Анубис программа для андроид

Обновлено: 08.07.2024

Вредоносная кампания была выявлена еще в июне 2018 года. Злоумышленники интегрировали пейлоад в самые разные приложения, начиная от решений для онлайн-шоппинга и заканчивая приложениями для мониторинга фондовой биржи. Все «продукты» преступной группы выглядели очень правдоподобно, из-за чего специалисты отмечают, что в эту кампанию было вложено огромное количество ресурсов, ведь таких вредоносных загрузчиков было не менее десяти.

Как и другие вредоносы, ранее проникавшие в каталог приложений Google Play, BankBot Anubis сумел пройти все проверки безопасности благодаря тому, что пейлоад доставлялся на устройство уже после установки приложения, когда малварь «оценила обстановку» и связалась с управляющим сервером. При этом сама малварь вполне успешно маскируется под Google Protect, и в итоге многие антивирусные решения тоже не обнаруживают ничего подозрительного.

По данным экспертов, разработчики BankBot Anubis регулярно меняют и обновляют свою малварь, расширяя ее возможности, но такие изменения привносятся в код крайне аккуратно, чтобы не привлекать внимание защитных механизмов Google Play. Регулярные обновления также указывают на то, что за созданием малвари стоит хорошо подготовленная преступная группа. Проникнув на устройство и выдавая себя за Google Protect, малварь запрашивает разрешение на использование Accessibility Service. Если пользователь соглашается, поверив, что имеет дело с решением Google, вредонос может начинать функционировать как кейлоггер, таким образом похищая финансовую информацию пользователя. Кроме того, Anubis способен делать снимки экрана и так же передавать их своим операторам.

По информации IBM X-Force, малварь в основном атакует пользователей из Турции, но также в список потенциальных жертв попали Россия, Белоруссия, Китай, Израиль, Азербайджан, Великобритания и другие страны. Исследователи полагают, что обнаруженные ими загрузчики могут являться частью сервиса некой преступной группы, которая предлагает своим клиентам проникновение в Google Play. Другая теория гласит, что за распространением BankBot Anubis стоит та же группа, которая ранее работала с трояном Marcher.

Anubis крадёт финансовые данные и шифрует файлы пользователей Android

Пользователи Android под прицелом новой фишинговой кампании, в ходе которой злоумышленники пытаются заразить смартфоны жертв банковским трояном Anubis. Этот вредонос известен тем, что способен красть финансовые данные, извлекая их из 250 банковских приложений и программ для шопинга.

Киберпреступники используют хитроумные методы, позволяющие обойти защитные функции мобильной операционной системы, а также ввести в заблуждение жертву.

Например, троян просит пользователя активировать Google Play Protect, под этим предлогом жертву вынуждают выдать вредоносу определённые права в системе. После этого зловред отключает Google Play Protect.

Для доставки Anubis атакующие используют вредоносную ссылку, встроенную в фишинговое письмо. Если пользователь пройдёт по этой ссылке, на смартфон загрузится файл APK, замаскированный под счёт.


Эксперты из компании Cofense проанализировали код Anubis и пришли к выводу, что его оснастили функциями кейлоггера и даже модулем шифровальщика.

В случае шифрования файлов вредоносная программа добавляет к ним расширение .AnubisCrypt, после чего отправляет их на сервер злоумышленников (C&C).

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы шифровальщика Ryuk развертывают его в сети за 2,5 дня

Киберпреступники взяли на вооружение программы класса proxyware

Wslink: загрузчик бесфайловых Windows-зловредов, работающий как сервер

Обзор Fortify Integration Ecosystem, комплексной платформы безопасности приложений

В Linux нашли проблему, допускающую атаки вида DNS cache poisoning

Речь идёт о старой доброй атаке класса «DNS cache poisoning», которую исследователь Дэн Камински представил ещё в 2008 году на Black Hat. Смысл в том, что атакующий может подменить IP-адрес за счёт маскировки под авторитетный DNS-сервер и флуда DNS-резолвера.

Эксперты Калифорнийского университета в Риверсайде ещё раз напомнили пользователям и организациям об угрозе, опубликовав новое исследование (PDF).

«Мы провели анализ поверхности атаки, на которую ранее никто не обращал внимания. В результате нам удалось обнаружить даже более опасную форму атаки по сторонним каналам, которая существовала в ядре Linux более десяти лет», — пишут специалисты.

«Стоит отметить, что этот вектор затрагивает не только Linux, но и целый спектр DNS-софта, который работает на этой операционной системе: BIND, Unbound и dnsmasq. Помимо этого, мы выявили около 38% открытых резолверов и 14% уязвимых IP-бэкендов, включая популярные DNS-сервисы вроде OpenDNS и Quad9».

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Всем привет, был вечер, делать было нечего, вот решила написать статью о том, как поставить android банкер Anubis от maza-in (Привет ) .


Раньше нигде не встречала, да и тут на форуме опубликованы одни старушки, а мы будем юзать то, что по новее. Да и не раз замечала, как его пытаются продавать под видом привата. В данной статье будет использоваться не самый последний билд Anunis'a , но все же, функционала для развода мамонтов, более чем достаточно, начиная от определения местоположения, заканчивая показами Веб-инжектов, их в архиве будет очень много, для каждого банка, как для EU, так и для РУ + QIWI, Yandex. При запуске, запрашивает права администратора и скрывается.


Для начала нам понадобиться:


1) Сам банкер:

3)Любая среда разработки, будь то Android Studio , либо Eclipse . Качайте по своему желанию. Либо по старинке в Sublime Text


Ставим панель.

Я думаю, о том, как загрузить архив на хостинг и создать БД , а после импортировать туда дамп из архива не нужно.


Так, когда все это проделали заходим на хостинге в папку /private/ открываем файл config.php , тут вводим данные от БД, далее выходим в корневой диалог, открываем файл login_data.php меняем логин O6epHucb на свой, тоже самое проделываем и с паролем 12345678. Это будут ваши данные, для входа в панель.


Все, панель готова.

Установка APKTool.

Распаковываем содержимое архива в C:\Apktool .


APKTool установлен.

Настройка билда.

  • Кидаем файл из архива банкера anubis.apk в папку C:\Apktool .
  • Открываем командную строку от имени администратора.
  • Вводим команду cd C:\Apktool
  • Декомпилируем apk вводом команды apktool d anubis.apk
  • В папке APKTool должна появится папка с именем "anubis" , если есть - отлично.


Заходим в C:\Apktool\anubis\smali\anu_bispro\app либо открываем C:\ApkTool\anubis в любой среде разработки


Теперь нам нужно отредактировать следующие классы:

  • a.smali
  • actinj.smali
  • apiproc.smali
  • commands.smali
  • getnum.smali
  • GPS.smali
  • NETWORK.smali

Также, обратите внимания, что при поиске будет находить ссылки вида , тут просто домен меняем на свой, и будет находить . тут тоже меняем только домен, private трогать не нужно.

Сборка билда.

Отлично, когда все отредактировали, открываем вновь командную строку от имени администратора и погнали:

  1. cd C:\Apktool
  2. и собираем apk командой apktool b anubis


Заходим в C:\Apktool\dist и берем оттуда готовый APK с нашим банкером, далее кидаем его в папку с софтинкой , которую только что скачали. И перетаскиваем наш APK на файл Sign_APK.bat , все. В папке появился файл apk_signed.apk , это и есть наш готовый банкер.

Все , вот у нас теперь имеется банкер Anubis, осталось его кому нибудь закинуть.


В данной статье проведем попытку изучения используемых конструкций языка программирования для работы вредоносного программного обеспечения. Основная задача — выяснить, содержат ли вредоносы для ОС Android какие-либо полезные и интересные недокументированные возможности ОС или же это просто приложения, которые ловко выполняют свой функционал при помощи стандартных приемов.

ВПО может состоять из десятков тысяч строк исходного кода, если не больше. Поэтому для ориентира в этом море кода будем рассматривать следующие характеристики:

используемый язык программирования;

набор привилегий, которые доступны ПО;

процедура предоставления удаленного доступа;

особенности реализации программного обеспечения (если есть).

Disclamer: Статья не претендует на полноту описываемой информации и предоставляет информацию только в образовательных целях.

Вредоносное программное обеспечение и ОС

Как известно, система Android своим ядром обязана Linux. И как свой прародитель, ОС Android считалась неприступной для вредоносного программного обеспечения. По мере развития системы в нее добавлялись новые функции, которые должны были еще больше обезопасить систему. Среди них:

песочница для каждого отдельного приложения;

организация доступа к ресурсам ОС за счет большого количества правил SELinux подсистемы;

использование нотификации для пользователей с перечнем необходимых для работы приложения привилегий.

Однако и это не помогло на 100% защитить систему. Почему? Наиболее распространенный способ инфицирования данной ОС — использование патченного софта и социальная инженерия. Причем обычно пользователям предлагается работать с интерфейсом, который неотличим от системного — то есть любое приложение ОС Android может использовать нотификации и Intent`ы, которыми пользуется сама ОС.

ВПО под Android развивается отчасти по пути open source: в сеть периодически попадают исходные коды вредоносов, которое использовалось злоумышленниками, что в свою очередь помогает менее квалифицированным «вирусописателям» ускорить создание своих зловредов. Попробуем раздобыть эти исходники из публичных источников.

Первым подопытным будет троян Anubis. Вот тут есть относительно свежая новость о том, с чем и как работает этот троян.

Anubis

Используемый язык программирования: Java. Для этого даже не нужно вычитывать исходники проекта, поскольку почти все файлы имеют расширение Java.


Набор требуемых привилегий на самом деле зашкаливает. Приведем часть AndroidManifest :

Похоже, что приложение будет системным, а также будет практически 24/7 мониторить активность пользователя и получать необходимые данные для своих целей. ОС не должна препятствовать деятельности этого приложения, если пользователь согласился с таким набором привилегий.

ВПО представляет собой троян, который может предоставлять доступ к зараженному устройству. Это осуществляется через создание сервиса, который имеет говорящее название "ServiceRAT". Регистрируется он стандартно — через манифест. Часть исходника самого сервиса:

Если смотреть код управления устройством полностью, то глаз зацепится за вот такой фрагмент:

Похоже, у автора была 100% уверенность, что любая команда для вредоноса будет введена всегда 100% корректно. Поэтому можно не переживать о наполнении opendir и просто выполнить команду.

Вывод: данный зловред никаких интересных «трюков» не использует. Разрешенные действия, которые описаны полностью в манифесте подчиняют практически полностью всю ОС. Все функции реализованы в рамках стандартного использования функций ОС и её библиотек. Отсутствует code style.

Cerber

Ещё один зловред, исходный код которого утёк в сеть. Недавняя новость о его функционале. Данная малвара имеет интересную особенность: практически все функции реализованы в отдельном файле, видимо разработчик таким образом хотел вынести весь алгоритм и иметь возможность обфусцировать его автоматическими средствами. Возможно, так было бы удобнее еще добавлять дополнительный функционал, но если задуматься, вероятно это один из методов обхода механизма проверки приложений для Google Play, так как вредонос достаточно часто светится в официальном магазине.

Используемый язык программирования: Java. Набор привилегий:

Объявления привилегий нет, у приложения всего лишь один Intent. Фрагмент исходника обработчика:

Как было упомянуто ранее, основной алгоритм ВПО записан в отдельный модуль. Отследить работу алгоритма можно по объекту " tt ". Автор вредоноса также не особенно переживает за поддержку данного кода, все объекты не имеют четкого именования. Видимо, данный модуль не планировали использовать долго.

Функционал вредоноса не ограничивается отправкой СМС, в нем так же есть работа с апдейтом модуля приложения:

Дополнительный файл "system.apk", к сожалению, отсутствует среди исходников, но вероятно он загружался с управляющего сервера. Удаленного доступа данный вредонос не предоставляет совсем. Весь функционал реализуется на основании конфига, который автоматически выполняет операции, которые ему передал злоумышленник на этапе запуска.

Вывод: ВПО работает только с СМС, которые проксируются в лог и пересылаются на конкретный номер. Снова полное отсутствие code style.

DefensorId

Еще одно ВПО, которое распространялось на ОС Android. Относительно свежую новость о нем можно найти здесь. Снова язык программирования — Java, похоже зловреды категорически не хотят использовать Kotlin.

Набор запрашиваемых привилегий:

ВПО славится тем, что может работать с пользовательским интерфейсом и воровать данные пользователя. Для подобного функционала в ОС Android необходимо обладать специальными привилегиями, которые выдаются только специальному функционалу — «Расширенные возможности ввода» (ACCESSIBILITY). Ниже приведен фрагмент кода, который старается такие привилегии запросить для возможности рисовать свой Intent поверх других приложений:

Социальная инженерия во всей красе. Если система не дала запустить приложение с возможностью помещать свой Intent поверх других приложений — запросить у пользователя эту возможность. С высокой долей вероятности нотификацию от системы будет им подтверждена без подозрений. Удаленный доступ к устройству в этом ВПО не предоставляется, весь функционал обрабатывается автоматически.

Вывод: Код создавался более опытным программистом, есть осмысленное именование объектов. Функционал реализуется за счет возможностей самой ОС и применяется для социальной инженерии.

Вывод

Код вредоносного программного обеспечения в большинстве случаев не выходит за рамки обычного программирования для ОС Android. Более того, можно сказать, что большинство ВПО пишется самоучками, которые собирают функции по официальной документации. В коде отсутствует четкое определение объектов их функционала, нет обработки данных от пользователя, так как реализация функционала пишется «чтобы работало». По итогу «недокументированные функции ОС» — это лишь умелые манипуляции злоумышленников по вводу пользователя в заблуждение.

Читайте также: