церберус для андроид что это
Церберус для андроид что это
Для функционирования программы необходимы права root пользователя.
Краткое описание:
Поможет вернуть потерянный или украденный телефон.
Важная информация:
Если Вы сделали приложение скрытым, то для доступа к нему необходимо набрать в номеронабирателе 23723787 и нажать кнопку вызова.
Версия: 3.5.7 + Client Cerberus 2.1.5 ® Cerberus (Пост Oleg V #76072591)
Версия: 3.5.5 + Client Cerberus 2.1.5 ® Cerberus (Пост Oleg V #73006214)
Версия: 3.5.4 + Client Cerberus Сообщение №1958, автор Oleg V
Версия: 3.5.3 + Client Cerberus ® Cerberus (Пост Oleg V #67378762)
Версия: 3.5.2 + Client Cerberus ® Cerberus (Пост Oleg V #65921626)
Версия: 3.5.1 + Client Cerberus 2.1.4 ® Cerberus (Пост Oleg V #65166830)
Версия: 3.5 ® Cerberus (Пост Oleg V #64369252)
Client Cerberus 2.1.2 //4pda.to/forum/d…t_Cerberus_v.2.1.2.apk
Версия: 3.4.3 ® Cerberus (Пост And_RU #64041561)
Версия: 3.4.1 ® Cerberus (Пост Napster2k #57566895)
Версия: 3.4 ® Cerberus (Пост reyteam #53218153)
Версия: 3.3.4 ® Cerberus (Пост мaгнaт #49070234)
Версия: 3.3.3 ® Cerberus (Пост VLADFIONOV #48888124)
Client Cerberus
версия: 3.3.2 
com.lsdroid.cerberus_3.3.2.apk ( 6.95 МБ )
версия: 3.3.1 ® Cerberus (Пост мaгнaт #43787135)
версия: 3.2.1 ® Cerberus (Пост мaгнaт #41639034)
версия: 3.2 ® Cerberus (Пост verts77 #39100986)
версия: 3.0.3 ® Cerberus (Пост #37293420)
версия: 3.0 ® Cerberus (Пост #36438115)
версия: 2.5.1 ® Cerberus (Пост #31930828)
версия: 2.5 ® Cerberus (Пост #31341405)
версия: 2.4.1 //4pda.to/forum/dl/post/3785064/com.lsdroid.cerberus.apk
версия: 2.3 ® Cerberus (Пост #17046369)
Cerberus.apkCerberus_disguised.apk ( 666.48 КБ )
Сейчас поставил программу на телефон, все работает хорошо.
Но есть огромный косяк 🙂 Я сделал фотографию передней камерой и мне пришло уведомление о полученном новом письме от Gmail, у меня почта постоянно синхронизируется. Открыв это письмо я увидел свою рожу. Думаю угонщика это напугает до усрачки, но никак не поможет мне найти мой телефон, так как после такого, угонщик может сделать с телефоном что угодно, в плоть до полного уничтожения 🙂 Короче надо как то решить. Буду писать разработчикам, что бы сделали возможность сразу блокировать синхронизацию с почтой.
Вы можете контролировать Cerberus удаленно на сайте www.cerberusapp.com или через SMS. По SMS доступны следующие команды (не забудьте заменить *password* на настоящий пароль, а также помните, что пароль чувствителен к регистру):
cerberus password find (местоположение телефона)
cerberus password siminfo (получить информацию о SIM-карте)
cerberus password wipe (стереть память устройства)
cerberus password wipesd (стереть карту памяти)
cerberus password lock code (блокировка телефона паролем, замените *code* на желаемый код)
cerberus password unlock (разблокировка телефона)
cerberus password alarm text (отображение предупреждения с громким сигналом тревоги, укажите нужный текст вместо *text*)
cerberus password takepicture (фотоснимок и его отправка на Email, будет использована фронтальная камера (если есть))
cerberus password enabledata (предоставление доступа к данным телефона)
cerberus password message text (отображение предупреждения, укажите нужный текст вместо *text*)
cerberus password startemergency hours (чтобы устройство отправляло координаты укажите период отправки *hours* между оповещениями)
cerberus password stopemergency (после остановки аварийного режима, устройство прекратит периодическую отправку координат)
cerberus password call number (чтобы устройство позвонило по заданому номеру, замените *number* на номер телефона по которому бы хотите позвонить, или можно номер не указать и тогда будет зделан звонок по номеру от которого пришло SMS сообщение)
cerberus password screenshot (чтобы зделать снимок экрана и отослать на вашу электронную почту)
cerberus password enablewifi (включить Wi-Fi и автоматически подключаться к открытым сетям)
cerberus password capturevideo (Снять видео и отправить на вашу электронную почту)
cerberus password reboot (перезагрузить устройство (работает только на устройствах с рутом))
cerberus password speak text (to make the device speak a message, replace *text* with the message you want to be spoken)
Церберус для андроид что это
Для функционирования программы необходимы права root пользователя.
Краткое описание:
Поможет вернуть потерянный или украденный телефон.
Важная информация:
Если Вы сделали приложение скрытым, то для доступа к нему необходимо набрать в номеронабирателе 23723787 и нажать кнопку вызова.
Версия: 3.5.7 + Client Cerberus 2.1.5 ® Cerberus (Пост Oleg V #76072591)
Версия: 3.5.5 + Client Cerberus 2.1.5 ® Cerberus (Пост Oleg V #73006214)
Версия: 3.5.4 + Client Cerberus Сообщение №1958, автор Oleg V
Версия: 3.5.3 + Client Cerberus ® Cerberus (Пост Oleg V #67378762)
Версия: 3.5.2 + Client Cerberus ® Cerberus (Пост Oleg V #65921626)
Версия: 3.5.1 + Client Cerberus 2.1.4 ® Cerberus (Пост Oleg V #65166830)
Версия: 3.5 ® Cerberus (Пост Oleg V #64369252)
Client Cerberus 2.1.2 //4pda.to/forum/d…t_Cerberus_v.2.1.2.apk
Версия: 3.4.3 ® Cerberus (Пост And_RU #64041561)
Версия: 3.4.1 ® Cerberus (Пост Napster2k #57566895)
Версия: 3.4 ® Cerberus (Пост reyteam #53218153)
Версия: 3.3.4 ® Cerberus (Пост мaгнaт #49070234)
Версия: 3.3.3 ® Cerberus (Пост VLADFIONOV #48888124)
Client Cerberus
версия: 3.3.2 com.lsdroid.cerberus_3.3.2.apk ( 6.95 МБ )
версия: 3.3.1 ® Cerberus (Пост мaгнaт #43787135)
версия: 3.2.1 ® Cerberus (Пост мaгнaт #41639034)
версия: 3.2 ® Cerberus (Пост verts77 #39100986)
версия: 3.0.3 ® Cerberus (Пост #37293420)
версия: 3.0 ® Cerberus (Пост #36438115)
версия: 2.5.1 ® Cerberus (Пост #31930828)
версия: 2.5 ® Cerberus (Пост #31341405)
версия: 2.4.1 //4pda.to/forum/dl/post/3785064/com.lsdroid.cerberus.apk
версия: 2.3 ® Cerberus (Пост #17046369)
Cerberus.apkCerberus_disguised.apk ( 666.48 КБ )
Сейчас поставил программу на телефон, все работает хорошо.
Но есть огромный косяк 🙂 Я сделал фотографию передней камерой и мне пришло уведомление о полученном новом письме от Gmail, у меня почта постоянно синхронизируется. Открыв это письмо я увидел свою рожу. Думаю угонщика это напугает до усрачки, но никак не поможет мне найти мой телефон, так как после такого, угонщик может сделать с телефоном что угодно, в плоть до полного уничтожения 🙂 Короче надо как то решить. Буду писать разработчикам, что бы сделали возможность сразу блокировать синхронизацию с почтой.
Вы можете контролировать Cerberus удаленно на сайте www.cerberusapp.com или через SMS. По SMS доступны следующие команды (не забудьте заменить *password* на настоящий пароль, а также помните, что пароль чувствителен к регистру):
cerberus password find (местоположение телефона)
cerberus password siminfo (получить информацию о SIM-карте)
cerberus password wipe (стереть память устройства)
cerberus password wipesd (стереть карту памяти)
cerberus password lock code (блокировка телефона паролем, замените *code* на желаемый код)
cerberus password unlock (разблокировка телефона)
cerberus password alarm text (отображение предупреждения с громким сигналом тревоги, укажите нужный текст вместо *text*)
cerberus password takepicture (фотоснимок и его отправка на Email, будет использована фронтальная камера (если есть))
cerberus password enabledata (предоставление доступа к данным телефона)
cerberus password message text (отображение предупреждения, укажите нужный текст вместо *text*)
cerberus password startemergency hours (чтобы устройство отправляло координаты укажите период отправки *hours* между оповещениями)
cerberus password stopemergency (после остановки аварийного режима, устройство прекратит периодическую отправку координат)
cerberus password call number (чтобы устройство позвонило по заданому номеру, замените *number* на номер телефона по которому бы хотите позвонить, или можно номер не указать и тогда будет зделан звонок по номеру от которого пришло SMS сообщение)
cerberus password screenshot (чтобы зделать снимок экрана и отослать на вашу электронную почту)
cerberus password enablewifi (включить Wi-Fi и автоматически подключаться к открытым сетям)
cerberus password capturevideo (Снять видео и отправить на вашу электронную почту)
cerberus password reboot (перезагрузить устройство (работает только на устройствах с рутом))
cerberus password speak text (to make the device speak a message, replace *text* with the message you want to be spoken)
Церберус для андроид что это
Для функционирования программы необходимы права root пользователя.
Краткое описание:
Поможет вернуть потерянный или украденный телефон.
Важная информация:
Если Вы сделали приложение скрытым, то для доступа к нему необходимо набрать в номеронабирателе 23723787 и нажать кнопку вызова.
Версия: 3.5.7 + Client Cerberus 2.1.5 ® Cerberus (Пост Oleg V #76072591)
Версия: 3.5.5 + Client Cerberus 2.1.5 ® Cerberus (Пост Oleg V #73006214)
Версия: 3.5.4 + Client Cerberus Сообщение №1958, автор Oleg V
Версия: 3.5.3 + Client Cerberus ® Cerberus (Пост Oleg V #67378762)
Версия: 3.5.2 + Client Cerberus ® Cerberus (Пост Oleg V #65921626)
Версия: 3.5.1 + Client Cerberus 2.1.4 ® Cerberus (Пост Oleg V #65166830)
Версия: 3.5 ® Cerberus (Пост Oleg V #64369252)
Client Cerberus 2.1.2 //4pda.to/forum/d…t_Cerberus_v.2.1.2.apk
Версия: 3.4.3 ® Cerberus (Пост And_RU #64041561)
Версия: 3.4.1 ® Cerberus (Пост Napster2k #57566895)
Версия: 3.4 ® Cerberus (Пост reyteam #53218153)
Версия: 3.3.4 ® Cerberus (Пост мaгнaт #49070234)
Версия: 3.3.3 ® Cerberus (Пост VLADFIONOV #48888124)
Client Cerberus
версия: 3.3.2 com.lsdroid.cerberus_3.3.2.apk ( 6.95 МБ )
версия: 3.3.1 ® Cerberus (Пост мaгнaт #43787135)
версия: 3.2.1 ® Cerberus (Пост мaгнaт #41639034)
версия: 3.2 ® Cerberus (Пост verts77 #39100986)
версия: 3.0.3 ® Cerberus (Пост #37293420)
версия: 3.0 ® Cerberus (Пост #36438115)
версия: 2.5.1 ® Cerberus (Пост #31930828)
версия: 2.5 ® Cerberus (Пост #31341405)
версия: 2.4.1 //4pda.to/forum/dl/post/3785064/com.lsdroid.cerberus.apk
версия: 2.3 ® Cerberus (Пост #17046369)
Cerberus.apkCerberus_disguised.apk ( 666.48 КБ )
Сейчас поставил программу на телефон, все работает хорошо.
Но есть огромный косяк 🙂 Я сделал фотографию передней камерой и мне пришло уведомление о полученном новом письме от Gmail, у меня почта постоянно синхронизируется. Открыв это письмо я увидел свою рожу. Думаю угонщика это напугает до усрачки, но никак не поможет мне найти мой телефон, так как после такого, угонщик может сделать с телефоном что угодно, в плоть до полного уничтожения 🙂 Короче надо как то решить. Буду писать разработчикам, что бы сделали возможность сразу блокировать синхронизацию с почтой.
Вы можете контролировать Cerberus удаленно на сайте www.cerberusapp.com или через SMS. По SMS доступны следующие команды (не забудьте заменить *password* на настоящий пароль, а также помните, что пароль чувствителен к регистру):
cerberus password find (местоположение телефона)
cerberus password siminfo (получить информацию о SIM-карте)
cerberus password wipe (стереть память устройства)
cerberus password wipesd (стереть карту памяти)
cerberus password lock code (блокировка телефона паролем, замените *code* на желаемый код)
cerberus password unlock (разблокировка телефона)
cerberus password alarm text (отображение предупреждения с громким сигналом тревоги, укажите нужный текст вместо *text*)
cerberus password takepicture (фотоснимок и его отправка на Email, будет использована фронтальная камера (если есть))
cerberus password enabledata (предоставление доступа к данным телефона)
cerberus password message text (отображение предупреждения, укажите нужный текст вместо *text*)
cerberus password startemergency hours (чтобы устройство отправляло координаты укажите период отправки *hours* между оповещениями)
cerberus password stopemergency (после остановки аварийного режима, устройство прекратит периодическую отправку координат)
cerberus password call number (чтобы устройство позвонило по заданому номеру, замените *number* на номер телефона по которому бы хотите позвонить, или можно номер не указать и тогда будет зделан звонок по номеру от которого пришло SMS сообщение)
cerberus password screenshot (чтобы зделать снимок экрана и отослать на вашу электронную почту)
cerberus password enablewifi (включить Wi-Fi и автоматически подключаться к открытым сетям)
cerberus password capturevideo (Снять видео и отправить на вашу электронную почту)
cerberus password reboot (перезагрузить устройство (работает только на устройствах с рутом))
cerberus password speak text (to make the device speak a message, replace *text* with the message you want to be spoken)
Церберус для андроид что это
Для функционирования программы необходимы права root пользователя.
Краткое описание:
Поможет вернуть потерянный или украденный телефон.
Важная информация:
Если Вы сделали приложение скрытым, то для доступа к нему необходимо набрать в номеронабирателе 23723787 и нажать кнопку вызова.
Версия: 3.5.7 + Client Cerberus 2.1.5 ® Cerberus (Пост Oleg V #76072591)
Версия: 3.5.5 + Client Cerberus 2.1.5 ® Cerberus (Пост Oleg V #73006214)
Версия: 3.5.4 + Client Cerberus Сообщение №1958, автор Oleg V
Версия: 3.5.3 + Client Cerberus ® Cerberus (Пост Oleg V #67378762)
Версия: 3.5.2 + Client Cerberus ® Cerberus (Пост Oleg V #65921626)
Версия: 3.5.1 + Client Cerberus 2.1.4 ® Cerberus (Пост Oleg V #65166830)
Версия: 3.5 ® Cerberus (Пост Oleg V #64369252)
Client Cerberus 2.1.2 //4pda.to/forum/d…t_Cerberus_v.2.1.2.apk
Версия: 3.4.3 ® Cerberus (Пост And_RU #64041561)
Версия: 3.4.1 ® Cerberus (Пост Napster2k #57566895)
Версия: 3.4 ® Cerberus (Пост reyteam #53218153)
Версия: 3.3.4 ® Cerberus (Пост мaгнaт #49070234)
Версия: 3.3.3 ® Cerberus (Пост VLADFIONOV #48888124)
Client Cerberus
версия: 3.3.2 com.lsdroid.cerberus_3.3.2.apk ( 6.95 МБ )
версия: 3.3.1 ® Cerberus (Пост мaгнaт #43787135)
версия: 3.2.1 ® Cerberus (Пост мaгнaт #41639034)
версия: 3.2 ® Cerberus (Пост verts77 #39100986)
версия: 3.0.3 ® Cerberus (Пост #37293420)
версия: 3.0 ® Cerberus (Пост #36438115)
версия: 2.5.1 ® Cerberus (Пост #31930828)
версия: 2.5 ® Cerberus (Пост #31341405)
версия: 2.4.1 //4pda.to/forum/dl/post/3785064/com.lsdroid.cerberus.apk
версия: 2.3 ® Cerberus (Пост #17046369)
Cerberus.apkCerberus_disguised.apk ( 666.48 КБ )
Сейчас поставил программу на телефон, все работает хорошо.
Но есть огромный косяк 🙂 Я сделал фотографию передней камерой и мне пришло уведомление о полученном новом письме от Gmail, у меня почта постоянно синхронизируется. Открыв это письмо я увидел свою рожу. Думаю угонщика это напугает до усрачки, но никак не поможет мне найти мой телефон, так как после такого, угонщик может сделать с телефоном что угодно, в плоть до полного уничтожения 🙂 Короче надо как то решить. Буду писать разработчикам, что бы сделали возможность сразу блокировать синхронизацию с почтой.
Вы можете контролировать Cerberus удаленно на сайте www.cerberusapp.com или через SMS. По SMS доступны следующие команды (не забудьте заменить *password* на настоящий пароль, а также помните, что пароль чувствителен к регистру):
cerberus password find (местоположение телефона)
cerberus password siminfo (получить информацию о SIM-карте)
cerberus password wipe (стереть память устройства)
cerberus password wipesd (стереть карту памяти)
cerberus password lock code (блокировка телефона паролем, замените *code* на желаемый код)
cerberus password unlock (разблокировка телефона)
cerberus password alarm text (отображение предупреждения с громким сигналом тревоги, укажите нужный текст вместо *text*)
cerberus password takepicture (фотоснимок и его отправка на Email, будет использована фронтальная камера (если есть))
cerberus password enabledata (предоставление доступа к данным телефона)
cerberus password message text (отображение предупреждения, укажите нужный текст вместо *text*)
cerberus password startemergency hours (чтобы устройство отправляло координаты укажите период отправки *hours* между оповещениями)
cerberus password stopemergency (после остановки аварийного режима, устройство прекратит периодическую отправку координат)
cerberus password call number (чтобы устройство позвонило по заданому номеру, замените *number* на номер телефона по которому бы хотите позвонить, или можно номер не указать и тогда будет зделан звонок по номеру от которого пришло SMS сообщение)
cerberus password screenshot (чтобы зделать снимок экрана и отослать на вашу электронную почту)
cerberus password enablewifi (включить Wi-Fi и автоматически подключаться к открытым сетям)
cerberus password capturevideo (Снять видео и отправить на вашу электронную почту)
cerberus password reboot (перезагрузить устройство (работает только на устройствах с рутом))
cerberus password speak text (to make the device speak a message, replace *text* with the message you want to be spoken)
Иследование современного Malware Cerberus под Android
На носу 2020 год и сегодня мы имеем уже версию Android 9.0 Pie, где компания Google бьет себе в грудь и говорит что их продукт защищен. Но злодеи не дремлют и создают свои вредоносы для Android.
Случайным образом мне попался на руки обфусцированный apk файл, который является банковской малварью под названием «Cerberus», и появился он в 2019 году.
APK файл данного ботнета попал мне с недействительным адресом соединения с сервером, по этому часть логики работы и функционала осталась неизученной, так как данный ботнет использует «модульную» систему, и подгружает функционал напрямую со своего сервера.
Анализ apk пакета
После анализа apk-пакета, я составил структуру троянской программы:
Начнём с манифеста
Манифест у приложения достаточно интересный, и уже по нему можно определить что это не простое приложение, а обыкновенная малварь.
Например рассмотрим разрешения для приложения:
Тут можно заметить, что приложение получает доступ к СМС, контактам, звонкам, интернету, работа приложения в спящем режиме.
Идём дальше, и видим привилегии, которые позволяют приложению становиться основным для получения\отправки смс, это злодеи используют для скрытия СМС сообщений на телефонах жертв.
Ну и конечно Ресивер, он служит для автозапуска сервисов, и перехвата СМС.
Права администратора, это уже намного интереснее. Приложению они нужны для блокировки удаления приложения (при включенных правах администратора, кнопки «удалить» у приложения просто не будет), так же эти права позволят удалить всё с устройства, блокировать девайс.
Ну и самое интересное, это Accessibility Service. Он используется для того, чтобы малварь могла сама кликать по экрану, и давать себе нужные разрешения, в том числе и админ права. Через это разрешение злоумышленники отслеживают все действия пользователя на устройстве.
Ну и остальные сервисы и активити, которые не представляют особого интереса без валидного адреса сервера малвари.
В общем малварь не использует ничего сверхъестественного, в ней нету ни использования каких либо 0-day на андроид. Злоумышленникам нужно добиться от жертвы включения одного разрешения, и не более, дальше малварь всё сделает сама.
Google надо бы ограничить некоторые возможности API для приложений не из плей маркета.
Receiver
Код данного класса обфусцирован, но это не мешает его изучить.
А теперь немного пояснений по коду.
Настройки малвари хранятся XML файле, файл находится в директории /data/data/имя_пакета/shared_prefs/Settings.xml
Так думаю код стал более понятен многим читателям.
У Receiver есть 3 триггера на срабатывание, а это при перезагрузке устройства, получении СМС или при запуске Alarmon.
Так же Receiver запускает 3 сервиса:
Так же Receiver запускает запрос отключения Doze Mode и запрос подтверждения прав администратора.
Так как малварь имеет привилегии администратора, его нельзя удалить с девайса пока не будут сняты права.
Права администратора
Давайте рассмотрим какие возможности мы имеем благодаря Admin Device.
элемент force-lock отвечает за права блокировки экрана девайса, а wipe-data за удаление раздела DATA, CACHE, и всей памяти на устройстве (его полный сброс).
Service_fa
На этом мы закончим рассматривать Receiver, и рассмотрим другие сервисы. Сервис который снимает данные с сенсорных датчиков используя класс SensorManager, этот сервис просто получает данные активности и сохраняет их в файл XML.
Благодаря этому злодеям получатся получить историю активности и произвести её анализ для отсеивания эмуляторов и особо ленивых пользователей.
Service_server
Этот поток создан для общения с сервером, данные передаются на сервер в зашифрованном виде используя алгоритм шифрования RC4 кодируя после него все в base64.
При запуске сервиса первый запрос на сервер выглядит так:
Данные отправляемые на сервер я заполнил случайным образом, по названию параметров думаю всё понятно, какой за что отвечает, по этому на их разборе останавливаться не будем.
Теперь смотрим какие могут быть ответы сервера, малварь проверяет возвращает ли пустой ответ, если да, то начинает перебирать массив доменов серверов в цикле, и отправлять этот запрос на каждый домен, и если в ответе будет строка == «
«, то малварь останавливается на этом домене и начинает работать с ним.
Мы определились с каким доменом работаем, теперь смотрим остальные ответы.
Если возвращается Response == «||youNeedMoreResources||» то сразу идет запрос на сервер для получения дополнительного модуля малвари:
gate_url?action=getModule&data=
Идем дальше, Response == «||no||»
отравляет на сервер запрос gate_url?action=registration&data=JSON:
Этот запрос служит для регистрации нового пользователя в админ панели, на этом запросы к серверу закончились.
Но ниже есть условие которое проверяет наличие файла «system.apk».
если файл присутствует, формируется JSON в виде:
В параметр response передается ответ с сервера, далее json передается в метод который находится модуле «system.apk» и с помощью класса DexClassLoader он выполняется.
Service_event_loop
Данный сервис работает в цикле и ждет команды на блокировку девайса. Девайс блокируется в цикле при помощи прав администратора.
Данный сервис умеет отключать права администратора, видимо автор малвари это решил сделать для «самоуничтожения» малвари, чтобы не оставлять следов на телефоне жертв.
Так же цикл имеет 2 скорости работы, 1 секунда и 8 секунд, если Accessibility Service отлючен, то работает на 1-й секунде и просит включить данный сервис, просто открывая Activity и заставляет включить специальные возможности, на практике подробно это рассмотрим.
В конце цикла также есть реализация как и в Service_server, а конкретне отправка команд в метод, который находится внутри подгруженного модуля «system.apk», но параметры не много другие, смотрим JSON:
tick — секунды которые считает цикл сервиса, accessibility — проверяет включен ли Accesibility Service.
Класс String(s)
Все строки внутри класс зашифрована алгоритмом RC4, после чего закодированы в base64.
зашифрованный строка: yyshybiwijujYzdkZDdkMjRlYjJmYjU5Y2Qw
где первые 12 символов страки это ключь расшифрования алгоритма RC4
Ключи: yyshybiwijuj
Зашифрованный текст: YzdkZDdkMjRlYjJmYjU5Y2Qw
Вот часть кода класса String(s)
Я написал скрипт, для преобразования данных строк в нормальный вид, это помогло мне скоротать немного времени.
Так же видим что в этом классе хранится:
URL сервера указан твиттер ресечера Lukas Stefanko(@LukasStefanko), видимо автор хотел пошутить или что-то сказать Лукасу (Это аналитик из NOD32), так же тут хранится имя Accessibility Service + то же название хранится в манифесте android:label=«Flash Player Service», и список стран, по которым не работает малварь.
Остальное
Кратко опишу работу инжектов. Она реализована просто, если включен Accessibility Service, то данный сервис просто ловит событие о запуске банковского приложения и запускает поверх активити банка свое активити, где оно имеет объект WebView который прогружает html-фейк банка, после чего получает данные с помощью JavaScript и отправляет данные на сервер малвари.
Так же в этом сервисе реализован Keylogger, блокировки удаления малвари и автоклик по подтверждениями. Было обнаружено взаимодействие отключения безопасности в приложение «com.miui.securitycenter». Это приложение называется «Безопасность» которые используется на девайсах Xiaomi, его основные задачи следить за безопасностью ваших конфиденциальных данных. Так же был обнаружен код для автоматического отключения «Google Play Protect» методом автоклика.
Перейдем к практике
Мне удалось найти твиттер злодеев и добыть скриншот админ панели
Устанавливаю apk-пакет на эмулятор с API 27.
На рабочем столе появилась иконка флеш плеера с названием «Flash Player»
Ждем по иконке, и у нас запускается малварь.
После запуска малвари, автоматический запускается Активити с требованием включения Accessibility Service, если свернуть ее, она появится снова и это происходит в цикле до тех пор пока я не включил сервис.
После включения галочки Accessibility Service, выполнился автоматический переход с настроек на рабочий стол, и больше у меня не получилось попасть в настройки Accessibility Service, также исчезла иконка с рабочего стола, через несколько секунд появился запрос отключения Doze Mode, он автоматически отключился благодаря автоклику специальных возможностей.
Cледом таким же образом было авто подтверждения прав администратора. Удалить малварь в ручном режиме не удалось так как при открытие настроек данного приложение был автоматический выход назад (GLOBAL_ACTION_BACK).
Собственно это все по первой части, в скором времени напишу вторую часть с дополнительным а возможно с основным модулем данного бота, так как найти apk файл малвари с валидной ссылкой на сервер мне не удалось.
Реверс малвари был реализован совместно с keklick1337