• [ Регистрация ]Открытая и бесплатная
  • Tg admin@ALPHV_Admin (обязательно подтверждение в ЛС форума)

Статья How to RAT

stihl

stihl

Moderator
Регистрация
09.02.2012
Сообщения
1,167
Розыгрыши
0
Реакции
510
Deposit
0.228 BTC
stihl не предоставил(а) никакой дополнительной информации.

Введение​

G700 RAT — это усовершенствованная форма CraxS RAT, разработанная с расширенными функциями для эксплуатации устройств Android, особенно в криптовалютной и финансовой средах. Разработанная на C# и Java, эта вредоносная программа нацелена на уязвимости безопасности мобильных приложений, чтобы получить несанкционированный доступ и выполнить вредоносные действия, оставаясь незамеченной. Она использует повышение привилегий, захват экрана и фишинг для перехвата конфиденциальной информации, обхода аутентификации безопасности и развертывания программ-вымогателей. В настоящее время она распространяется через подпольные сети и представляет растущую угрозу безопасности устройств, требуя осведомленности и комплексных стратегий защиты.

Особенности​

  • Структура усовершенствованного вредоносного ПО: G700 RAT — это вариант Craxs RAT, разработанный на языке C# для настольных компьютеров и Java для Android APK, что позволяет ему обходить меры безопасности криптовалютных приложений.
40434e6b-8bfe-49c0-a460-e62d901e0bc8.png

  • Повышение привилегий и эксплойты: вредоносное ПО обходит средства защиты, такие как пароли и аутентификация по отпечаткам пальцев, представляя риск для таких приложений, как Trust Wallet, эксплуатируя процессы аутентификации.
  • Тихий перехват SMS: G700 RAT перехватывает SMS-сообщения, включая одноразовые пароли, посредством интеграции с SMS-приложением жертвы, перенаправляя их контролируемому хакером Telegram-боту без уведомления пользователя.
  • Злоупотребление разрешениями Android: получая расширенные разрешения, G700 RAT получает доступ к SMS, контактам, местоположению и хранилищу устройства, что позволяет осуществлять несанкционированный доступ к конфиденциальной информации.
  • Фишинг и кража учетных данных: G700 RAT внедряет поддельные страницы, напоминающие банковские, криптовалютные и платформы электронной коммерции, перехватывая учетные данные пользователей при вводе их на этих почти идентичных копиях.
  • Распространение поддельных APK: хакеры могут использовать поддельные страницы Google Play Store, чтобы обманом заставить пользователей загрузить вредоносные APK-файлы, предоставляя хакеру удаленный контроль над устройством.
  • Перехват криптовалютных транзакций: вредоносная программа манипулирует криптовалютными транзакциями, внедряя поддельную страницу Binance и перенаправляя средства на кошелек хакера, одновременно обманывая пользователя.
  • Методы сохранения и обфускации: использование кодирования Base64 и шифрования APK для избежания обнаружения, сохранение сохранения с помощью приоритетных служб и функций потоковой передачи экрана.
  • Широкое распространение: G700 RAT распространяется через форумы даркнета и каналы Telegram, где разработчик регулярно обновляет свои функции, что отражает значительный спрос в киберпреступных сетях.

Анализ​

G700 RAT написан на C# и упакован с использованием DNGuard, а его APK-версия написана на Java. На основании предоставленного снимка экрана очевидно, что G700 RAT является вариантом Craxs RAT. Это указывает на тесную связь между семействами вредоносных программ, причем G700 RAT является частью линейки вредоносных инструментов, разработанных схожим образом.

44426b13-a7a8-4c1f-9ded-ac11383e0a07.png

В приведенном ниже фрагменте представлен полный спектр функций, которые может выполнять G700 RAT.

8308a068-2463-4bb3-8732-979b427ccd10.png

Повышение привилегий:​

Разработчик утверждает, что G700-RAT может обходить критически важные меры безопасности, такие как пароли и аутентификация по отпечаткам пальцев, криптоприложения Trust Wallet, что создает значительные риски для пользователей.

Фрагмент кода разработчика ниже предназначен для удаленного манипулирования или использования безопасности приложения Trust Wallet. При щелчке по метке в приложении Windows Forms этот метод отправляет сообщение подключенному клиенту (classClient) для взаимодействия с приложением Trust Wallet, потенциально обходя его защиту безопасности.

855c4d8e-d11c-4b5f-a676-f260f8d7b8ce.png

57581ce3-524d-468e-957d-1237221fc8af.png

Входной захват​

Эта функция позволяет полезной нагрузке интегрироваться с приложением SMS по умолчанию на телефоне жертвы, предотвращая появление SMS-уведомлений. Это позволяет хакеру незаметно перехватывать одноразовые пароли SMS (OTP) без уведомления жертвы, что представляет серьезную угрозу безопасности пользователей Android.

052ddb1e-7c6e-4f30-ac2f-6f1e6be36756.png

Механизм контроля за повышением уровня прав​

На основании скриншота: после отправки команды телефон жертвы полностью покрывается изображением, напоминающим уведомление об обновлении программного обеспечения, призванным обмануть жертву, заставив ее поверить, что ее телефон проходит законное обновление. Эта манипуляция блокирует сенсорный экран, делая телефон неприкасаемым и непригодным для использования жертвой. В течение этого периода хакер может выполнять незаконные действия в фоновом режиме без ведома или вмешательства жертвы. Эта тактика крайне опасна, поскольку она отвлекает жертву, пока хакер выполняет вредоносные действия удаленно.

fa253eee-85c1-41fc-a7d3-59c512ab8378.png

Распространение вредоносных APK-файлов​

Разработчик утверждает, что G700 RAT может создать поддельную страницу Google Play Store. Когда хакер вставляет URL «hxxps[:]//is[.]gd/tHUtjx» в браузер телефона жертвы, она перенаправляется на поддельную страницу Google Play Store, созданную хакером. На этой мошеннической странице хакер может обмануть жертву, заставив ее установить клон APK-приложения на свой телефон. Этот вредоносный APK выглядит легитимным, но скрытно предоставляет хакеру полный контроль над устройством жертвы, позволяя ему выполнять незаконные действия без ведома жертвы

8658a3b6-2e58-4ed4-aec0-c42071c7a3e9.png

В последней версии вредоносного ПО G700 RAT хакер представил обновленный вариант Ransomware Locker, который теперь включает настраиваемые функции.

4fe4527e-52de-48a1-9218-f07d86de744f.png

Доступ к учетным данным: Фишинг​

Фишинговые страницы, хранящиеся в папке res//inject, предназначены для внедрения в банковские, криптовалютные, кредитные карты, электронную почту и приложения для покупок. Эти фишинговые страницы имитируют легитимные сайты и используются банковскими ботнетами для манипулирования жертвами, чтобы те вводили свою конфиденциальную информацию, такую как учетные данные для входа или финансовые данные.

Этот метод, часто встречающийся в сложных банковских вредоносных программах, заменяет реальные веб-страницы банков, криптоплатформ и других сервисов почти идеальными копиями. Когда жертвы пытаются войти в систему или завершить транзакции, их учетные данные захватываются хакерами вместо того, чтобы отправляться в реальный сервис.

Ключевые моменты этой тактики:

  1. Внедрение страницы: хакеры используют функцию внедрения для отображения фишинговой страницы, которая выглядит идентично настоящей.
  2. Кража учетных данных: жертвы неосознанно вводят конфиденциальные данные на поддельных страницах, что приводит к краже учетных данных.
  3. Целевые сервисы: фишинговые страницы настроены под финансовые сервисы, криптовалютные платформы, кредитные карты, почтовые сервисы и сайты электронной коммерции.
Использование банковских ботнетов: эта функция часто встречается в банковских ботнетах, предназначенных для перехвата и кражи данных пользователей в режиме реального времени, часто обходя традиционные меры безопасности.

caabb2ef-70bb-4564-bfcc-3bf1cb47801b.png

Анализ АПК​

Перечисленные разрешения Android предоставляют расширенный доступ к SMS, контактам, местоположению, камере, аудио и хранилищу, что часто встречается во вредоносных приложениях, таких как банковское вредоносное ПО или шпионское ПО. Эти разрешения позволяют приложению отправлять/читать SMS, получать доступ к контактам и журналам вызовов, отслеживать местоположение, делать фотографии, записывать аудио и манипулировать файлами. Они также могут позволить приложению совершать несанкционированные вызовы, отключать защиту устройства и запускаться при загрузке. Такой доступ может быть использован для кражи конфиденциальной информации или управления устройством.

256a834d-9acb-4f52-a5b6-b83ed0c9899d.png

Перехват криптоадреса или мошеннические криптовалютные транзакции​

Функция Binanceinj() используется для отображения пользователю поддельной страницы транзакции Binance, при этом в фоновом режиме тайно заменяя оригинальный адрес кошелька на адрес кошелька хакера. где жертва считает, что она проводит законную транзакцию, но средства перенаправляются на кошелек злоумышленника. Манипулируемая транзакция выглядит как настоящая, обманывая жертву, заставляя ее перевести криптовалюту хакеру, не осознавая этого.

Запутывание кода​

Строка, закодированная в Base64, при расшифровке раскрывает HTML-скрипт для поддельной страницы транзакций Binance. Хакеры используют это, чтобы скрыть фишинговый контент и избежать обнаружения средствами безопасности. После расшифровки скрипт внедряется в легитимную страницу, обманывая пользователей, заставляя их вводить конфиденциальную информацию или позволяя перехватывать криптоадреса.

d4ee2467-515a-4c0a-9267-7d1348a46967.png

Сохранение: Снимок экрана​

Этот код является частью службы Android, которая устанавливает уведомление переднего плана и инициализирует компоненты для потоковой передачи экрана в приложение Windows. Он создает уведомление для службы, гарантируя, что оно всегда будет видно пользователю, и инициализирует MediaProjectionManager для захвата экрана. Кроме того, он устанавливает HandlerThread для управления фоновыми задачами, связанными с процессом потоковой передачи экрана. Использование службы переднего плана необходимо для поддержания потоковой передачи в активном состоянии и уведомления пользователей о текущей операции.

c7ac5cf6-6899-4be7-b951-ed8e3c798c91.png

Анализ Dropper'а:​

d90f08b7-7d1f-414c-b299-588374d8d3b0.png

Фрагмент кода является частью APK-дроппера, который запрашивает разрешения WRITE_EXTERNAL_STORAGE и READ_EXTERNAL_STORAGE для облегчения установки скрытого APK. При нажатии кнопки (upbtn) он вызывает проверки разрешений, чтобы определить, предоставлены ли необходимые разрешения.

Метод checkPermissions оценивает наличие требуемых разрешений, в то время как requestPermissions запрашивает у пользователя эти разрешения. В методе onRequestPermissionsResult, если разрешения предоставлены, он вызывает SessionManager.install() для инициирования процесса установки.

Эта реализация иллюстрирует механизм получения разрешений на хранение для установки APK, что вызывает серьезные опасения по поводу безопасности, связанные с потенциальным развертыванием вредоносного программного обеспечения на устройстве.

e2c4a443-6173-4f42-86e4-acdb90f41038.png

Установка вредоносное ПО​

Автоматизированное внедрение кода Smali для взлома приложений​

Программное обеспечение представляет собой вредоносный инструмент, предназначенный для внедрения вредоносного кода Smali в легитимные приложения, такие как игровые, модифицированные и финансовые приложения. Создавая внешне аутентичные версии этих приложений, хакеры могут обманом заставить пользователей установить их, тем самым получив несанкционированный доступ к их устройствам. После выполнения вредоносный код часто предлагает пользователям предоставить услуги доступности, что может привести к серьезным нарушениям конфиденциальности и краже личных данных. Автоматизация этого процесса внедрения позволяет даже тем, у кого ограниченные технические знания, осуществлять такие атаки, что значительно увеличивает угрозу безопасности пользователя.

c03c5661-3ff6-4b83-88de-57fd4f0c89ea.png

APK-шифрование​

Этот снимок экрана, сделанный из распакованного кода G700, показывает строки, закодированные в base64. После декодирования одной из строк мы обнаружили 'APKEditor', что раскрыло путь к файлу [res\libs\APKEditor.jar], что указывает на наличие файла APKEditor.jar.

3b95a423-92f3-4dc6-aaf7-454723a16544.png

После проведения дальнейшего исследования этого файла мы обнаружили тот же файл на GitHub. Этот файл предназначен для надежного шифрования файлов APK, и разработчик использует этот шифратор для шифрования полезной нагрузки G-700 RAT. Этот подход направлен на предотвращение обратного проектирования APK и улучшение тактики уклонения от обнаружения антивирусом.

40434e6b-8bfe-49c0-a460-e62d901e0bc8.png

Заключение​

G700 RAT представляет собой значительный прогресс в области инструментов удаленного доступа, эксплуатируя как технические уязвимости, так и тактику социальной инженерии для взлома устройств Android. Его способность обходить меры безопасности и перехватывать конфиденциальные данные, такие как SMS OTP, позиционирует его как серьезную угрозу, особенно для пользователей криптовалюты. Широко распространенный через форумы Blackhat и каналы Telegram, G700 RAT и постоянные обновления указывают на растущий спрос среди киберпреступников. Чтобы противостоять этим угрозам, отдельным лицам и организациям необходимо принять надежные меры безопасности, использовать разведку угроз для раннего обнаружения и повысить осведомленность пользователей о фишинге и подозрительных загрузках приложений.

a5cbde5c-5cf6-47a9-a25d-9756b6ee0df2.png

Доступная последняя версия G700​

Для просмотра ссылки Войди или Зарегистрируйся
 
Войдите или зарегистрируйтесь для ответа.
Activity
So far there's no one here
Сверху Снизу