Rat для android 2021

Новый Android RAT использует протокол Telegram

Вирусная лаборатория ESET обнаружила новый Android RAT (Remote Administration Tool), использующий протокол Telegram для управления и эксфильтрации данных. Изначально мы обратили внимание на повышение активности уже известных IRRAT и TeleRAT, но затем, разобравшись в происходящем, нашли совершенно новое семейство. Новый RAT активен минимум с августа 2017 года. В марте 2018 года исходный код малвари распространялся через Telegram-каналы хакеров, в результате чего сотни модификаций сегодня действуют in the wild.

Одна из версий отличается от остальных. Несмотря на доступность исходного кода, она продается под коммерческим названием HeroRat через специальный Telegram-канал. Авторы предлагают HeroRat в пользование по модели Malware-as-a-Service. Малварь доступна в трех комплектациях с разными функциями и видеоканалом поддержки. Неясно, был ли этот вариант написан на базе слитого кода или, наоборот, является оригиналом, исходный код которого затем появился в сети.

Как это работает

Злоумышленники распространяют RAT через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Мы видели, как вредоносную программу маскируют под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. В Google Play данной малвари не обнаружено. Большинство заражений зафиксировано в Иране.


Рисунок 1. Несколько приложений, используемых для распространения RAT

Вредоносная программа совместима со всеми версиями Android. От пользователя требуется принять запрос разрешений (иногда включая активацию приложения в качестве администратора устройства), для чего используется социальная инженерия.


Рисунок 2. RAT запрашивает права администратора устройства

После установки и запуска вредоносного приложения на экране появляется небольшое всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. Мы видели образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек устройства).

Когда удаление завершено, иконка приложения исчезнет. Одновременно с этим на стороне атакующих будет зарегистрировано новое зараженное устройство.


Рисунок 3. Демонстрация установки HeroRat на устройство (скриншоты из обучающего видео авторов малвари)


Рисунок 4. Исходный код малвари с поддельным сообщением об удалении на английском и персидском

Получив доступ к скомпрометированному устройству, атакующий использует возможности бота Telegram для управления новым девайсом. Каждое зараженное устройство управляется с помощью бота, настраивается и контролируется через приложение Telegram.

Вредоносная программа обладает широким спектром инструментов шпионажа и эксфильтрации файлов, включая перехват текстовых сообщений и контактов, отправку текстовых сообщений и вызовы, запись звука и создание скриншотов, определение местоположения устройства и управление его настройками.

HeroRat продают в трех комплектациях (бронзовый, серебряный и золотой пакеты) за 25, 50 и 100 долларов соответственно. Исходный код от автора HeroRat предлагается купить за 650 долларов.

Доступ к функциям HeroRat осуществляется с помощью интерактивных кнопок в интерфейсе Telegram-бота. Атакующие могут управлять зараженными устройствами, нажимая кнопки, доступные в той версии RAT, которую они оплатили и используют.


Рисунок 5. Панель управления HeroRat


Рисунок 6. Функции HeroRat (слева направо): бронзовый, серебряный и золотой пакеты (скриншоты из обучающего видео авторов малвари)

В отличие от ранее изученных Android RAT, использующих Telegram, которые написаны на стандартном Android Java, новое семейство разработано с нуля на C# с использованием фреймворка Xamarin – редкое сочетание для Android-малвари.

Способ коммуникации через протокол Telegram адаптирован к языку программирования – вместо Telegram Bot API, который использовали ранее изученные RAT, новое семейство применяет Telesharp, библиотеку для создания ботов Telegram на C#.

Передача команд и эксфильтрация данных с зараженных устройств полностью покрываются протоколом Telegram – эта мера направлена на противодействие обнаружению на основе трафика на известные серверы загрузки.

Источник

Rat для android 2021

SpyMax v4 agrietado

SpyMax v4 RAT agrietado: es la última versión de SpyMax v4 RAT. Es una versión avanzada de Android RAT con muchas funciones potentes. MobiHok v6 viene con muchas características nuevas que nadie ha visto antes. He proporcionado el enlace de descarga de la versión agrietada de SpyMax v4 a continuación. También puede buscar en wiki para obtener más información sobre los troyanos.

Читайте также:  Телевизор 55bl2ea 4k ultra hd android

Compatible con todas las versiones de Android Genera carga útil FUD Transmisión de grabación de la pantalla en vivo de la víctima Vincula la carga útil con otra apk Carga útil de persistencia Páginas de phishing de redes sociales Conexión estable Fácil de usar Administrador de archivos Administrador de SMS Administrador de llamadas Administrador de contactos Administrador de ubicación Administrador de cuentas Administrador de cámara Captura de pantalla en vivo de las víctimas de Shell terminal de aplicación directa instalar cualquier otra apk sobre las víctimas de teléfono Micrófono Keylogger Ajustes Víctima de teléfono Muchos más . • NET Framework 4.5 El programa es compatible con los siguientes sistemas Microsoft Windows • Windows 10 • Windows 8 • Windows 7 • Windows XP El parche es compatible con sistemas Android • 9.0 — Bay / pie • 8.0 — Oreo / Oreo • 7.0 — Turrón / turrón • 6.0 — Marschmilo / marshmallow’s • 5.0 — Características de Crown Bob / lollipop.

• Inicie sesión y verifique la versión hash para asegurar su integridad • Desarrollar el parche para que sea compatible con la última versión • Ocultar notificaciones (adormecer) • Conectar aplicaciones, videos, fotos . • Vinculación avanzada • Cambiar el nombre del paquete • Usted lo hace no necesita Java en el proceso de construcción del parche • Monitoreo de la actividad de la víctima • Automático Althithat • Ajusta la estabilidad de la versión y otras características.

Источник

Rat для android 2021

SpyMax v4 agrietado

SpyMax v4 RAT agrietado: es la última versión de SpyMax v4 RAT. Es una versión avanzada de Android RAT con muchas funciones potentes. MobiHok v6 viene con muchas características nuevas que nadie ha visto antes. He proporcionado el enlace de descarga de la versión agrietada de SpyMax v4 a continuación. También puede buscar en wiki para obtener más información sobre los troyanos.

Compatible con todas las versiones de Android Genera carga útil FUD Transmisión de grabación de la pantalla en vivo de la víctima Vincula la carga útil con otra apk Carga útil de persistencia Páginas de phishing de redes sociales Conexión estable Fácil de usar Administrador de archivos Administrador de SMS Administrador de llamadas Administrador de contactos Administrador de ubicación Administrador de cuentas Administrador de cámara Captura de pantalla en vivo de las víctimas de Shell terminal de aplicación directa instalar cualquier otra apk sobre las víctimas de teléfono Micrófono Keylogger Ajustes Víctima de teléfono Muchos más . • NET Framework 4.5 El programa es compatible con los siguientes sistemas Microsoft Windows • Windows 10 • Windows 8 • Windows 7 • Windows XP El parche es compatible con sistemas Android • 9.0 — Bay / pie • 8.0 — Oreo / Oreo • 7.0 — Turrón / turrón • 6.0 — Marschmilo / marshmallow’s • 5.0 — Características de Crown Bob / lollipop.

• Inicie sesión y verifique la versión hash para asegurar su integridad • Desarrollar el parche para que sea compatible con la última versión • Ocultar notificaciones (adormecer) • Conectar aplicaciones, videos, fotos . • Vinculación avanzada • Cambiar el nombre del paquete • Usted lo hace no necesita Java en el proceso de construcción del parche • Monitoreo de la actividad de la víctima • Automático Althithat • Ajusta la estabilidad de la versión y otras características.

Источник

Получаем доступ к чужому Android смартфону

Полнейший гайд от А до Я, включая крипт нашего зловреда.

Всем салют, дорогие друзья!
На связи Golden — глава Hacker Place

За последнее время мне в бота прилетело множество просьб рассказать о получении доступа к чужим смартфонам на Android. Так тому и быть, я подготовил для вас самый подробный гайд в рунете.

Читайте также:  При загрузке андроида выдает ошибку

Усаживайтесь поудобнее, мы начинаем!

Для чего вообще получать доступ к чужому смартфону?

От банальной слежки за нужным человеком, до кражи личных данных и денежных средств с банковских приложений и кошельков.

В качестве примера могу привести свой отчет. В нем я украл 3.987.849 рублей у американцев с eBay и сделал это как раз заразив их смартфоны зловредом.

Рекомендую к прочтению, в этом отчете вы найдете интересный способ распространения мобильного шпиона, которым сможете спокойно воспользоваться сами:

Ну, а теперь давайте перейдем к практике!

Как создать RAT для Android

Термином RAT (Remote Access Tool) принято называть утилиты удаленного администрирования. Они могут использоваться в благих целях по своему прямому назначению, как, например, популярный TeamViewer, а могут устанавливаться хакерами в тайне от пользователя.

В подобных случаях RAT нередко расшифровывают как Remote Access Trojan, и прямой перевод английского слова rat — «крыса» — тут приходится как нельзя кстати.

В сегодняшнем гайде пойдет речь о бесплатном продукте AhMyth RAT, которым может воспользоваться каждый из вас.

AhMyth RAT (Remote Access Trojan) — это приложение с открытым исходным кодом, в данный момент находится на стадии бета-версии. Инструмент ориентирован на пользователей ОС Windows, но на GitHub можно скачать исходники AhMyth и для Unix-подобных платформ.

Программа для создания RAT для Android AhMyth состоит из двух компонентов.

  1. Серверное приложение, с помощью которого можно управлять зараженным устройством и создавать файлы APK с вредоносным кодом. Создано оно на Electron framework — фреймворке, разработанном на площадке GitHub для создания простых графических приложений.
  2. Клиентский APK, содержащий вредоносный код, который позволяет получить удаленный доступ к зараженному Андроид-устройству. То есть созданный APK-файл будет выполнять функции бэкдора.

Установка AhMyth RAT

Серверная часть устанавливается очень просто, тем более автор RAT-конструктора выложил в свободный доступ бинарники. Но, при желании можно скомпилировать ее из исходников. В моем случае тесты проходили на виртуалке с Windows 10.

Для работы утилиты необходима уставленная на компьютер виртуальная машина Java. Скачать ее можно с официального сайта Java. После этого надо скачать бинарники самой AhMyth. Их вы можете найти в официальном репозитории проекта на GitHub, вкладка Assets. Во время скачивании рекомендую вырубить антивирус, чтобы его не хватил приступ от происходящего.

Создание зараженного APK

Чтобы создать файл APK для Android, откройте вкладку APK Builder. Внешний вид конструктора для создания RAT для Android показан ниже:

Пользоваться конструктором AhMyth RAT очень легко. В окне Source IP надо ввести IP-адрес атакующей машины (этот адрес потом легко вычисляется \ при криминалистическом анализе вредоноса, так что советую не забывать про анонимность).

В поле Source Port можно указать порт, который будет зарезервирован машиной для прослушивания подключений. По умолчанию используется порт 42 474.

Есть также опция Bind With Another Apk, которая позволяет склеить APK-файл с другим приложением.

Для этого надо отметить флажок Bind With Another Apk, выбрать необходимый APK и указать метод интеграции вредоноса в телефон. Есть два метода: при запуске зараженного APK или при перезагрузке телефона после установки RAT. Авторы программы рекомендуют второй вариант.

Осталось нажать кнопку Build — по умолчанию зараженный файл сохраняется в папку:

Как не спалиться перед мобильными антивирусами

Обход антивируса на Android — одна из самых сложных задач. Ну, по крайней мере, так было раньше. Сейчас есть инструмент, под названием APKWASH, который может скрыть вредоносные приложения от обнаружения большинством антивирусов.

Загрузите APKWASH Tool и клонируйте его в Kali Linux с помощью следующей команды:

Дайте инструменту разрешения на выполнение, с помощью следующей команды:

Теперь мы можем использовать следующую команду для создания вредоносного файла:

Ниже приведены параметры, которые можно использовать для создания вредоносных файлов

Устанавливает полезную нагрузку, которая будет сгенерирована msfvenom.

-о | –Output Устанавливает имя созданного APK, а также выходной файл apk.

-x | –Original APK, в который будет внедряться полезная нагрузка

-g | –Generate Сгенерировать полезную нагрузку с использованием значений по умолчанию

-n | –Newkey Сгенерировать новый ключ отладки перед подписью

-v | –Verbose Не маскировать вывод команд

-d | –Debug Оставляет файлы / tmp / payload на месте для просмотра

Читайте также:  Нет новых обновлений андроид не обновляется

-h | –Help Справочная информация

Теперь у вас есть вредоносный apk-файл, который не может быть обнаружен антивирусом.

При должных навыках, скрипт можно улучшать под себя.

Распространение RAT для Android

Как распространяются собранные таким методом вредоносы — это отдельная тема для дискуссий. Отмечу только, что в Google Play регулярно обнаруживают зараженные RAT программы и столь же регулярно их оттуда выпиливают, что не мешает малвари появляться в этом каталоге снова. Кроме того, методы социальной инженерии никто не отменял. Но имейте ввиду, что для активации RAT после установки приложения обязательно нужно запустить или перезагрузить зараженное устройство (в зависимости от настроек билдера).

Для успеха также требуется, чтобы в настройках целевого устройства был отключен параметр «Установка только из доверенных источников». А отключен он практически у всех.

Соединение с зараженным устройством

Теперь нужно перейти во вкладку Victims и вбить в поле тот же порт, что мы указывали раньше, чтобы сервер ждал подключений от зараженных устройств. Опять же если вы ничего не меняли при сборке APK, то ничего не надо указывать и здесь.

Нажимаем на Listen, и, если наш APK успешно заразил мобильное устройство, мы увидим новое подключение.

Программа также логирует все действия в консоли, расположенной в нижней части окна. Значения колонок журнала в целом очевидны.

  • Country — страна, в которой работает зараженное устройство.
  • Manuf — компания — изготовитель девайса.
  • Model — код или название модели устройства.
  • Release — версия операционной системы зараженного девайса (в моем случае это Android 10).
  • IP — IP-адрес устройства, а Port — порт, через который инфицированный девайс подключился к атакующей машине.

Теперь пора переходить к активным действиям — для этого смело нажимаем на кнопку Open The Lab.

Использование RAT AhMyth

Нашему вниманию будет предложено меню из семи пунктов, которое открывает доступ к разным функциям программы.

Камера

Для начала заглянем в раздел Camera. Выберите камеру: фронталку (Front) или основную (Back) — и можете сделать снимок нажатием на кнопку Snap.

Файловый менеджер

Файловый менеджер здесь не такой продвинутый, как в других RAT для Андроид и Windows, однако все равно это очень полезная вещь. С его помощью можно как минимум скачивать нужные нам файлы с зараженного устройства. Как видите, начальная директория — это корневой каталог, к которому есть доступ только с правами администратора.

Микрофон

Эта функция позволяет использовать микрофон устройства в фоновом режиме и записать все, что «слышит» телефон в течение указанного времени (в окне Seconds нужно числом задать продолжительность записи в секундах). Далее жмем Record и ждем. Полученный файл можно прослушать прямо в окне программы или сохранить себе на машину.

Геопозиция

На мой взгляд, это самая интересная возможность AhMyth. Если на инфицированном устройстве включена передача геоданных, вы сможете узнать геопозицию человека с точностью до десяти метров. Известно, что неопытные пользователи очень редко вспоминают об этом параметре и оставляют его включенным. Плюс некоторые приложения (те же карты), использующие передачу геоданных, когда-нибудь да заставят человека включить эту функцию.

Контакты

С помощью этой функции можно вытащить весь список контактов, которые записаны в телефоне. Есть возможность скачать весь список контактов себе на машину.

Еще один очень любопытный раздел. С его помощью можно отправить кому-то SMS или просмотреть и скачать все сообщения, которые пришли на это устройство.

Чтобы отправить SMS, перейдите на вкладку Send SMS, укажите номер телефона получателя (поле TO://), а в поле Message введите желаемый текст сообщения. После этого останется только нажать на кнопку SEND.

Эта функция может быть использована для сброса паролей учетных записей владельца зараженного устройства, например, для взлома «Вконтакте» или Instagram.

Журнал вызовов

Этот раздел дает возможность просмотреть список телефонных вызовов. Тут представлено четыре блока информации о каждом вызове: номер, с которым связывалось зараженное устройство; название контакта, к которому привязан этот номер на зараженном устройстве; время длительности вызова (в секундах); тип вызова (входящий или исходящий).

Выводы

Как видите, инструмент чрезвычайно полезный и может помочь в самых разных ситуациях. При должных навыках, его использование можно очень хорошо монетизировать.

Источник

Оцените статью