Hace como 8 años que no pruebo troyanos, ya no recuerdo nada, todo ha cambiado y poca gente usa PC.

Me pregunto si actualmente hay troyanos que conectan decenas conexiones remotas de telefonos moviles con android y les tienes ahi conectados cada vez que el movil este conectado a una wifi o datos.

¿Es todo igual? O sea encriptar el servidor para no ser detectado y buscar que el receptor active el servidor encriptado. Usar la no ip y configurar el cliente. ¿los moviles vienen con antivirus por defecto? ¿Si se activa la cam remota le salta algun aviso al movil que controlas remoto? ¿puedes ver lo que ocurre en el movil remoto con la captura de screenshot en tiempo real?
Tenes algunos troyanos android con sus fuentes subidas en el foro, también algunos crypters.
Cada versión major de android suma medidas de seguridad, también tenes las mejoras en el play store para combatir el malware (te escanean el cel desde la app).
Así que resumiendo la respuesta seria si a todo. Si es todo igual, si le saltan los avisos y si se le escanea el cel como si tuviera virtualmente un av.
 

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
DSR! escribió: 27 Oct 2021, 17:27 Tenes algunos troyanos android con sus fuentes subidas en el foro, también algunos crypters.
Cada versión major de android suma medidas de seguridad, también tenes las mejoras en el play store para combatir el malware (te escanean el cel desde la app).
Así que resumiendo la respuesta seria si a todo. Si es todo igual, si le saltan los avisos y si se le escanea el cel como si tuviera virtualmente un av.

 
Y bueno imagino que para ejecutar el servidor  aparecen varios avisos como que es una aplicacion posiblemente peligrosa, y despues permisos para fotos, videos...

Vamos, que es lo mismo pero más complicado de obtener conexiones remotas por motivos obvios. ¿Algun bypass para saltarse lo de los permisos y pasarlo como imagen? Imagino que eso en caso de que exista seria nivel super avanzado
creo que unirlo, esconderlo  en otra apk con un binder o joiner es lo mas camuflado para que instale la app y el server a la ves pero casi todo es detectado hoy en dia.
Zion-92 escribió: 28 Oct 2021, 00:29 creo que unirlo, esconderlo  en otra apk con un binder o joiner es lo mas camuflado para que instale la app y el server a la ves pero casi todo es detectado hoy en dia.
 
Claro, porque ese factor encaja en las reglas "Viene empaquetado con otro programa, y su presencia no se revela" y/o "Intenta engañar a los usuarios para que lo instalen o aprovecha la instalación de otro programa" de los [Enlace externo eliminado para invitados], y cualquier programa que haga saltar una o más reglas de esa lista, es marcado como PHA por Play Protect. Según la clasificación de PHA, puede ser que (A) le avise al usuario para que tome una decisión sobre el programa, o (B) lo desactive/borre y listo, si fuese muy obvio o conocido. 

Afortunadamente, muchisimos OEMs desactivan de entrada Google Play Protect, para poder meter su spyware como provisioning, y así dejan abierta la puerta a terceros. Si no fuera el caso, o si el usuario hubiera activado GPP voluntariamente, lo ideal sería encontrar una forma general (que yo no he hallado aún) de desactivarlo silenciosamente. Así las cosas, necesariamente hay que personalizar el server del RAT para garantizar el acceso al dispositivo que se tiene en mira como objetivo, porque probablemente va a haber que rootear, y desde ahí desinstalar silenciosamente PP, evadir/desactivar/desinstalar un posible AV de terceros que tenga el dispositivo, y recién luego instalar tu server traquilón y tomando mate.

La tercera  opción, y la más frecuente, es disfrazar los servers y hacerlos convivir con GPP, para lo cual yo he hallado que sólo un crypter no es suficiente, porque el escaneo es conductual y, como decís, siempre terminan siendo detectados - en el mejor de los casos, te deja una ventana de unas horas de acceso remoto al dispositivo. Volvemos, entonces, a tener que vencer análisis heurísticos.

/EDIT: para mayor abundamiento, cito como caso de éxito a AbstractEmu, que [Enlace externo eliminado para invitados], y ahí hace de las suyas a sus anchas.
(MD5 checksum error.)
Responder

Volver a “Dudas y Preguntas”