A forum for reverse engineering, OS internals and malware analysis 

Forum for analysis and discussion about malware.
 #22218  by Xylitol
 Fri Feb 14, 2014 3:15 pm
SMS hijacking app, mostly target ING bank.
http://www.foresafe.com/report/E1B86054 ... C0C579CCAF
https://www.virustotal.com/en/file/38f6 ... 392390553/

http://www.foresafe.com/report/F06AF629 ... 22930AE428
https://www.virustotal.com/en/file/0106 ... 392390545/

http://www.foresafe.com/report/1F68ADDF ... BC7BAABB3D
https://www.virustotal.com/en/file/8458 ... 392401117/

Live sample:
Code: Select all
https://imo.im/fd/B/zjPz0VqdGO/bot.apk
http://www.foresafe.com/report/F0A14755 ... 902B664E42
https://www.virustotal.com/en/file/2b29 ... 392390537/
Image Image
Code: Select all
Уважаемые господа, рады Вам предложить бота под мобильные устройства. В данный момент бот реализован под операционную систему Android, так же рады вам сообщить, что разработка Blackberry ведется полным ходом, и первые бета версии будут в ближайший месяц, всем клиентам по Android боту на Blackberry будут существенные скидки.
Теперь вкратце расскажу как это работает, для тех кто не знает, после установки на мобильное устройство, приложение моментально отстукивает в удобную web-panel при наличии 3g или wi-fi, а так же отсылает SMS на управляющий номер с текстом I am (ICCID+MODEL PHONE). Наш бот реализован таким образом, что после попадания в систему юзер продолжает спокойно пользоваться своим телефоном, все функции ему доступны в штатном режиме. В отличии от знаменитого Perkele у нас нету заточки под определенные номера для перехвата, наш бот работает через систему команд. Команды даются любым удобным для Вас способом, либо из web panel при наличии интернета, либо SMS с управляющего номера.

Функционал:
-Грабинг всей информации о жертве (Phone Number,ICCID,IMEI,IMSI,Model,OS)
- Перехват всех входящих SMS и отправка их в web-panel и на управляющий номер.
- Переадресация звонков на любой номер
- Грабинг всех входящих и исходящих SMS
- Грабинг всех входящих и исходящих ВЫЗОВОВ
- Запись аудиофайла, отправка его на сервер( знаем, что происходит вокруг)
- Отправка SMS на любой номер без ведома владельца

Удобная Web Panel:



Итак, данный софт продается, цена бота 4к, в комплекте вы получаете админскую панель настроенную на вашем сервере+управляющий веб номер+файл Апк с уникальным интерфейсом разработанным под Ваши нужды, а так же постоянную поддержку продукта.
Так же, готовы рассмотреть варианты аренды и совместной работы за процент.( просьба не стучать, если у вас нету инжектов и вы не знаете, как это применять)
За более подробной информацией пишите мне в ПМ свой jabber для контакта, GPG и OTR жизненно необходимы.

Уважаемые господа. Вышел UPDATE под Android. Всем клиентам стукнуть за обновлением и ждем новых клиентов

Что нового?
-Теперь наше приложение крайней сложно удалить. При установке приложения софт запрашивает права админа устройства, если холдер ему их предоставляет, то приложение будет удалить крайне муторно, службы будут перезапускаться и вы не потеряете данного бота. Если же не предоставят, то приложение как и раньше будет работать в штатном режиме. Для вашего удобства в админ панели появился индикатор, показывающий даны админ права или нет.
-Если предоставили права админа, то есть возможность снести телефон командой до заводских настроек.
Yara:
Code: Select all
rule Android_Malware : iBanking
{
	meta:
		author = "Xylitol xylitol@malwareint.com"
		date = "2014-02-14"
		description = "Match first two bytes, files and string present in iBanking"
		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3166"
		yaraexchange = "do what the fuck you want"
	strings:
		// Generic android
		$pk = {50 4B}
		$file1 = "AndroidManifest.xml"
		// iBanking related
		$file2 = "res/drawable-xxhdpi/ok_btn.jpg"
		$string1 = "bot_id"
		$string2 = "type_password2"
	condition:
		($pk at 0 and 2 of ($file*) and ($string1 or $string2))
}
You do not have the required permissions to view the files attached to this post.
 #22278  by Xylitol
 Sat Feb 22, 2014 11:18 pm
You do not have the required permissions to view the files attached to this post.
 #22330  by Xylitol
 Sat Mar 01, 2014 12:14 pm
You do not have the required permissions to view the files attached to this post.
 #22468  by Xylitol
 Tue Mar 18, 2014 1:43 pm
You do not have the required permissions to view the files attached to this post.