Android bot или как стать заливщиком

Android bot или как стать заливщиком

@sxemopub - единственный канал без воды, копипаста, с годной и актуальной информацией!

И сразу приступим.

Нам нужен Android bot. Есть разные боты, с инжектами, авто криптом, и разными фишками, но они стоят денег. Хороших денег. Но мы же еще не заливщики, от куда у нас бабло на приватный софт?

Возьмем паблик. А именно - https://yadi.sk/d/wW5GevDz3PC672 Пароль от архива: sxemopub

Как по мне, это лучший паблик Андроид ботнет в сети на данный момент.


Нам еще нужен хостинг. Берем этот - https://mchost.ru/1-hosting-s-testovym-periodom/

С промо кодом нужно будет только 100р для активации хостинга. Думаю 100р мы уж как то соберем. Почему нельзя на тот же бесплатный Beget?

- Потому что там будут ошибки. Админка криво отображается.

Да и этот меня не банил, хоть и были жалобы. Потом через пару месяцев только, когда там уже около 1000 ботов было. Нормальный хостинг в общем.

Ладно, идем дальше.

После того как активировали хостинг, идем сразу создавать базу данных. ( в дальнейшем БД )

Имя базы данных - любое.

Имя юзера базы данных - такое же как и название.

Пароль - давайте без qwerty, ок?

Пароль не забываем, это нам еще будет нужно.

Теперь нужно импортировать в нашу базу SQL файл. SQL файл можно найти в архиве database.rar

Открываем нашу базу, и импортируем туда SQL файл. ( db.sql если не ошибаюсь, лень чекать ) Если у кого то возникнут с этим проблемы, пишите в теме, я помогу.

Закрываем базу, и сейчас идем в папку adminka/private и открываем файл config.php любым редактором. Notepad ++ советую, удобно и просто.

Все дружно смотрим скрин

upload_2017-9-9_4-25-34.png

 

SERVER - сюда пишем хост БД. Найдете в разделе " Базы данных " на хостинге.

DB - сюда пишем название нашей базы.

USER - сюда юзера базы.

PASSWORD - тут напишите пароль от БД.

Остальное не трогаем, сохраняем изменения и закрываем файл.

Теперь нужно всё это дело закинуть на хостинг. Filezilla в помощь.

Вот всё это дело

upload_2017-9-9_4-26-11.png

 

Загрузили? Отлично, заходим на наш домен и видим вот такую красоту

upload_2017-9-9_4-26-46.png


Если надписи " Подключение к БД есть " вы не увидели, значит идем назад к config.php и смотрим где ошибка.

Админка готова. Давайте теперь собрать приложение, наш вирус.


Рассмотрим на мой взгляд самый простой вариант. Ну прям проще некуда. Те кто имеют какой никакой опыт с Android Studio, могут через туда всё это проделать.

Идем качаем эту программу - http://bursoft-portable.blogspot.com/p/blog-page_23.html

Установка не нужна, типо portable.

В архиве bot.rar лежит APK файл. bot/MyApplication/app/app-release.apk

Берем копируем app-release.apk в папку BatchApkTool366\BatchApkTool\_INPUT_APK

Запускаем программу BatchApkTool и жмем Декомпилировать APK

Ждем ( я успевал за это время кофе сделать )

Как увидим надпись ГОТОВО, можем приступать.

BatchApkTool366\BatchApkTool\_INPUT_APK\app\res\values - в папке values берем и открываем файл strings редактором.

Смотрим скрин

upload_2017-9-9_4-27-26.png

 

Да, именно там мы пишем название нашего приложения.

BatchApkTool366\BatchApkTool\_INPUT_APK\app\res - в папке res находим эти папки

- mipmap-hdpi-v4

- mipmap-mdpi-v4

- mipmap-xhdpi-v4

- mipmap-xxhdpi-v4

- mipmap-xxxhdpi-v4

В них есть иконка нашего приложения. Там иконка простая, давайте заменим.

Идем в Гугл, вбиваем к примеру - Google Play icon

Нашли иконку - https://www.iconfinder.com/icons/132832/google_play_icon

Качаем ее. Чтобы нам еще раз не менять что то в файлах, просто берем меняем название нашей новой иконки на название нашей старой иконки ( ic_launcher ) и кидаем в эти все папки с заменой.

Теперь осталось прикрутить апк к админке. Для этого идем на BatchApkTool366\BatchApkTool\_INPUT_APK\app-release\smali\com\example\livemusay\myapplication и открываем любым редактором эти файлы

- delSoundSWS.smali

- injectionActivity.smali

- Press.smali

- StartWhile.smali

- b.smali

Notepad ++ есть отличная функция - поиск по файлам. Вбиваем в поиск - http://

И он найдет все ссылки которые нам нужно заменить. Их там 7-8 где то.

Меняем старые ссылки на ссылку от нашей панели.

Пример

upload_2017-9-9_4-28-26.png

 

После того как везде прописали свой домен, свою ссылку, открываем программу BatchApkTool и жмем Рекомпилировать APK

Ждем...

Как увидим надпись ГОТОВО, заходим в папку OUT_APK и видим там наше готовое приложение.

Устанавливаем на эмулятор, или же к себе на телефон ( при установке права админа не давайте, а то потом сложно удалить ) и смотрим в админку. Если телефон там есть, всё отлично, вы молодцы.

Если его там нет, значит хуево читали мою статью, если вы ее хуево читали, значит она вам не интересна, и если она вам не интересна, я зря ее писал, и тем самым вы обижаете меня.

Хуйня шутка.

Теперь нужно наше приложение кому нибудь впарить ( у тех у кого есть мобильный банк ) и дать команду - ПЕРЕВОД | номер карты | сумма

От сюда и 8к заливы, у Сбера на смс перевод 8к лимит.

НО

всё это хуйня.

Находим сотрудника Сбербанк ( почти на каждом форуме они предлагают пробив, это не проблема ) и пробиваем все данные.

Что может пробить сотрудник Сбербанка -

Логин от онлайн банка

ФИО, номер карты, кодовое слово, адрес. ПАРОЛИ СОТРУДНИК ПРОБИТЬ НЕ МОЖЕТ, У НИХ НЕТ ПАРОЛЕЙ, КАК И CVV КОДОВ ОТ КАРТЫ.

Данные нам нужны для того чтобы прозвонить, если это потребуется. Так как очень часто при переводе нужно подтвердить транзакцию звонком. Звоним в контактный центр, говорим ФИО, номер карты, кодовое слово, сумму, куда переводим и так далее. Дело на 2 минуты и деньги у дропа. Есть вариант без прозвона ( почти без ) это отправлять с самого банка. Да, идешь в банк, там есть комп, берешь и спокойно переводишь. Но ради 50к туда не пойдешь, это только если суммы крупные. Но это уже другая история.


По поводу возможностей бота -

Запросить root права. Если отправить эту команду, жертва на телефоне увидит табличку, с запросом на права администратора от такой-то такой программы.

Отправить СМС. Ну тут и так всё понятно.

Запрос USSD - тоже всё понятно.

Запрос разрешения чтения/отправки СМС (Android 6.0 и более)

Наверно те у кого есть этот Android 6 и выше, заметили что при установке какого либо приложения, программа спрашивает разрешение на просмотр контактов, на запись голоса, просмотр файлов и так далее.

Так же и тут, мы не сможем прочитать/отправить СМС пока жертва не даст нам эти права. Это 6 Android, и ничего тут не поделать. Всё что ниже, можно читать/отправлять без каких то дополнительных разрешений. Начиная с 6, увы, нельзя.

Но сколько я заметил 6-7 людей из 10 дает это разрешение.


Зеленый значок - это значит что бот онлайн, он в сети.

Желтый значок значит что бот офлайн.

Черный значок - мертвый бот, не был в сети 48 (походу 48, надо смотреть) часов. Но если вдруг он выходит в сеть, то всё ок, опять зеленый. Даже если вы удалите бота с админки, но жертва телефон не очистит, то бот сразу же стукнет назад, никуда не пропадет.

Остальное я думаю вам понятно.


Если вдруг у вас будут блокировки мобильного банка (у жертвы блокирует, в связи с подозрением на мошеннические действия) нужен крипт. Блокировки такие только у Сберабанка, у других нету. Альфа проходит отлично, и суммы больше.

Не тот крипт что в сервисе, а именно ручной крипт. Если из 5 банков 2 блока, сразу ищите кодера, кидайте ему исходники APK, он всё сделает.

Уберет лишнее (инжект Приват банка и Qiwi, они не нужны особо) обфусцирует исходники, разбавит код и так далее. Мусор может добавить, библиотеки какие. Это тоже уберет один-два детекта. Бот всё же паблик, популярный, очень популярный, поэтому так вот.

Знакомый сказал что у него мало блоков, сам СМС переводы не тестил уже как месяц, да и не нужны они мне.

Можете и сами по читать о крипте APK, в Гугле достаточно инфы об этом и статей.

Качайте Android Studio, и изучайте. Это вам потом всё равно нужно будет.

А также не забываем про наш второй канал с противоположным контентом.
http://t.me/slivoff - сливы дорогостоящих бизнес курсов и кейсов. Бесплатно для наших подписчиков!

Report Page