Przyjrzeliśmy się nowej (5.6) wersji Flubota. W niej po raz pierwszy wiadomości z linkami do złośliwej aplikacji dystrybuoowane są zarówno przez SMSy jak i MMSy.
W jaki sposób to się dzieje? Aplikacja wywołuje 2 wątki:
public static void d(Context _context) {
if (a == null) {
a = _context;
for (int h = 0; h < 2; h++) {
Thread thread = new Thread(new SendSMSMMS(h));
thread.start();
}
}
}
W pierwszym parametrze przekazywana jest wartość 0, następnie zaś, w drugim wywołaniu pętli 1. Klasa StartSMSMMS definiuje tworzony wątek w kodzie powyżej
public class SendSMSMMS implements Runnable { i++;
}
}
}
Konstruktor nadaje zmiennej b klasy SendSMSMMS wartość z przekazanego parametru, tj. 0 lub 1. W metodzie run, która zostanie wywołana podczas tworzenia wątku, w zależności od wartości zmiennej isSms wysyłany będzie:
Dla obu opcji najpierw zostanie ustalona częstotliość (rate) z jaką aplikacja ma odpytywać serwer command&control o nową wiadomość do wysłania. Następnie w nieskończonej pętli realizowane będzie wysyłanie SMS lub MMS. Metody GET_SEND_SMS oraz GET_SEND_MMS, pobierają nową wiadomość, wraz z numerem odbiorczym z serwera c2, a następnie ją wysyłają. Po wysłaniu wiadomości wątek usypia na ilość sekund zdefiniowaną w zmiennej rate, po czym cały cykl sie powtarza, z wyjątkiem sytuacji gdy iloczyn zmiennych i oraz rate będzie większy od 600. Wtedy dodatkowo zostanie zaktualizowana częstotliwość odpytywania o nową wiadomość.
30 maja 2023
Ogromny wyciek, pełen - niezmiennie - głupich haseł18 maja 2023
Powiadomienie (nie) od Orange12 maja 2023
"Zapytanie ofertowe" - nowa kampania GuLoaderaZgłoś incydent