Банковский android-троян cerberus выставлен на аукцион

MonteRico

Постоянный участник
PR-group
PREMIUM USER
ДРУЗЬЯ ФОРУМА
Private fold group

MonteRico

Постоянный участник
PR-group
PREMIUM USER
ДРУЗЬЯ ФОРУМА
Private fold group
Регистрация
12 Май 2020
Сообщения
108
Реакции
32
Репутация
62
Cerberus представляет собой первое в мире вредоносное ПО с функцией похищения кодов двухфакторной аутентификации.

Разработчики банковского Android-трояна Cerberus намерены продать весь свой проект целиком. Торги будут проходить в виде аукциона, и стартовая цена составляет $50 тыс. За $100 тыс. разработчики готовы расстаться со своим детищем, не торгуясь. За свои деньги покупатель получит исходный код трояна, APK, модули, панель администрирования, серверы, списки действующих и потенциальных клиентов, руководство по установке и скрипты, необходимые для слаженной работы всех компонентов.

В течение как минимум одно года разработчики Cerberus активно рекламировали свои услуги и сдавали вредонос в аренду за $12 тыс. в год. Клиентам также была доступна аренда на более короткий срок ($4 тыс. за 3 месяца и $7 тыс. за 6 месяцев). Согласно публикации продавцов на одном из русскоязычных киберпреступных форумов, в настоящее время бизнес приносит доход в размере $10 тыс. ежемесячно. По их словам, команда Cerberus распалась, а у оставшихся разработчиков не хватает времени на круглосуточную ежедневную поддержку трояна.

Стоит отметить, что Cerberus представляет собой первое в мире вредоносное ПО с функцией похищения одноразовых кодов двухфакторной аутентификации. Вредонос сочетает в себе функции как банковского трояна, так и трояна для удаленного доступа (RAT). Его код написан с нуля и не является «клоном» каких-либо троянов, чьи исходники утекли в Сеть.

Cerberus способен определять, запущен он на реальном устройстве или в песочнице. Вредонос обладает большими возможностями. К примеру, он может подделывать уведомления от работающих на зараженном устройстве банковских сервисов, чтобы заставить жертву ввести учетные данные, а также похищать коды двухфакторной аутентификации.


1597748535087.png

 

Легионер

Активный участник

Легионер

Активный участник
Регистрация
17 Фев 2020
Сообщения
63
Реакции
8
Репутация
0
Сerberus Source Code (исходники приват АНДРОИД БОТ)

Возможности бота:
Отправка СМС
2FA grabber
Перехват СМС
Cкрытый перехват СМС
Блокировка девайса
Отключение звука
Кейлоггер(месседжеры, ватц апп, телеграмм-сикрет, банки и т.д., кроме браузеров!)
Выполнение USSD команд
Переадресация вызова
Открытие фейк-страницы банка
Запуск любого установленного приложения
Пуш уведомление банка(Автоматический пуш - определяет какой установленный банк)
Открыть url в браузере
Получить все установленные приложения
Получить все контакты их телефонной книги
Получить все сохраненные СМС
Удаление любого приложения
Самоуничтожение бота
Автоматическое подтверждения прав и разрешений
Бот может иметь несколько запасных url для соединения с сервером
Инжекты(html+js+css, качаются на девайс и запускаются с диска, плохое соединение или отсутсвие интернета не повлияет на работу инжектов)
Граббер карт
Граббер почт
Автоматическое включения инжектов через время указанное в админ панели
Автоматическое отключения Google Play Protect + отключения через время указанное в админ панели
Антиэмулятор(Бот начинает работать после проявления активности девайса)
Свойства бота:
Модульность
Размер приложения бота от 125 до 180 КБ(Крипт около 1 МБ)
Работает на версиях Android 5 и выше
Скрытый перехват SMS работает от 5 версии и выше
Инжекты работают на всех актуальных версиях Android 5 - 10+
Данные между сервером и ботом шифруются по алгоритму RC4 + base64 с рандомным ключом
Блокировка удаления бота
Блокировка отключения админ прав
Блокировка отключения Accessibility Service
Может иметь несколько запасных доменов для отстука
Мультиязычность
Бот передает данные на сервер где они же отображаются в панели администрирования:
Уникальный идентификатор бота
Версия Android
Маркировка билда
Страна + язык который установлен в настройках девайсе
Последний отстук
Состояние экрана(on/off)
Состояние Google Play Protect
Состояние Accessibility Service
Состояние Прав Администратора
Состояние получения основного модуля
Состояние скрытого перехвата СМС
Наличие логов банка, карт и почт!
Лист установленных банков
IP девайса
Дата заражений девайса
Модель девайса
Оператор
Состояние заряда батареи
Сотовый номер холдера
Активность телефона(Определяем наличии эмулятора)
Время работы бота!
Особенности панели администрирования:
Живая панель администрирования
Общие и индивидуальные задания
Фильтрация таблицы ботов
Добавление своих инжектов с помощью удобного интерфейса
Загрузка инжектов в HTML формате
Статистика: Online, Offline, Logs
Хранение в базе данных списков приложений и телефонных контактов
Раздельные логи банков, карт и почт
Панель находится в сети TOR на наших серверах
Билдер

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.



Гугл обнову выпустил, плей протект не отлючается. Но допилить можно эти сорцы, заработают.


Обход Гугл протект


Здравствуйте, дорогие друзья, сегодня разберем тему, как все таки "КРИПТОВАТЬ" APK файлы.
От антивируса, это не спасет, но защиту гугл обойти сможете.
Для начала разберемся с определением
Крипт - шифрование файла, которое прячет приложение от защиты.

Как это работает:
Возьмем пример 2+2=4. Антивирусы видят определенный алгоритм, и если его немного изменить, то антивирус уже не найдет угрозы 2-2+4=4, не меняется но код становиться более запутанным.

Данное действие в андроид приложениях называется обфускация.
И так, как же это все таки реализовать:
Самое простое - скачать уже открытые крипторы для APK.

Но запускать их только на виртуальной машине, так как злоумышленники часто встраивают свои зловреды в этот файл!
Как пользоваться программой:


В 1 строку вставляем ваш APK файл
Во 2 строке место куда будет положен файл и название
Нажимаете CRYPT NOW и файл будет обфусцирован
Ссылка

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.


Вторым вариантом будет использование приложенияapktool или ис
 

Легионер

Активный участник

Легионер

Активный участник
Регистрация
17 Фев 2020
Сообщения
63
Реакции
8
Репутация
0
Хотя отключение ГП, это лишнее палево. Не нужна эта функция в ботах т.к. отключает протект частично и он все равно работает и удалит малваря при первом же палеве. Проще крипт хороший ставить и вообще не трогать ГП.

Кодер после того как слил сорцы:
У нас бот умер из за одной проблемы, плей протект стал сканировать ресурсы у АПК файла.
Изначально церберус разрабатывался как модульный бот, с подгрузкой вредоностного кода в ресурсы, и на тот момент плей протект не умел сканировать ресурсы приложения.
На текущий момент на нашем модуле стоят сигнатуры, и боты "умирают" при его загрузке. Решение - убрать модуль из кода, и криптовать весь АПК, но тогда размер АПК будет очень большой.
Решение номер два: криптовать модуль.

Почему мы не стали это делать?
У нас был один модуль для всех клиентов, и так как команда рапалась, не получилось найти новых программистов, которые бы сделали индивидуально под каждого клиента свой модуль.
В итоге у нас клиенты не могли криптовать модуль под себя. Мы криптовали модуль 5 раз, и каждый крипт палился на следующий день по сигнатурам, и в итоге руки опустились, так как это не решение проблемы.
 

Легионер

Активный участник

Легионер

Активный участник
Регистрация
17 Фев 2020
Сообщения
63
Реакции
8
Репутация
0
Google Play Protect если даже в Маркете отключаешь, он раз в сутки все равно "тихо" сканирует и отправляет результаты в Google. То, что его боты некоторые отключают Google Play Protect , это лишнее палево и все. Проще делать хороший крипт и постоянно менять крипт, желательно, чтобы один крипт шел на 3-5 ботов максимум и вообще не трогать Google Play Protect. Тогда и боты будут жить дольше
 
Сверху