Rat для андроид 2021

Новый Android RAT использует протокол Telegram

Вирусная лаборатория ESET обнаружила новый Android RAT (Remote Administration Tool), использующий протокол Telegram для управления и эксфильтрации данных. Изначально мы обратили внимание на повышение активности уже известных IRRAT и TeleRAT, но затем, разобравшись в происходящем, нашли совершенно новое семейство. Новый RAT активен минимум с августа 2017 года. В марте 2018 года исходный код малвари распространялся через Telegram-каналы хакеров, в результате чего сотни модификаций сегодня действуют in the wild.

Одна из версий отличается от остальных. Несмотря на доступность исходного кода, она продается под коммерческим названием HeroRat через специальный Telegram-канал. Авторы предлагают HeroRat в пользование по модели Malware-as-a-Service. Малварь доступна в трех комплектациях с разными функциями и видеоканалом поддержки. Неясно, был ли этот вариант написан на базе слитого кода или, наоборот, является оригиналом, исходный код которого затем появился в сети.

Как это работает

Злоумышленники распространяют RAT через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Мы видели, как вредоносную программу маскируют под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. В Google Play данной малвари не обнаружено. Большинство заражений зафиксировано в Иране.

Рисунок 1. Несколько приложений, используемых для распространения RAT

Вредоносная программа совместима со всеми версиями Android. От пользователя требуется принять запрос разрешений (иногда включая активацию приложения в качестве администратора устройства), для чего используется социальная инженерия.

Рисунок 2. RAT запрашивает права администратора устройства

После установки и запуска вредоносного приложения на экране появляется небольшое всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. Мы видели образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек устройства).

Когда удаление завершено, иконка приложения исчезнет. Одновременно с этим на стороне атакующих будет зарегистрировано новое зараженное устройство.

Рисунок 3. Демонстрация установки HeroRat на устройство (скриншоты из обучающего видео авторов малвари)

Рисунок 4. Исходный код малвари с поддельным сообщением об удалении на английском и персидском

Получив доступ к скомпрометированному устройству, атакующий использует возможности бота Telegram для управления новым девайсом. Каждое зараженное устройство управляется с помощью бота, настраивается и контролируется через приложение Telegram.

Вредоносная программа обладает широким спектром инструментов шпионажа и эксфильтрации файлов, включая перехват текстовых сообщений и контактов, отправку текстовых сообщений и вызовы, запись звука и создание скриншотов, определение местоположения устройства и управление его настройками.

HeroRat продают в трех комплектациях (бронзовый, серебряный и золотой пакеты) за 25, 50 и 100 долларов соответственно. Исходный код от автора HeroRat предлагается купить за 650 долларов.

Доступ к функциям HeroRat осуществляется с помощью интерактивных кнопок в интерфейсе Telegram-бота. Атакующие могут управлять зараженными устройствами, нажимая кнопки, доступные в той версии RAT, которую они оплатили и используют.

Рисунок 5. Панель управления HeroRat

Рисунок 6. Функции HeroRat (слева направо): бронзовый, серебряный и золотой пакеты (скриншоты из обучающего видео авторов малвари)

В отличие от ранее изученных Android RAT, использующих Telegram, которые написаны на стандартном Android Java, новое семейство разработано с нуля на C# с использованием фреймворка Xamarin – редкое сочетание для Android-малвари.

Способ коммуникации через протокол Telegram адаптирован к языку программирования – вместо Telegram Bot API, который использовали ранее изученные RAT, новое семейство применяет Telesharp, библиотеку для создания ботов Telegram на C#.

Передача команд и эксфильтрация данных с зараженных устройств полностью покрываются протоколом Telegram – эта мера направлена на противодействие обнаружению на основе трафика на известные серверы загрузки.

Источник

Как создать RAT для Android

Термином RAT (Remote Access Tool) принято называть утилиты удаленного администрирования. Они могут использоваться в благих целях по своему прямому назначению, как, например, популярный TeamViewer, а могут устанавливаться хакерами в тайне от пользователя.

В подобных случаях RAT нередко расшифровывают как Remote Access Trojan, и прямой перевод английского слова rat — «крыса» — тут приходится как нельзя кстати.

Как создать RAT для Android

AhMyth RAT (Remote Access Trojan) — это приложение с открытым исходным кодом, в данный момент находится на стадии бета-версии. Инструмент ориентирован на пользователей ОС Windows, но на GitHub можно скачать исходники AhMyth и для Unix-подобных платформ.

Программа для создания RAT для Android AhMyth состоит из двух компонентов.

1. Серверное приложение, с помощью которого можно управлять зараженным устройством и создавать файлы APK с вредоносным кодом. Создано оно на Electron framework — фреймворке, разработанном на площадке GitHub для создания простых графических приложений.
2. Клиентский APK, содержащий вредоносный код, который позволяет получить удаленный доступ к зараженному Андроид-устройству. То есть созданный APK-файл будет выполнять функции бэкдора.

Установка AhMyth RAT

Серверная часть устанавливается очень просто, тем более автор RAT-конструктора выложил в свободный доступ бинарники. Но при желании можно скомпилировать ее из исходников. В моем случае тесты проходили на компьютере с Windows 10.

Для работы утилиты необходима уставленная на компьютер виртуальная машина Java. Скачать ее можно с официального сайта Java. После этого надо скачать бинарники самой AhMyth. Их вы можете найти в официальном репозитории проекта на GitHub, вкладка Assets. Во время скачивании рекомендую вырубить антивирус, чтобы его не хватил приступ от происходящего.

Создание зараженного APK

Чтобы создать файл APK для Android, откройте вкладку APK Builder. Внешний вид конструктора для создания RAT для Android показан ниже:

Вкладка с конструктором APK

Пользоваться конструктором AhMyth RAT очень легко. В окне Source IP надо ввести IP-адрес атакующей машины (этот адрес потом легко вычисляется \ при криминалистическом анализе вредоноса). В поле Source Port можно указать порт, который будет зарезервирован машиной для прослушивания подключений. По умолчанию используется порт 42 474.

Есть также опция Bind With Another Apk, которая позволяет склеить APK-файл с другим приложением.

Для этого надо отметить флажок Bind With Another Apk, выбрать необходимый APK и указать метод интеграции вредоноса в телефон. Есть два метода: при запуске зараженного APK или при перезагрузке телефона после установки RAT. Авторы программы рекомендуют второй вариант.

Осталось нажать кнопку Build — по умолчанию зараженный файл сохраняется в папку:

Источник

Rat для андроид 2021

SpyMax v4 agrietado

SpyMax v4 RAT agrietado: es la última versión de SpyMax v4 RAT. Es una versión avanzada de Android RAT con muchas funciones potentes. MobiHok v6 viene con muchas características nuevas que nadie ha visto antes. He proporcionado el enlace de descarga de la versión agrietada de SpyMax v4 a continuación. También puede buscar en wiki para obtener más información sobre los troyanos.

Compatible con todas las versiones de Android Genera carga útil FUD Transmisión de grabación de la pantalla en vivo de la víctima Vincula la carga útil con otra apk Carga útil de persistencia Páginas de phishing de redes sociales Conexión estable Fácil de usar Administrador de archivos Administrador de SMS Administrador de llamadas Administrador de contactos Administrador de ubicación Administrador de cuentas Administrador de cámara Captura de pantalla en vivo de las víctimas de Shell terminal de aplicación directa instalar cualquier otra apk sobre las víctimas de teléfono Micrófono Keylogger Ajustes Víctima de teléfono Muchos más . • NET Framework 4.5 El programa es compatible con los siguientes sistemas Microsoft Windows • Windows 10 • Windows 8 • Windows 7 • Windows XP El parche es compatible con sistemas Android • 9.0 — Bay / pie • 8.0 — Oreo / Oreo • 7.0 — Turrón / turrón • 6.0 — Marschmilo / marshmallow’s • 5.0 — Características de Crown Bob / lollipop.

• Inicie sesión y verifique la versión hash para asegurar su integridad • Desarrollar el parche para que sea compatible con la última versión • Ocultar notificaciones (adormecer) • Conectar aplicaciones, videos, fotos . • Vinculación avanzada • Cambiar el nombre del paquete • Usted lo hace no necesita Java en el proceso de construcción del parche • Monitoreo de la actividad de la víctima • Automático Althithat • Ajusta la estabilidad de la versión y otras características.

Источник

Rat для андроид 2021

SpyMax v4 agrietado

SpyMax v4 RAT agrietado: es la última versión de SpyMax v4 RAT. Es una versión avanzada de Android RAT con muchas funciones potentes. MobiHok v6 viene con muchas características nuevas que nadie ha visto antes. He proporcionado el enlace de descarga de la versión agrietada de SpyMax v4 a continuación. También puede buscar en wiki para obtener más información sobre los troyanos.

Compatible con todas las versiones de Android Genera carga útil FUD Transmisión de grabación de la pantalla en vivo de la víctima Vincula la carga útil con otra apk Carga útil de persistencia Páginas de phishing de redes sociales Conexión estable Fácil de usar Administrador de archivos Administrador de SMS Administrador de llamadas Administrador de contactos Administrador de ubicación Administrador de cuentas Administrador de cámara Captura de pantalla en vivo de las víctimas de Shell terminal de aplicación directa instalar cualquier otra apk sobre las víctimas de teléfono Micrófono Keylogger Ajustes Víctima de teléfono Muchos más . • NET Framework 4.5 El programa es compatible con los siguientes sistemas Microsoft Windows • Windows 10 • Windows 8 • Windows 7 • Windows XP El parche es compatible con sistemas Android • 9.0 — Bay / pie • 8.0 — Oreo / Oreo • 7.0 — Turrón / turrón • 6.0 — Marschmilo / marshmallow’s • 5.0 — Características de Crown Bob / lollipop.

• Inicie sesión y verifique la versión hash para asegurar su integridad • Desarrollar el parche para que sea compatible con la última versión • Ocultar notificaciones (adormecer) • Conectar aplicaciones, videos, fotos . • Vinculación avanzada • Cambiar el nombre del paquete • Usted lo hace no necesita Java en el proceso de construcción del parche • Monitoreo de la actividad de la víctima • Automático Althithat • Ajusta la estabilidad de la versión y otras características.

Источник

Как создать RAT для Android

Термином RAT (Remote Access Tool) принято называть утилиты удаленного администрирования. Они могут использоваться в благих целях по своему прямому назначению, как, например, популярный TeamViewer, а могут устанавливаться хакерами в тайне от пользователя.

В подобных случаях RAT нередко расшифровывают как Remote Access Trojan, и прямой перевод английского слова rat — «крыса» — тут приходится как нельзя кстати.

Как создать RAT для Android

AhMyth RAT (Remote Access Trojan) — это приложение с открытым исходным кодом, в данный момент находится на стадии бета-версии. Инструмент ориентирован на пользователей ОС Windows, но на GitHub можно скачать исходники AhMyth и для Unix-подобных платформ.

Программа для создания RAT для Android AhMyth состоит из двух компонентов.

1. Серверное приложение, с помощью которого можно управлять зараженным устройством и создавать файлы APK с вредоносным кодом. Создано оно на Electron framework — фреймворке, разработанном на площадке GitHub для создания простых графических приложений.
2. Клиентский APK, содержащий вредоносный код, который позволяет получить удаленный доступ к зараженному Андроид-устройству. То есть созданный APK-файл будет выполнять функции бэкдора.

Установка AhMyth RAT

Серверная часть устанавливается очень просто, тем более автор RAT-конструктора выложил в свободный доступ бинарники. Но при желании можно скомпилировать ее из исходников. В моем случае тесты проходили на компьютере с Windows 10.

Для работы утилиты необходима уставленная на компьютер виртуальная машина Java. Скачать ее можно с официального сайта Java. После этого надо скачать бинарники самой AhMyth. Их вы можете найти в официальном репозитории проекта на GitHub, вкладка Assets. Во время скачивании рекомендую вырубить антивирус, чтобы его не хватил приступ от происходящего.

Создание зараженного APK

Чтобы создать файл APK для Android, откройте вкладку APK Builder. Внешний вид конструктора для создания RAT для Android показан ниже:

Вкладка с конструктором APK

Пользоваться конструктором AhMyth RAT очень легко. В окне Source IP надо ввести IP-адрес атакующей машины (этот адрес потом легко вычисляется \ при криминалистическом анализе вредоноса). В поле Source Port можно указать порт, который будет зарезервирован машиной для прослушивания подключений. По умолчанию используется порт 42 474.

Есть также опция Bind With Another Apk, которая позволяет склеить APK-файл с другим приложением.

Для этого надо отметить флажок Bind With Another Apk, выбрать необходимый APK и указать метод интеграции вредоноса в телефон. Есть два метода: при запуске зараженного APK или при перезагрузке телефона после установки RAT. Авторы программы рекомендуют второй вариант.

Осталось нажать кнопку Build — по умолчанию зараженный файл сохраняется в папку:

Источник