Простой слив с ба

Сегодня я попытаюсь развеять мифы о том, что Для того, чтобы делать качественные заливы БА-БА нужны вложения 5-10-15-20-50к долларов и Хороший ботнет - это огромные вложения и знать надо много. Бесспорно, моим способом не получится лить корпы. Также однозначно не будет цифр выше 10-15к за один залив, но Москва тоже не сразу строилась.

Банки не стоят на месте и совершенствуют свою безопасность ежедневно. На рынке полно топиков с продажами банковских аккаунтов, купить некоторые можно аж за 50 центов (правда баланс будет +-1к долларов). Но слить деньги с такого аккаунта напрямую мы не сможем. Почему? Главная проблема - вы будете сливать со стороннего компьютера, а не с компьютера холдера, который уже полюбила служба безопасности банка. Вторая проблема, с которой можно столкнуться - подтверждение транзакции с помощью смс. Нет, конечно можно подтвердить транзакцию прозвоном, но придётся нажать отбой после вопроса: Как зовут вашего соседа напротив (как пример) + для прозвона надо пробить кучу данных. Да и прозвонщика надо иметь грамотного. Можно и холдера прозвонить и методом СИ вытащить код из смс для подтверждения транзакции. Можно, можно, можно и каждое можно упирается в деньги. В общем, данный вариант отсекаем сразу, он нам не подходит. Многие заливщики вовсе обходят стороной банки с смс, но мы не многие и пора бы уже развеять миф о нереальности/дороговизне заливов с еу банков.

Как уже поняли некоторые, речь пойдёт про андроид бота. Вариантов на рынке уйма. Каждый форум пестрит темами типа Продам Андроид Бота. А что же такое андроид бот и с чем его едят? Естественно, основное предназначение андроид вирусов - перехват смс. На данный момент, по-моему мнению (да и по факту так), рынок андроид зверьков только-только уверенно встал на две ноги и медленно развивается. Как уже было сказано выше, наше преимущество - перехват смс. На сегодняшний день операционную систему андроид можно разделить на две части. Первая часть - всё, что ниже андроид 4.4. Вторая, соответсвенно, всё что выше 4.4. Соответственно в андроидах ниже 4.4 нет ничего сложного в перехвате смс, достаточно в админ панели дать команду перехват/intercept.

А вот начиная с версии 4.4 полностью перехватить смс практически невозможно. Нет, смс в админ панель прилетят после включения функции перехват/intercept, но холдер тоже увидит эту смску. То есть, по факту на сегодняшний день, на андроидах 4.4+ мы имеем лишь функцию прослушивания смс, а не полноценный перехват. Далее, после получения смс холдером, угадать его поведение невозможно. Он может как позвонить в банка, так и вовсе отключить телефон (читай - убить бота). Тремя предложения ранее я написал фразу практически невозможно, все заметили? Если мы не можем сделать так, чтобы холдер не увидел смс - как же быть? Да легко! Сделаем так, чтобы он вообще не видел экрана телефона. Да, да, локнем его. Но нам нужно не просто локнуть, а чтоб при этом наш вирус продолжать работать и отсылал данные. Такое решение уже есть на рынке. Перед приёмом смс блокируем экран, далее принимаем смс. Это значит, что при полном блокировании телефона, наш вирус работает.

Итак, смс мы перехватили. Что мы имеем на данной стадии из функционала: перехват смс на всех версиях андроида.

Идём дальше. Что нам нужно для заливов с андроид устройств? Посмотрите на свой телефон (яблочники - перекурите пока). Это тут , читая статью, находясь на кардинг форуме, все мы - кардеры, траферы, мошенники и тд. В обычной жизни все мы - обычные люди, которые имеют банковские счета, карточки и тд. У кого есть банковское приложение на телефоне? Верно, у преобладающего большинства. Представьте, если ваш телефон заразили. Ну почитают злоумышленники выши смски со шкурами и что? Нужна материальная выгода. И тут всплывает такая чудная вещь как ИНЖЕКТИНГ. Это не тот инжектинг, привычный нашему глазу. Нет, браузеры нам не интересны. Мы будем инжектировать приложения. Браузерные инжекты привязываются к доменам, то есть перейдя на линк А холдер видит инжект А, линк Б - соответственно Б. Но у нас андроид и инжекты мы будем привязывать к определённым приложениям (процессам, инициированным приложением). Соответственно наш бот должен понимать какие приложения установленные на телефоны жертвы. Итак, мы имеем приложение МегаГиперУматого Банка (условное название. кратко - МГУ Банк) на телефоне/планшете (с симкой) на ОС андроид. Что нам нужно для входа? Логин, пароль и код смс. Названи первых двух переменных может различаться в зависимости от банков (логин/id/client number/card number пароль/личный код/etc). Вторая переменная в некоторых банках и вовсе отсутствует. С третим пунктом, а именно код смс, всё понятно, мы его перехватим. В редких случаях (считанные банки в мире) третий пункт меняется на тан (от брелка в руках холдера, генерирующего тан раз в нное количество времени до второго приложения из которого холдер получает тан). Что же из себя представляет инжектинг андроида? Что такое инжектинг приложения? НИ-ЧЕ-ГО необычного и сложного. Любой инжект представляет из себя фейковую страницу, целью которой является получить от жертвы данные. При этом жертва не должна ничего заподозрить. Итак, инжектинг приложения - это фейковое окно, которое открывается поверх основного окна приложения и полностью повторяет его дизайн. Инжект запрашивает только ту информацию, которая требуется для входа в онлайн банкинг. Очерёдность действий следующая:

1. холдер, ни о чём не подозревая, открывает приложение МГУ Банка

2. Моментально поверх оригинального окна появляется наш инжект

3. Холдер ничего не подозревая вводит данные

4. Данные улетают в админ панель.

Подытожим. На данной стадии мы имеем перехват смс на всех версиях андроида + инжектинг на приложения.

Продолжим. Что же ещё важного может быть в андроид вирусе? Правильно, живучесть. Живучесть андроид вируса напрямую зависит от сложности удаления вируса. Данный вопрос нам решить не под силы, это сделали наши друзья-кодеры. Для того, чтобы приложение было сложно удалить, во-первых не должно быть никаких следов вируса на экране (иконка), во-вторых нашему процессу надо дать админ права. В случае с андроидом, для получения админ прав достаточно просто попросить об этом холдера на стадии установки. 80 процентов, а то и больше дают необходимые нам права.

Вот и всё. Теперь вы знаете и умеете как лить банки с минимальными вложениями.
В данной статье все функции андроид вируса были приведены на примере флагмана GM BOT (SKUNK/MAZAR).

Список функций, не описанных в данной теме:

1. инжекты на экран (зачем они? - например склонить холдера на открытие нужного нам приложения. методов применения уйма.)
2. сбор цц+вбв с гугл плея. думаю не стоит объяснять что такое цц+вбв
Вроде всё описал. Ах да, как же само заражение...
Цепочка заражения в бюджетной версии (именно её мы и рассматриваем сегодня, я пользуюсь её всегда наравне с дорогостоящими и более качественными методами) выглядит следующим образом.
1. холдер заходит на сайт А
2. с сайта А происходит редирект на сайт Б, мотивирующий холдера скачать приложения. проще - лендинг.
Вопрос. Где брать тех самых холдеров/жертв? Другими словами: Где брать ТРАФИК?
Ответ. Биржи. Биржи с андроид трафиком!
Итак, в идеале готовый комплект для работы с андроид вирусом состоит из лендинга, актуальной биржи и самого зверя.
(слив)

Оригинал: http://sky-fraud.ru/36158-post1.html