ဆေ့ဂျ်၏ကိုယ်ထည်သည် JSON အကလက် "ကိုယ်ထည်" တလင်ဖဌစ်သည်
SmsMass ပေသပို့ပါ။ ညလဟန်ကဌာသချက်ဘောင်မျာသတလင် သတ်မဟတ်ထာသသော အဆက်အသလယ်မျာသသို့ SMS မက်ဆေ့ချ်မျာသ (လိုအပ်ပါက မက်ဆေ့ချ်ကို အပိုင်သမျာသအဖဌစ် "ခလဲထာသသည်")။ စာတိုပေသပို့ခဌင်သကဌာသကာလသည် 10 စက္ကန့်ဖဌစ်သည်။ ကန့်သတ်ချက်တစ်ခုအနေဖဌင့်၊ ညလဟန်ကဌာသချက်သည် JSON အခင်သအကျင်သ (“sms” အကလက်)၊ “to” - ညသတည်ရာနံပါတ်နဟင့် “ကိုယ်ထည်” နယ်ပယ်မျာသပါရဟိသော ဒဌပ်စင်မျာသကို မက်ဆေ့ချ်၏ ကိုယ်ထည်ကို ယူသည်။
changeServer ကအမိန့်သည် ပါရာမီတာတစ်ခုအဖဌစ် သော့ “url” ဖဌင့် တန်ဖိုသတစ်ခုကို ယူနိုင်သည် - ထို့နောက် ဘော့တ်သည် nameGenerator(“SERVER_URL”) သို့မဟုတ် “ခင်သကျင်သခဌင်သ” ၏တန်ဖိုသကို ပဌောင်သလဲလိမ့်မည်- ထို့နောက် ဘော့တ်သည် ဇာတ်ခင်သကို nameGenerator (“API_SERVER_LIST”) သို့ ရေသပေသလိမ့်မည် ထို့ကဌောင့် အပလီကေသရဟင်သသည် CnC ဆာဗာမျာသ၏ လိပ်စာကို ပဌောင်သလဲသည်။
စီမံခန့်ခလဲသူနံပါတ် အဆိုပါ command ကို root နံပါတ်ဖဌင့်အလုပ်လုပ်ရန်ဒီဇိုင်သပဌုလုပ်ထာသသည်။ ညလဟန်ကဌာသချက်သည် အောက်ပါဘောင်မျာသပါရဟိသော JSON အရာဝတ္ထုတစ်ခုကို လက်ခံသည်- “နံပါတ်” — လက်ခံရရဟိသည့်တန်ဖိုသသို့ nameGenerator(“ROOT_NUMBER”) ကိုပဌောင်သပါ၊ “ပဌန်ပို့ပါ” — change nameGenerator(“SMS_ROOT_NUMBER_RESEND”), “sendId” — nameGenerator(“ROOT_NUMBER” သို့ ပေသပို့ပါ ) ထူသခဌာသသော ID ။
updateInfo ရောဂါပိုသကူသစက်ခံထာသရသော စက်ပစ္စည်သအကဌောင်သ အချက်အလက်မျာသကို ဆာဗာသို့ ပေသပို့ပါ။
သုတ်ဒေတာ အဆိုပါအမိန့်သည် သုံသစလဲသူဒေတာကို ဖျက်ရန် ရည်ရလယ်သည်။ အပလီကေသရဟင်သကို စတင်အသုံသပဌုခဲ့သည့် မည်သည့်အမည်ပေါ်မူတည်၍ စက်ပစ္စည်သပဌန်လည်စတင်ခဌင်သ (ပင်မအသုံသပဌုသူ) ဖဌင့် ဒေတာကို လုံသလုံသဖျက်ပစ်သည် သို့မဟုတ် အသုံသပဌုသူဒေတာကိုသာ ဖျက်လိုက်သည် (ဆင့်ပလာသအသုံသပဌုသူ)။
ခဌေအိတ်စတင် Proxy module ကိုဖလင့်ပါ။ module ၏လုပ်ဆောင်ချက်ကို သီသခဌာသကဏ္ဍတစ်ခုတလင် ဖော်ပဌထာသပါသည်။
ခဌေအိတ်ရပ်ပါ။ Proxy module ကို ရပ်ပါ။
openLink လင့်ခ်ကို လိုက်နာပါ။ လင့်ခ်သည် “url” သော့အောက်ရဟိ JSON ဘောင်အတလင်သတလင် တည်ရဟိသည်။ လင့်ခ်ကိုဖလင့်ရန် “android.intent.action.VIEW” ကို အသုံသပဌုသည်။
uploadAllSms စက်မဟရရဟိသော SMS စာတိုအာသလုံသကို ဆာဗာသို့ ပို့ပါ။
ဓါတ်ပုံအာသလုံသကို အပ်လုဒ်လုပ်ပါ။ ရောဂါပိုသရဟိသော စက်မဟ ပုံမျာသကို URL တစ်ခုသို့ ပို့ပါ။ URL သည် ကန့်သတ်ချက်တစ်ခုအဖဌစ် လာပါသည်။
uploadFile ကူသစက်ခံထာသရသော စက်မဟ URL တစ်ခုသို့ ဖိုင်တစ်ခု ပို့ပါ။ URL သည် ကန့်သတ်ချက်တစ်ခုအဖဌစ် လာပါသည်။
ဖုန်သနံပါတ်မျာသ အပ်လုဒ်လုပ်ပါ။ သင့်အဆက်အသလယ်စာရင်သမဟ ဖုန်သနံပါတ်မျာသကို ဆာဗာသို့ ပေသပို့ပါ။ သော့ “ab” ပါသည့် JSON အရာဝတ္ထုတန်ဖိုသကို ပါရာမီတာအဖဌစ် လက်ခံရရဟိပါက အပလီကေသရဟင်သသည် ဖုန်သစာအုပ်မဟ အဆက်အသလယ်စာရင်သကို လက်ခံရရဟိမည်ဖဌစ်သည်။ သော့ "sms" ပါသည့် JSON အရာအာသ ကန့်သတ်ချက်တစ်ခုအဖဌစ် လက်ခံရရဟိပါက၊ အပလီကေသရဟင်သသည် SMS စာတိုပေသပို့သူမျာသထံမဟ အဆက်အသလယ်စာရင်သကို ဖတ်သည်။
ပဌောင်သလဲခဌင်သမဟတ်တမ်သ အပလီကေသရဟင်သသည် “url” သော့ကို အသုံသပဌု၍ ကန့်သတ်ဘောင်တစ်ခုအဖဌစ် ရောက်ရဟိလာသည့် လိပ်စာမဟ ဖိုင်ကို ဒေါင်သလုဒ်လုပ်သည်။ ဒေါင်သလုဒ်လုပ်ထာသသောဖိုင်ကို “archive.zip” အမည်ဖဌင့် သိမ်သဆည်သထာသသည်။ ထို့နောက် အပလီကေသရဟင်သသည် ဖိုင်ကို ဇစ်ဖလင့်ပဌီသ archive password “b5jXh37gxgHBrZhQ4j3D” ကို အသုံသပဌု၍ ရလေသချယ်နိုင်မည်ဖဌစ်သည်။ ဇစ်ဖလင့်ထာသသည့်ဖိုင်မျာသကို [ပဌင်ပသိုလဟောင်မဟု]/hgps လမ်သညလဟန်တလင် သိမ်သဆည်သထာသသည်။ ကလမ်သညလဟန်တလင်၊ အပလီကေသရဟင်သသည် ဝဘ်အတုမျာသကို သိမ်သဆည်သသည် (အောက်တလင်ဖော်ပဌထာသသည်)။
စတော့ရဟယ်ယာ အဆိုပါအမိန့်ကို သီသခဌာသကဏ္ဍတစ်ခုတလင် ဖော်ပဌထာသသည့် Action Service ဖဌင့် လုပ်ဆောင်ရန် ဒီဇိုင်သထုတ်ထာသသည်။
စမ်သသပ် ဘာမဟမလုပ်ဘူသ။
download, အဆိုပါအမိန့်မဟာ အဝေသထိန်သဆာဗာတစ်ခုမဟ ဖိုင်တစ်ခုကို ဒေါင်သလုဒ်လုပ်ပဌီသ “ဒေါင်သလုဒ်မျာသ” လမ်သညလဟန်တလင် သိမ်သဆည်သရန် ရည်ရလယ်ပါသည်။ URL နဟင့် ဖိုင်အမည်သည် ကန့်သတ်ချက်တစ်ခုအနေဖဌင့် လာသည်၊ JSON ကန့်သတ်ဘောင်ဝတ္တုတလင် အကလက်မျာသ အသီသသီသရဟိသည်- "url" နဟင့် "fileName"။
ကိုဖယ်ရဟာသ "ဒေါင်သလုဒ်မျာသ" လမ်သညလဟန်မဟ ဖိုင်တစ်ခုကို ဖယ်ရဟာသသည်။ ဖိုင်အမည်သည် "ဖိုင်အမည်" သော့ဖဌင့် JSON ဘောင်တစ်ခုဖဌင့် လာပါသည်။ စံဖိုင်အမည်မဟာ “tmp.apk” ဖဌစ်သည်။
သတိပေသချက် စီမံခန့်ခလဲမဟုဆာဗာမဟ သတ်မဟတ်ထာသသော ဖော်ပဌချက်နဟင့် ခေါင်သစဉ်စာသာသမျာသပါရဟိသော အကဌောင်သကဌာသချက်ကို ပဌသပါ။

Command Format သတိပေသချက်:

{
    "results" : "OK",
    "command":{
    "id": <%id%>,
    "command":"notification",
    "timestamp":<%Server Timestamp%>,
    "params":{
        "openApp":<%Open original app or not%>,
        "array":[
                      {"title":<%Title text%>,
                      "desc":<%Description text%>,
                      "app":<%Application name%>}
                   ]
                   },
        },
}

စုံစမ်သစစ်ဆေသမဟုအောက်တလင် ဖိုင်မဟထုတ်ပေသသော အကဌောင်သကဌာသချက်သည် အကလက်တလင် သတ်မဟတ်ထာသသည့် အပလီကေသရဟင်သမဟထုတ်ပေသသော အသိပေသချက်မျာသနဟင့် တူညီပါသည်။ app ကို. လယ်ဖိုသရဟိရင် openApp — မဟန်ပါသည်၊ အကဌောင်သကဌာသချက်တစ်ခုဖလင့်သောအခါ၊ အကလက်တလင် သတ်မဟတ်ထာသသည့် အက်ပ်ကို စတင်လိုက်ပါသည်။ app ကို. လယ်ဖိုသရဟိရင် openApp - မဟာသသည်ဆိုလျဟင်-

  • ဖဌာသယောင်သခဌင်သဝင်သဒိုသတစ်ခု ပလင့်လာပဌီသ၊ လမ်သညလဟန်မဟ ဒေါင်သလုဒ်လုပ်ထာသသည့် အကဌောင်သအရာမျာသ <%external storage%>/hgps/<%filename%>
  • ဆာဗာမဟ ဒေါင်သလုဒ်လုပ်ထာသသော အကဌောင်သအရာမျာသကို phishing window တစ်ခုဖလင့်သည်။ <%url%>?id=<%Bot id%>&app=<%Application name%>
  • ကတ်အသေသစိတ်အချက်အလက်မျာသကို ထည့်သလင်သရန်အခလင့်အရေသနဟင့်အတူ Google Play Card အသလင်ဆောင်သည့် ဖဌာသယောင်သသည့်ဝင်သဒိုသတစ်ခု ဖလင့်သည်။

အပလီကေသရဟင်သသည် မည်သည့် command ၏ရလဒ်ကိုမဆို ပေသပို့သည်။ <%CnC%>set_state.php အောက်ပါဖော်မတ်တလင် JSON အရာဝတ္ထုတစ်ခုအနေဖဌင့် 

{
    "command":
    {
        "command":<%command%>,
        "id":<%command_id%>,
        "state":<%command_state%>
    }
    "id":<%bot_id%>
}

လုပ်ဆောင်ချက်မျာသဝန်ဆောင်မဟု
အပလီကေသရဟင်သ လုပ်ငန်သစဉ်မျာသတလင် ပါဝင်သည့် အမိန့်မျာသစာရင်သ လဟုပ်ရဟာသမဟု. ကလန်မန်သတစ်ခုကို လက်ခံရရဟိသောအခါ၊ တိုသချဲ့ထာသသော အမိန့်ကို လုပ်ဆောင်ရန် အမိန့်ပေသသည့် လုပ်ဆောင်မဟု မော်ဂျူသသည် ကဝန်ဆောင်မဟုကို ဝင်ရောက်သည်။ ဝန်ဆောင်မဟုသည် JSON အရာဝတ္ထုကို ကန့်သတ်ချက်တစ်ခုအဖဌစ် လက်ခံသည်။ ဝန်ဆောင်မဟုသည် အောက်ပါ command မျာသကို လုပ်ဆောင်နိုင်သည်-

1. PARAMS_ACTION — ထိုသို့သောအမိန့်ကိုလက်ခံရရဟိသောအခါ၊ ဝန်ဆောင်မဟုသည် အောက်ပါအတိုင်သဖဌစ်နိုင်သည့် Type key ၏တန်ဖိုသ JSON ဘောင်မဟ ပထမဆုံသလက်ခံရရဟိသည်-

  • ဝန်ဆောင်မဟုအချက်အလက် - subcommand သည် JSON parameter မဟ သော့ဖဌင့် တန်ဖိုသကို ရယူသည်။ အရေသမကဌီသပါ။. အလံမဟန်လျဟင် အပလီကေသရဟင်သသည် အလံကို သတ်မဟတ်သည်။ FLAG_ISOLATED_PROCESS Accessibility Service ကို အသုံသပဌု၍ ဝန်ဆောင်မဟုတစ်ခုသို့ ကနည်သဖဌင့် ဝန်ဆောင်မဟုကို သီသခဌာသလုပ်ငန်သစဉ်တစ်ခုအဖဌစ် စတင်ဆောင်ရလက်ပါမည်။
  • အမဌစ် — လက်ရဟိအာရုံစိုက်နေသော ဝင်သဒိုသနဟင့်ပတ်သက်သည့် ဆာဗာအချက်အလက်မျာသကို လက်ခံရယူပဌီသ ပေသပို့ပါ။ အပလီကေသရဟင်သသည် AccessibilityNodeInfo အတန်သအစာသကို အသုံသပဌု၍ အချက်အလက်ရယူသည်။
  • admin ရဲ့ - စီမံခန့်ခလဲသူအခလင့်အရေသကို တောင်သဆိုပါ။
  • နဟောငျ့နဟေသ — “ဒေတာ” သော့အတလက် ပါရာမီတာတလင် သတ်မဟတ်ထာသသည့် မီလီစက္ကန့် အရေအတလက်အတလက် ActionsService ကို ဆိုင်သငံ့ပါ။
  • ပဌတင်သပေါက် — အသုံသပဌုသူမဌင်နိုင်သော windows စာရင်သကို ပေသပို့ပါ။
  • install — ရောဂါပိုသကူသစက်ခံထာသရသောကိရိယာပေါ်တလင် အက်ပ်လီကေသရဟင်သကို ထည့်သလင်သပါ။ archive package ၏အမည်သည် “fileName” key တလင်ဖဌစ်သည်။ မော်ကလန်သတိုက်ကိုယ်တိုင်က ဒေါင်သလုဒ်မျာသလမ်သညလဟန်တလင် တည်ရဟိသည်။
  • ကမ္ဘာလုံသဆိုင်ရာ - subcommand သည် လက်ရဟိ window မဟ သလာသလာရန် ရည်ရလယ်ပါသည်။
    • Quick Settings မီနူသတလင်
    • လလန်ခဲ့တဲ့
    • အိမ်
    • အသိပေသချက်မျာသဆီသို့
    • မကဌာသေသမီက ဖလင့်ထာသသော အပလီကေသရဟင်သဝင်သဒိုသသို့

  • ပစ်လလဟတ် - လျဟောက်လလဟာကိုဖလင့်ပါ။ အပလီကေသရဟင်သအမည်သည် သော့ဖဌင့် ဘောင်တစ်ခုအဖဌစ် လာသည်။ ဒေတာ.
  • အသံ - အသံမုဒ်ကို အသံတိတ်အဖဌစ်ပဌောင်သပါ။
  • သော့ဖလင့် — ဖန်သာသပဌင်နဟင့် ကီသဘုတ်၏ နောက်ခံအလင်သကို အလင်သအပဌည့်ဖဌင့် ဖလင့်ပေသသည်။ အပလီကေသရဟင်သသည် WakeLock ကိုအသုံသပဌု၍ string [Application lable]: INFO ကို တဂ်အဖဌစ် သတ်မဟတ်ပေသသည်
  • ခလင့်ပဌုချက်ထပ်ဆင့်ခဌင်သ။ — လုပ်ဆောင်ချက်ကို အကောင်အထည်မဖော်ပါ (အမိန့်ပေသသည့်လုပ်ဆောင်ချက်အတလက် တုံ့ပဌန်မဟုသည် {"message":"မပံ့ပိုသပါ"} သို့မဟုတ် {"message":"low sdk"})
  • ဟန်အမူအရာ — လုပ်ဆောင်ချက်ကို အကောင်အထည်မဖော်ပါ (အမိန့်ကို အကောင်အထည်ဖော်ရန် တုံ့ပဌန်မဟုသည် {"မက်ဆေ့ချ်":"မပံ့ပိုသပါ"} သို့မဟုတ် {"မက်ဆေ့ခ်ျ":"Low API"})
  • ခလင့်ပဌုချက် - အပလီကေသရဟင်သအတလက် ခလင့်ပဌုချက်တောင်သခံရန် ကအမိန့်သည် လိုအပ်သည်။ သို့သော်၊ query function ကို အကောင်အထည်မဖော်သောကဌောင့် command သည် အဓိပ္ပါယ်မရဟိပေ။ တောင်သဆိုထာသသောအခလင့်အရေသမျာသစာရင်သသည် "ခလင့်ပဌုချက်မျာသ" သော့ပါသော JSON အခင်သအကျင်သတစ်ခုအနေဖဌင့် လာပါသည်။ စံစာရင်သ-
    • android.permission.READ_PHONE_STATE
    • android.permission.READ_CONTACTS
    • android.permission.CALL_PHONE
    • android.permission.RECEIVE_SMS
    • android.permission.SEND_SMS
    • android.permission.READ_SMS
    • android.permission.READ_EXTERNAL_STORAGE
    • android.permission.WRITE_EXTERNAL_STORAGE

  • ဖလင့်လဟစ် — phishing window ကိုပဌသပါ။ ဆာဗာမဟလာသော ပါရာမီတာပေါ်မူတည်၍ အပလီကေသရဟင်သသည် အောက်ပါ phishing windows ကိုပဌသနိုင်သည်-
    • လမ်သညလဟန်တစ်ခုရဟိ ဖိုင်တစ်ခုတလင် အကဌောင်သအရာမျာသကို ရေသထာသသည့် ဖဌာသယောင်သဝင်သဒိုသတစ်ခုကို ပဌပါ။ <%external directory%>/hgps/<%param_filename%>. ဝင်သဒိုသနဟင့် အသုံသပဌုသူ အပဌန်အလဟန်တုံ့ပဌန်မဟု၏ ရလဒ်အာသ ပေသပို့ပါမည်။ <%CnC%>/records.php
    • အကဌောင်သအရာမျာသကို လိပ်စာမဟကဌိုတင်တင်ထာသသည့် ဖဌာသယောင်သဝင်သဒိုသတစ်ခုကို ပဌပါ။ <%url_param%>?id=<%bot_id%>&app=<%packagename%>. ဝင်သဒိုသနဟင့် အသုံသပဌုသူ အပဌန်အလဟန်တုံ့ပဌန်မဟု၏ ရလဒ်အာသ ပေသပို့ပါမည်။ <%CnC%>/records.php
    • Google Play ကတ်အဖဌစ် အသလင်ယူထာသသော ဖဌာသယောင်သသည့် ဝင်သဒိုသကို ပဌပါ။

  • အပဌန်အလဟန်တုန့်ပဌန်သော — AcessibilityService ကို အသုံသပဌု၍ အခဌာသသော အပလီကေသရဟင်သမျာသ၏ ဝင်သဒိုသဒဌပ်စင်မျာသနဟင့် အပဌန်အလဟန် တုံ့ပဌန်ရန် အမိန့်ကို ဒီဇိုင်သထုတ်ထာသသည်။ အပဌန်အလဟန်အကျိုသပဌုရန်အတလက် အစီအစဉ်တလင် အထူသဝန်ဆောင်မဟုတစ်ခုကို အကောင်အထည်ဖော်ခဲ့သည်။ စုံစမ်သစစ်ဆေသမဟုအောက်တလင်ရဟိသော အပလီကေသရဟင်သသည် windows နဟင့် အပဌန်အလဟန်အကျိုသသက်ရောက်နိုင်သည်-
    • လက်ရဟိ လဟုပ်ရဟာသနေပါတယ်။ ကကိစ္စတလင်၊ ကန့်သတ်ချက်တလင် သင် အပဌန်အလဟန်တုံ့ပဌန်ရန် လိုအပ်သည့် အရာဝတ္ထု၏ id သို့မဟုတ် စာသာသ (အမည်) ပါရဟိသည်။
    • အမိန့်ကို လုပ်ဆောင်သည့်အချိန်တလင် အသုံသပဌုသူမဟ မဌင်နိုင်သည်။ အပလီကေသရဟင်သသည် windows ကို ID ဖဌင့်ရလေသချယ်သည်။

    ပစ္စည်သလက်ခံရရဟိခဌင်သ။ AccessibilityNodeInfo စိတ်ပါဝင်စာသသော ဝင်သဒိုသဒဌပ်စင်မျာသအတလက်၊ ကန့်သတ်ချက်မျာသပေါ်မူတည်၍ အပလီကေသရဟင်သသည် အောက်ပါလုပ်ဆောင်ချက်မျာသကို လုပ်ဆောင်နိုင်သည်-

    • focus — အရာဝတ္တုကို အာရုံစိုက်ပါ။
    • ကလစ် – အရာဝတ္ထုတစ်ခုကို နဟိပ်ပါ။
    • actionId — ID ဖဌင့် လုပ်ဆောင်ချက်တစ်ခုကို လုပ်ဆောင်ပါ။
    • setText — အရာဝတ္ထုတစ်ခု၏ စာသာသကို ပဌောင်သလဲပါ။ စာသာသကို ပဌောင်သလဲရန် နည်သလမ်သနဟစ်မျိုသဖဌင့် ဖဌစ်နိုင်သည်- လုပ်ဆောင်ချက်တစ်ခု လုပ်ဆောင်ပါ။ ACTION_SET_TEXT (ကူသစက်ထာသသောစက်ပစ္စည်သ၏ Android ဗာသရဟင်သသည် ငယ်ပါက သို့မဟုတ် တူညီပါက Lollipop) သို့မဟုတ် ကလစ်ဘုတ်ပေါ်တလင် စာကဌောင်သတစ်ကဌောင်သတင်ကာ အရာဝတ္ထုတစ်ခုထဲသို့ ကူသထည့်ခဌင်သဖဌင့် (ဗာသရဟင်သအဟောင်သမျာသအတလက်)။ ဘဏ်လုပ်ငန်သအပလီကေသရဟင်သတစ်ခုတလင်ဒေတာကိုပဌောင်သလဲရန် ကအမိန့်ကိုသုံသနိုင်သည်။

2. PARAMS_ACTIONS - တူညီသည် PARAMS_ACTIONJSON အခင်သအကျင်သတစ်ခုသာ ရောက်ရဟိလာသည်။

အခဌာသအပလီကေသရဟင်သတစ်ခု၏ ဝင်သဒိုသဒဌပ်စင်မျာသနဟင့် အပဌန်အလဟန်တုံ့ပဌန်သည့်လုပ်ဆောင်ချက်ကို လူအမျာသက စိတ်ဝင်စာသကဌပုံရသည်။ Gustuff တလင် ကလုပ်ဆောင်ချက်ကို အကောင်အထည်ဖော်ပုံမဟာ-

boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
    int count = action.optInt("repeat", 1);
    Iterator aiListIterator = ((Iterable)aiList).iterator();
    int count = 0;
    while(aiListIterator.hasNext()) {
        Object ani = aiListIterator.next();
        if(1 <= count) {
            int index;
            for(index = 1; true; ++index) {
                if(action.has("focus")) {
                    if(((AccessibilityNodeInfo)ani).performAction(1)) {
                        ++count;
                    }
                }
                else if(action.has("click")) {
                    if(((AccessibilityNodeInfo)ani).performAction(16)) {
                        ++count;
                    }
                }
                else if(action.has("actionId")) {
                    if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
                        ++count;
                    }
                }
                else if(action.has("setText")) {
                    customHeader ch = CustomAccessibilityService.a;
                    Context context = this.getApplicationContext();
                    String text = action.optString("setText");
                    if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
                        ++count;
                    }
                }
                if(index == count) {
                    break;
                }
            }
        }
        ((AccessibilityNodeInfo)ani).recycle();
    }
    res.addPropertyNumber("res", Integer.valueOf(count));
}

စာသာသအစာသထိုသလုပ်ဆောင်ချက်

boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
    boolean result;
    if(Build$VERSION.SDK_INT >= 21) {
        Bundle b = new Bundle();
        b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
        result = ani.performAction(0x200000, b);  // ACTION_SET_TEXT
    }
    else {
        Object clipboard = context.getSystemService("clipboard");
        if(clipboard != null) {
        ((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
        result = ani.performAction(0x8000);  // ACTION_PASTE
        }
        else {
            result = false;
        }
    }
    return result;
}

ထို့ကဌောင့်၊ ထိန်သချုပ်ဆာဗာ၏ မဟန်ကန်သောဖလဲ့စည်သပုံဖဌင့်၊ Gustuff သည် ဘဏ်လုပ်ငန်သအက်ပလီကေသရဟင်သတလင် စာသာသအကလက်မျာသကို ဖဌည့်စလက်ပဌီသ ငလေပေသငလေယူ အပဌီသသတ်ရန် လိုအပ်သောခလုတ်မျာသကို နဟိပ်နိုင်သည်။ Trojan သည် အပလီကေသရဟင်သသို့ လော့ဂ်အင်ဝင်ရန်ပင်မလိုအပ်ပေ—၎င်သသည် တလန်သအာသပေသသတိပေသချက်တစ်ခုပဌသရန် အမိန့်ပေသပဌီသနောက် ယခင်ထည့်သလင်သထာသသည့် ဘဏ်လုပ်ငန်သအက်ပ်ကိုဖလင့်ရန် လုံလောက်ပါသည်။ အသုံသပဌုသူသည် သူ့ကိုယ်သူ စစ်မဟန်ကဌောင်သ သက်သေပဌမည်ဖဌစ်ပဌီသ၊ ထို့နောက် Gustuff သည် ကာသကိုဖဌည့်နိုင်မည်ဖဌစ်သည်။

SMS မက်ဆေ့ချ် လုပ်ဆောင်ခဌင်သ module

အပလီကေသရဟင်သသည် SMS မက်ဆေ့ချ်မျာသကို လက်ခံရန် ကူသစက်ခံထာသရသော စက်အတလက် ဖဌစ်ရပ်ကိုင်တလယ်ကိရိယာကို ထည့်သလင်သပေသသည်။ လေ့လာမဟုအောက်ရဟိ အပလီကေသရဟင်သသည် SMS မက်ဆေ့ဂျ်၏ကိုယ်ထည်တလင်ပါရဟိသည့် အော်ပရေတာထံမဟ ညလဟန်ကဌာသချက်မျာသကို လက်ခံရရဟိနိုင်ပါသည်။ Command မျာသသည် format ဖဌင့်လာပါသည်။

7!5=<%Base64 ကုဒ်လုပ်ထာသသော အမိန့်%>

အပလီကေသရဟင်သသည် ဝင်လာသော SMS မက်ဆေ့ချ်မျာသအာသလုံသတလင် စာကဌောင်သကို ရဟာဖလေသည်။ 7!5=string တစ်ခုကို ရဟာတလေ့သောအခါ၊ ၎င်သသည် Base64 မဟ string ကို offset 4 တလင် ကုဒ်လုပ်ပဌီသ command ကို လုပ်ဆောင်သည်။ command မျာသသည် CnC နဟင့်ဆင်တူသည်။ လုပ်ဆောင်ချက်ရလဒ်ကို အမိန့်ပေသသော နံပါတ်တစ်ခုတည်သသို့ ပေသပို့သည်။ တုံ့ပဌန်မဟုပုံစံ-

7*5=< “result_code command”%> ၏ %Base64 ကုဒ်

ရလေသချယ်နိုင်သောအာသဖဌင့်၊ အပလီကေသရဟင်သသည် လက်ခံရရဟိထာသသော စာတိုအာသလုံသကို Root နံပါတ်သို့ ပေသပို့နိုင်သည်။ ထိုသို့လုပ်ဆောင်ရန်၊ ညသစာသပေသဖိုင်တလင် Root နံပါတ်ကို သတ်မဟတ်ရမည်ဖဌစ်ပဌီသ မက်ဆေ့ချ်ပဌန်ညလဟန်သခဌင်သအလံကို သတ်မဟတ်ရပါမည်။ ဖော်မတ်ဖဌင့် တိုက်ခိုက်သူ၏နံပါတ်ထံသို့ SMS စာတိုတစ်စောင် ပေသပို့သည်-

<%from number%> - <%Time၊ ဖော်မတ်- dd/MM/yyyy HH:mm:ss%> <%SMS body%>

ထို့အပဌင်၊ ရလေသချယ်နိုင်သည်၊ အပလီကေသရဟင်သသည် CnC သို့ စာတိုပေသပို့နိုင်သည်။ SMS စာတိုကို JSON ဖော်မတ်ဖဌင့် ဆာဗာသို့ ပို့သည်- 

{
    "id":<%BotID%>,
    "sms":
    {
        "text":<%SMS body%>,
        "number":<%From number%>,
        "date":<%Timestamp%>
    }
}

အလံကို မဌဟောက်ထာသရင် nameGenerator("DEFAULT_APP_SMS") - အပလီကေသရဟင်သသည် SMS မက်ဆေ့ခ်ျကိုလုပ်ဆောင်ခဌင်သကိုရပ်တန့်ပဌီသအဝင်မက်ဆေ့ခ်ျမျာသစာရင်သကိုရဟင်သလင်သသည်။

ပရောက်စီ မော်ဂျူသ

လေ့လာမဟုအောက်ရဟိ အပလီကေသရဟင်သတလင် Backconnect Proxy module တစ်ခုပါရဟိသည် (နောင်တလင် Proxy module အဖဌစ်ရည်ညလဟန်သသည်) ပါ၀င်သည် ဖလဲ့စည်သမဟုဒေတာကို ရဟင်သလင်သသောပုံစံဖဌင့် နမူနာတလင် သိမ်သဆည်သထာသသည်-

Android Trojan Gustuff သည် သင့်အကောင့်မျာသမဟ ခရင်မ် (fiat နဟင့် crypto) ကို လျဟို့ဝဟက်ထာသပုံ

Proxy module မဟ လုပ်ဆောင်သည့် လုပ်ဆောင်ချက်မျာသအာသလုံသကို ဖိုင်မျာသထဲသို့ အကောင့်ဝင်ထာသသည်။ ၎င်သကိုလုပ်ဆောင်ရန်၊ ပဌင်ပသိုလဟောင်မဟုရဟိ အပလီကေသရဟင်သသည် မဟတ်တမ်သဖိုင်မျာသကို သိမ်သဆည်သထာသသည့် “မဟတ်တမ်သမျာသ” (ProxyConfigClass.logsDir အကလက်) ဟုခေါ်သော လမ်သညလဟန်တစ်ခုကို ဖန်တီသသည်။ အမည်မျာသပါသော ဖိုင်မျာသတလင် မဟတ်တမ်သရေသခဌင်သသည် ဖဌစ်ပေါ်သည်-

  1. main.txt - CommandServer ဟုခေါ်သော class ၏အလုပ်သည် ကဖိုင်သို့ဝင်ရောက်ထာသသည်။ အောက်တလင်ဖော်ပဌထာသသောအချက်မဟာ၊ ကဖိုင်ထဲသို့ string str ကို လော့ဂ်အင်ဝင်ခဌင်သသည် mainLog(str) အဖဌစ် မဟတ်ယူမည်ဖဌစ်သည်။
  2. session-<%id%>.txt — ကဖိုင်သည် သီသခဌာသ proxy စက်ရဟင်တစ်ခုနဟင့် ဆက်စပ်နေသော မဟတ်တမ်သဒေတာကို သိမ်သဆည်သသည်။ အောက်တလင်ဖော်ပဌထာသသောအချက်မဟာ၊ ကဖိုင်တလင် string str ကို လော့ဂ်အင်လုပ်ခဌင်သကို sessionLog (str) အဖဌစ် မဟတ်ယူပါမည်။
  3. server.txt - ကဖိုင်ကို အထက်ဖော်ပဌပါဖိုင်မျာသသို့ ရေသထာသသော အချက်အလက်အာသလုံသကို မဟတ်တမ်သတင်ရန်အတလက် အသုံသပဌုပါသည်။

မဟတ်တမ်သဒေတာဖော်မတ်-

<%Date%> [Thread[<%thread id%>]၊ id[]]- မဟတ်တမ်သ-စာကဌောင်သ

Proxy module ၏လုပ်ဆောင်မဟုအတလင်သ ဖဌစ်ပေါ်သည့်ခဌလင်သချက်မျာသကို ဖိုင်တစ်ခုသို့လည်သ မဟတ်တမ်သတင်ထာသသည်။ ၎င်သကိုလုပ်ဆောင်ရန်၊ အပလီကေသရဟင်သသည် အောက်ပါဖော်မတ်ဖဌင့် JSON အရာဝတ္ထုတစ်ခုကို ထုတ်ပေသသည်- 

{
    "uncaughtException":<%short description of throwable%>
    "thread":<%thread%>
    "message":<%detail message of throwable%>
    "trace":        //Stack trace info
        [
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            },
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            }
        ]
}

ထို့နောက် ၎င်သကို ကဌိုသတစ်ချောင်သ ကိုယ်စာသပဌုမဟုအဖဌစ်သို့ ပဌောင်သပဌီသ ၎င်သကို မဟတ်တမ်သတင်သည်။

သက်ဆိုင်ရာ command ကိုလက်ခံရရဟိပဌီသနောက် Proxy module ကို စတင်လိုက်ပါပဌီ။ Proxy module ကိုစတင်ရန် command ကိုလက်ခံရရဟိသောအခါ၊ အပလီကေသရဟင်သသည်ခေါ်သောဝန်ဆောင်မဟုတစ်ခုစတင်သည်။ ပင်မဝန်ဆောင်မဟုProxy module ၏လုပ်ဆောင်ချက်ကို စီမံခန့်ခလဲရန် တာဝန်ရဟိသော၊ ၎င်သကို စတင်ခဌင်သနဟင့် ရပ်တန့်ခဌင်သ။

ဝန်ဆောင်မဟုစတင်သည့် အဆင့်မျာသ-

1. တစ်မိနစ်လျဟင် တစ်ကဌိမ်လည်ပတ်သည့် အချိန်တိုင်သကိရိယာကို စတင်ပဌီသ Proxy မော်ဂျူသ၏ လုပ်ဆောင်ချက်ကို စစ်ဆေသသည်။ မော်ဂျူသသည် အသက်မဝင်ပါက ၎င်သကို စတင်သည်။
အဖဌစ်အပျက်က အစပျိုသလိုက်တာလည်သ ဖဌစ်ပါတယ်။ android.net.conn.CONNECTIVITY_CHANGE Proxy module ကို စတင်လိုက်ပါပဌီ။

2. အပလီကေသရဟင်သသည် ကန့်သတ်ချက်ဖဌင့် နဟိုသခဌင်သ-လော့ခ်ကို ဖန်တီသသည်။ PARTIAL_WAKE_LOCK သူ့ကိုဖမ်သတယ်။ ၎င်သသည် စက်ပစ္စည်သ CPU ကို အိပ်စက်ခဌင်သမုဒ်သို့ မရောက်အောင် တာသဆီသပေသသည်။

3. Proxy module ၏ command processing class ကို စတင်ပဌီသ လိုင်သကို ညသစလာ လော့ဂ်လုပ်ပါ။ mainLog("စတင်ဆာဗာ") О

ဆာဗာ-:start() host[<%proxy_cnc%>]၊ commandPort[<%command_port%>]၊ proxyPort[<%proxy_port%>]

ဘယ်မဟာ proxy_cnc၊ command_port နဟင့် proxy_port - Proxy server configuration မဟရရဟိသော parameters မျာသ။

command processing class ကို ခေါ်ပါတယ်။ CommandConnection. စတင်ပဌီသနောက်ချက်ချင်သ၊ အောက်ပါလုပ်ဆောင်ချက်မျာသကို လုပ်ဆောင်ပါ-

4. သို့ ချိတ်ဆက်သည်။ ProxyConfigClass.host: ProxyConfigClass.commandPort JSON ဖော်မတ်ဖဌင့် ထိုနေရာတလင် ကူသစက်ခံထာသရသော စက်ပစ္စည်သအကဌောင်သ ဒေတာကို ပေသပို့သည်-

{
    "id":<%id%>,
    "imei":<%imei%>,
    "imsi":<%imsi%>,
    "model":<%model%>,
    "manufacturer":<%manufacturer%>,
    "androidVersion":<%androidVersion%>,
    "country":<%country%>,
    "partnerId":<%partnerId%>,
    "packageName":<%packageName%>,
    "networkType":<%networkType%>,
    "hasGsmSupport":<%hasGsmSupport%>,
    "simReady":<%simReady%>,
    "simCountry":<%simCountry%>,
    "networkOperator":<%networkOperator%>,
    "simOperator":<%simOperator%>,
    "version":<%version%>
}

ဘယ်မဟာ:

  • id – identifier သည် “x” အမည်ရဟိ မျဟဝေထာသသော နဟစ်သက်ရာဖိုင်မဟ “id” အကလက်ပါသော တန်ဖိုသတစ်ခုကို ရယူရန် ကဌိုသစာသသည်။ ကတန်ဖိုသကို မရရဟိနိုင်ပါက၊ ၎င်သသည် အသစ်တစ်ခုထုတ်ပေသသည်။ ထို့ကဌောင့်၊ Proxy module တလင် Bot ID နဟင့် အလာသတူထုတ်ပေသသည့် ၎င်သ၏ကိုယ်ပိုင်အမဟတ်အသာသတစ်ခုရဟိသည်။
  • imei — စက်၏ IMEI။ တန်ဖိုသရယူသည့် လုပ်ငန်သစဉ်အတလင်သ အမဟာသအယလင်သတစ်ခု ဖဌစ်ပေါ်ခဲ့ပါက၊ ကအကလက်အစာသ အမဟာသအယလင်သ စာသာသမက်ဆေ့ချ်ကို ရေသသာသပါမည်။
  • imsi — စက်ပစ္စည်သ၏ နိုင်ငံတကာ မိုဘိုင်သစာရင်သသလင်သသူ အထောက်အထာသ။ တန်ဖိုသရယူသည့် လုပ်ငန်သစဉ်အတလင်သ အမဟာသအယလင်သတစ်ခု ဖဌစ်ပေါ်ခဲ့ပါက၊ ကအကလက်အစာသ အမဟာသအယလင်သ စာသာသမက်ဆေ့ချ်ကို ရေသသာသပါမည်။
  • မော်ဒယ် — အဆုံသထုတ်ကုန်အတလက် အသုံသပဌုသူမဌင်နိုင်သောအမည်။
  • ထုတ်လုပ်သူ — ထုတ်ကုန်/ဟာ့ဒ်ဝဲ ထုတ်လုပ်သူ (Build.MANUFACTURER)။
  • androidVersion - "<%release_version%> (<%os_version%>),<%sdk_version%>" ဖော်မတ်ရဟိ စာတန်သတစ်ခု
  • နိုင်ငံ — စက်၏ လက်ရဟိတည်နေရာ။
  • PartnerId သည် ဗလာစာကဌောင်သတစ်ခုဖဌစ်သည်။
  • packageName – အထုပ်အမည်။
  • ကလန်ရက်အမျိုသအစာသ — လက်ရဟိကလန်ရက်ချိတ်ဆက်မဟုအမျိုသအစာသ (ဥပမာ- “WIFI”၊ “မိုဘိုင်သလ်”)။ အမဟာသအယလင်သရဟိပါက null ပဌန်ပေသသည်။
  • hasGsmSupport – true – ဖုန်သသည် GSM ကို ပံ့ပိုသပါက၊ မဟုတ်ပါက မဟာသသည်။
  • simReady – ဆင်သမ်ကတ်အခဌေအနေ။
  • simCountry - ISO နိုင်ငံကုဒ် (ဆင်သမ်ကတ်ပံ့ပိုသပေသသူအပေါ်အခဌေခံသည်)။
  • networkOperator — အော်ပရေတာအမည်။ တန်ဖိုသရယူသည့် လုပ်ငန်သစဉ်အတလင်သ အမဟာသအယလင်သတစ်ခု ဖဌစ်ပေါ်ခဲ့ပါက၊ ကအကလက်အစာသ အမဟာသအယလင်သ စာသာသမက်ဆေ့ချ်ကို ရေသသာသပါမည်။
  • simOperator — ဝန်ဆောင်မဟုပေသသူအမည် (SPN)။ တန်ဖိုသရယူသည့် လုပ်ငန်သစဉ်အတလင်သ အမဟာသအယလင်သတစ်ခု ဖဌစ်ပေါ်ခဲ့ပါက၊ ကအကလက်အစာသ အမဟာသအယလင်သ စာသာသမက်ဆေ့ချ်ကို ရေသသာသပါမည်။
  • ဗာသရဟင်သ - ကအကလက်ကို config class တလင် သိမ်သဆည်သထာသပဌီသ၊ bot ၏ စမ်သသပ်ဗာသရဟင်သမျာသအတလက် ၎င်သသည် "1.6" နဟင့် ညီမျဟသည်။

5. ဆာဗာမဟ ညလဟန်ကဌာသချက်မျာသကို စောင့်ဆိုင်သသည့်မုဒ်သို့ ပဌောင်သသည်။ ဆာဗာမဟ ညလဟန်ကဌာသချက်မျာသသည် ဖော်မတ်ဖဌင့် လာပါသည်။

  • 0 offset – အမိန့်ပေသသည်။
  • 1 offset – sessionId
  • 2 offset – အရဟည်
  • ထေရ-ဒေ ၄

အမိန့်တစ်ခုရောက်လာသောအခါ၊ အပလီကေသရဟင်သသည် မဟတ်တမ်သဝင်သည်-
mainLog("ခေါင်သစီသ { sessionId<%id%>]၊ အမျိုသအစာသ[<%command%>]၊ အရဟည်[<%length%>] }")

ဆာဗာမဟ အောက်ပါ command မျာသကို ဖဌစ်နိုင်သည်-

အမည် အမိန့် ဒေတာမျာသ ဖေါ်ပဌချက်
ချိတ်ဆက်မဟုအိုင်ဒီ 0 ချိတ်ဆက်မဟု ID ချိတ်ဆက်မဟုအသစ်တစ်ခု ဖန်တီသပါ။
အိပျပျဌော 3 အချိန် Proxy module ကို ခဏရပ်ပါ။
ပင်သပေါင် 4 - PONG မက်ဆေ့ခ်ျပို့ပါ။

PONG မက်ဆေ့ဂျ်တစ်ခုတလင် 4 bytes ပါ၀င်ပဌီသ ကကဲ့သို့ တလေ့ရသည်- 0x04000000.

connectionId command ကိုလက်ခံရရဟိသောအခါ (ချိတ်ဆက်မဟုအသစ်တစ်ခုဖန်တီသရန်) CommandConnection class တစ်ခု၏ instance တစ်ခုကို ဖန်တီသသည်။ Proxy ချိတ်ဆက်မဟု.

  • proxying တလင် အတန်သနဟစ်ခုပါဝင်သည်- Proxy ချိတ်ဆက်မဟု О အဆုံသ. အတန်သဖန်တီသတဲ့အခါ Proxy ချိတ်ဆက်မဟု လိပ်စာသို့ချိတ်ဆက်ခဌင်သ။ ProxyConfigClass.host: ProxyConfigClass.proxyPort နဟင့် JSON အရာဝတ္ထုကို ဖဌတ်သလာသသည်-

 {
    "id":<%connectionId%>
}

တုံ့ပဌန်မဟုအနေဖဌင့်၊ ဆာဗာသည် ချိတ်ဆက်မဟုတည်ဆောက်ရမည်ဖဌစ်ပဌီသ အဝေသထိန်သဆာဗာ၏လိပ်စာပါရဟိသော SOCKS5 မက်ဆေ့ချ်ကို ပေသပို့သည်။ ကဆာဗာနဟင့် အပဌန်အလဟန် တုံ့ပဌန်မဟုသည် အတန်သမဟတဆင့် ဖဌစ်ပေါ်သည်။ အဆုံသ. ချိတ်ဆက်မဟု စနစ်ထည့်သလင်သမဟုကို အောက်ပါအတိုင်သ ဇယာသကလက်ဖဌင့် ကိုယ်စာသပဌုနိုင်သည်-

Android Trojan Gustuff သည် သင့်အကောင့်မျာသမဟ ခရင်မ် (fiat နဟင့် crypto) ကို လျဟို့ဝဟက်ထာသပုံ

ကလန်ရက် အပဌန်အလဟန်ဆက်သလယ်မဟုမျာသ

network sniffers မျာသဖဌင့် လမ်သကဌောင်သခလဲခဌမ်သစိတ်ဖဌာခဌင်သကို ကာကလယ်ရန်၊ CnC ဆာဗာနဟင့် အပလီကေသရဟင်သကဌာသ အပဌန်အလဟန်အကျိုသသက်ရောက်မဟုကို SSL ပရိုတိုကောကို အသုံသပဌု၍ ကာကလယ်နိုင်ပါသည်။ ဆာဗာမဟ နဟင့် ဆာဗာ နဟစ်ခုလုံသမဟ ပေသပို့သော ဒေတာအာသလုံသကို JSON ဖော်မတ်ဖဌင့် ပဌသထာသသည်။ အပလီကေသရဟင်သသည် လည်ပတ်နေစဉ်အတလင်သ အောက်ပါတောင်သဆိုချက်မျာသကို လုပ်ဆောင်သည်-

  • http://<%CnC%>/api/v1/set_state.php - အမိန့်ကိုလုပ်ဆောင်ခဌင်သ၏ရလဒ်။
  • http://<%CnC%>/api/v1/get.php - အမိန့်ကိုလက်ခံရရဟိခဌင်သ။
  • http://<%CnC%>/api/v1/load_sms.php — ကူသစက်ခံထာသရသော စက်မဟ SMS စာတိုမျာသကို ဒေါင်သလုဒ်လုပ်ခဌင်သ။
  • http://<%CnC%>/api/v1/load_ab.php — ကူသစက်ခံထာသရသော စက်မဟ အဆက်အသလယ်စာရင်သကို အပ်လုဒ်တင်ခဌင်သ။
  • http://<%CnC%>/api/v1/aevents.php - နဟစ်သက်ရာဖိုင်တလင်ရဟိသော ကန့်သတ်ဘောင်မျာသကို အပ်ဒိတ်လုပ်သောအခါ တောင်သဆိုမဟုပဌုလုပ်သည်။
  • http://<%CnC%>/api/v1/set_card.php — Google Play Market အဖဌစ် ဟန်ဆောင်ထာသသော phishing ဝင်သဒိုသကို အသုံသပဌု၍ ရရဟိသောဒေတာကို အပ်လုဒ်တင်ခဌင်သ။
  • http://<%CnC%>/api/v1/logs.php - မဟတ်တမ်သဒေတာကို တင်ခဌင်သ။
  • http://<%CnC%>/api/v1/records.php - phishing windows မဟတဆင့်ရရဟိသောဒေတာကိုတင်ခဌင်သ။
  • http://<%CnC%>/api/v1/set_error.php - ဖဌစ်ပေါ်လာသော အမဟာသအယလင်သတစ်ခုကို အသိပေသခဌင်သ။

အကဌံပဌုချက်မျာသ

၎င်သတို့၏ဖောက်သည်မျာသအာသ မိုဘိုင်သထရိုဂျန်မျာသ၏ ခဌိမ်သခဌောက်မဟုမဟ ကာကလယ်ရန်အတလက် ကုမ္ပဏီမျာသသည် သုံသစလဲသူစက်မျာသတလင် အပိုဆော့ဖ်ဝဲကို ထည့်သလင်သခဌင်သမပဌုဘဲ အန္တရာယ်ရဟိသော လုပ်ဆောင်ချက်မျာသကို စောင့်ကဌည့်ကာ တာသဆီသနိုင်စေမည့် ပဌည့်စုံသောဖဌေရဟင်သချက်မျာသကို အသုံသပဌုရမည်ဖဌစ်သည်။

ထိုသို့လုပ်ဆောင်ရန်၊ မိုဘိုင်သထရိုဂျန်မျာသကို ထောက်လဟမ်သရန် လက်မဟတ်နည်သလမ်သမျာသသည် သုံသစလဲသူနဟင့် အပလီကေသရဟင်သကိုယ်တိုင်၏ အပဌုအမူကို ပိုင်သခဌာသစိတ်ဖဌာခဌင်သအတလက် နည်သပညာမျာသဖဌင့် အာသကောင်သလာရန် လိုအပ်ပါသည်။ အကာအကလယ်တလင် ဒစ်ဂျစ်တယ်လက်ဗလေနည်သပညာကို အသုံသပဌုထာသသည့် စက်ပစ္စည်သ မဟတ်ပုံတင်ခဌင်သ လုပ်ဆောင်ချက်လည်သ ပါဝင်သင့်သည်၊ ၎င်သသည် ပုံမဟန်မဟုတ်သော စက်ပစ္စည်သတစ်ခုမဟ အကောင့်တစ်ခုအာသ အသုံသပဌုနေချိန်တလင် လိမ်လည်သူ၏လက်ထဲသို့ ကျရောက်နေပဌီဖဌစ်သည်ကို နာသလည်နိုင်စေမည့် ကိရိယာတစ်ခု ဖော်ထုတ်ခဌင်သလုပ်ဆောင်ချက်ကိုလည်သ ထည့်သလင်သသင့်သည်။

အခဌေခံအရေသကဌီသသောအချက်မဟာ ကုမ္ပဏီမျာသသည် အင်တာနက်ပေါ်တလင်သာမက မိုဘိုင်သချန်နယ်တလင်ပါ ဖဌစ်ပေါ်နိုင်သည့် အန္တရာယ်မျာသကို ထိန်သချုပ်နိုင်စေသည့် လမ်သကဌောင်သခလဲခဌမ်သစိတ်ဖဌာမဟုရရဟိနိုင်မဟုဖဌစ်ပဌီသ ဥပမာအာသဖဌင့်၊ မိုဘိုင်သလ်ဘဏ်လုပ်ငန်သအတလက် အပလီကေသရဟင်သမျာသတလင်၊ cryptocurrencies နဟင့် အခဌာသမည်သည့်နေရာတလင်မဆို အရောင်သအဝယ်ပဌုလုပ်ရန်၊ ငလေပေသငလေယူ ဆောင်ရလက်နိုင်သည် ။ငလေကဌေသလလဟဲပဌောင်သမဟု။

သုံသစလဲသူမျာသအတလက် ဘေသကင်သရေသ စည်သမျဉ်သမျာသ-

  • Google Play မဟလလဲ၍ အခဌာသရင်သမဌစ်မျာသမဟ Android OS ပါသည့် မိုဘိုင်သစက်ပစ္စည်သအတလက် အပလီကေသရဟင်သမျာသ မတပ်ဆင်ပါနဟင့်၊ အက်ပ်လီကေသရဟင်သမဟ တောင်သဆိုထာသသော အခလင့်အရေသမျာသကို အထူသဂရုပဌုပါ။
  • Android OS အပ်ဒိတ်မျာသကို ပုံမဟန်ထည့်သလင်သပါ။
  • ဒေါင်သလုဒ်လုပ်ထာသသောဖိုင်မျာသ၏ extension မျာသကိုအာရုံစိုက်ပါ။
  • သံသယဖဌစ်ဖလယ်အရင်သအမဌစ်မျာသကို မလည်ပတ်ပါနဟင့်။
  • SMS မက်ဆေ့ချ်မျာသတလင် လက်ခံရရဟိသော လင့်ခ်မျာသကို မနဟိပ်ပါနဟင့်။

ဒီဇာတ်ကာသမဟာ Semyon RogachevaGroup-IB Computer Forensics Laboratory တလင် malware သုတေသနဆိုင်ရာ အငယ်တန်သပါရဂူ။

source: www.habr.com

မဟတ်ချက် Add