Translated ['src/generic-methodologies-and-resources/phishing-methodolog

2025-10-10 18:36:50 +00:00 · 2025-07-24 14:14:54 +00:00 · 2025-07-24 14:14:54 +00:00 · 250e4d2a02
commit 250e4d2a02
parent 0c77a8afca
3 changed files with 112 additions and 11 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@ -32,6 +32,7 @@
  - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
  - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
  - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md)
+  - [Mobile Phishing Malicious Apps](generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md)
  - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
 - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md)
  - [Baseline Monitoring](generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md)
--- a/src/generic-methodologies-and-resources/phishing-methodology/README.md
+++ b/src/generic-methodologies-and-resources/phishing-methodology/README.md
@ -73,7 +73,7 @@
 - [https://hunter.io/](https://hunter.io)
 - [https://anymailfinder.com/](https://anymailfinder.com)

-Щоб **виявити більше** дійсних електронних адрес або **перевірити ті, які** ви вже виявили, ви можете перевірити, чи можете ви брутфорсити їх smtp-сервери жертви. [Дізнайтеся, як перевірити/виявити електронну адресу тут](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
+Щоб **виявити більше** дійсних електронних адрес або **перевірити ті, які** ви вже виявили, ви можете перевірити, чи можете ви брутфорсити їх SMTP-сервери жертви. [Дізнайтеся, як перевірити/виявити електронну адресу тут](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\
 Крім того, не забувайте, що якщо користувачі використовують **будь-який веб-портал для доступу до своїх електронних листів**, ви можете перевірити, чи він вразливий до **брутфорсу імені користувача**, і експлуатувати вразливість, якщо це можливо.

 ## Налаштування GoPhish
@ -117,7 +117,7 @@ cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt
 - **/etc/postfix/transport**
 - **/etc/postfix/virtual_regexp**

-**Також змініть значення наступних змінних у файлі /etc/postfix/main.cf**
+**Також змініть значення наступних змінних у /etc/postfix/main.cf**

 `myhostname = <domain>`\
 `mydestination = $myhostname, <domain>, localhost.com, localhost`
@ -225,7 +225,7 @@ service gophish stop

 Чим старіший домен, тим менше ймовірно, що його сприймуть як спам. Тому вам слід чекати якомога довше (принаймні 1 тиждень) перед оцінкою фішингу. Більше того, якщо ви створите сторінку про репутаційний сектор, отримана репутація буде кращою.

-Зверніть увагу, що навіть якщо вам потрібно почекати тиждень, ви можете закінчити налаштування всього зараз.
+Зверніть увагу, що навіть якщо вам потрібно чекати тиждень, ви можете закінчити налаштування всього зараз.

 ### Налаштування зворотного DNS (rDNS) запису

@ -264,14 +264,14 @@ v=DMARC1; p=none
 > v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wPibdqPtzYk81njjQCrChIcHzxOp8a1wjbsoNtka2X9QXCZs+iXkvw++QsWDtdYu3q0Ofnr0Yd/TmG/Y2bBGoEgeE+YTUG2aEgw8Xx42NLJq2D1pB2lRQPW4IxefROnXu5HfKSm7dyzML1gZ1U0pR5X4IZCH0wOPhIq326QjxJZm79E1nTh3xj" "Y9N/Dt3+fVnIbMupzXE216TdFuifKM6Tl6O/axNsbswMS1TH812euno8xRpsdXJzFlB9q3VbMkVWig4P538mHolGzudEBg563vv66U8D7uuzGYxYT4WS8NVm3QBMg0QKPWZaKp+bADLkOSB9J2nUpk4Aj9KB5swIDAQAB
 > ```

-### Перевірте свій бал конфігурації електронної пошти
+### Test your email configuration score

 Ви можете зробити це, використовуючи [https://www.mail-tester.com/](https://www.mail-tester.com)\
 Просто перейдіть на сторінку та надішліть електронний лист на адресу, яку вони вам нададуть:
 ```bash
 echo "This is the body of the email" | mail -s "This is the subject line" test-iimosa79z@srv1.mail-tester.com
 ```
-Ви також можете **перевірити свою конфігурацію електронної пошти**, надіславши електронний лист на `check-auth@verifier.port25.com` та **прочитавши відповідь** (для цього вам потрібно буде **відкрити** порт **25** і побачити відповідь у файлі _/var/mail/root_, якщо ви надішлете електронний лист як root).\
+Ви також можете **перевірити конфігурацію вашої електронної пошти**, надіславши електронний лист на `check-auth@verifier.port25.com` та **прочитавши відповідь** (для цього вам потрібно буде **відкрити** порт **25** і побачити відповідь у файлі _/var/mail/root_, якщо ви надішлете електронний лист як root).\
 Перевірте, що ви пройшли всі тести:
 ```bash
 ==========================================================
@ -339,7 +339,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY

 - Відправте електронний лист на **неіснуючу адресу** та перевірте, чи є у відповіді якась підпис.
 - Шукайте **публічні електронні адреси** такі як info@ex.com або press@ex.com або public@ex.com і надішліть їм електронний лист, а потім чекайте на відповідь.
- Спробуйте зв'язатися з **якою-небудь дійсною виявленою** електронною адресою та чекайте на відповідь.
+- Спробуйте зв'язатися з **якою-небудь дійсною виявленою** електронною адресою і чекайте на відповідь.

 ![](<../../images/image (80).png>)

@ -356,7 +356,7 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY
 ![](<../../images/image (826).png>)

 > [!TIP]
-> Зазвичай вам потрібно буде змінити HTML код сторінки та провести деякі тести локально (можливо, використовуючи якийсь Apache сервер) **поки вам не сподобаються результати.** Потім напишіть цей HTML код у вікно.\
+> Зазвичай вам потрібно буде змінити HTML код сторінки та провести деякі тести локально (можливо, використовуючи якийсь Apache сервер) **поки вам не сподобаються результати.** Потім напишіть цей HTML код у вікні.\
 > Зверніть увагу, що якщо вам потрібно **використовувати деякі статичні ресурси** для HTML (можливо, деякі CSS та JS сторінки), ви можете зберегти їх у _**/opt/gophish/static/endpoint**_ і потім отримати до них доступ з _**/static/\<filename>**_

 > [!TIP]
@ -392,7 +392,7 @@ clone-a-website.md

 ## Документи та файли з бекдором

-У деяких фішингових оцінках (в основному для Red Teams) ви також захочете **надсилати файли, що містять якийсь вид бекдору** (можливо, C2 або просто щось, що викликає аутентифікацію).\
+У деяких фішингових оцінках (в основному для Red Teams) ви також захочете **надсилати файли, що містять якийсь бекдор** (можливо, C2 або просто щось, що викликає аутентифікацію).\
 Перегляньте наступну сторінку для деяких прикладів:

 {{#ref}}
@ -428,20 +428,26 @@ phishing-documents.md
 detecting-phising.md
 {{#endref}}

-Ви можете **придбати домен з дуже схожою назвою** на домен жертви **та/або згенерувати сертифікат** для **субдомену** домену, контрольованого вами, **який містить** **ключове слово** домену жертви. Якщо **жертва** виконує будь-який вид **DNS або HTTP взаємодії** з ними, ви дізнаєтеся, що **він активно шукає** підозрілі домени, і вам потрібно буде бути дуже обережним.
+Ви можете **придбати домен з дуже схожою назвою** на домен жертви **і/або згенерувати сертифікат** для **субдомену** домену, контрольованого вами, **який містить** **ключове слово** домену жертви. Якщо **жертва** виконає будь-який вид **DNS або HTTP взаємодії** з ними, ви дізнаєтеся, що **він активно шукає** підозрілі домени, і вам потрібно буде бути дуже обережним.

 ### Оцінка фішингу

-Використовуйте [**Phishious**](https://github.com/Rices/Phishious), щоб оцінити, чи ваш електронний лист потрапить у папку спаму або буде заблокований чи успішним.
+Використовуйте [**Phishious** ](https://github.com/Rices/Phishious), щоб оцінити, чи ваш електронний лист потрапить у папку спаму або буде заблокований чи успішним.

 ## Перехоплення буфера обміну / Pastejacking

-Атакуючі можуть безшумно копіювати шкідливі команди в буфер обміну жертви з компрометованої або неправильно написаної веб-сторінки, а потім обманути користувача вставити їх у **Win + R**, **Win + X** або вікно терміналу, виконуючи довільний код без будь-якого завантаження або вкладення.
+Атакуючі можуть безшумно копіювати шкідливі команди в буфер обміну жертви з компрометованої або неправильно написаної веб-сторінки, а потім обманом змусити користувача вставити їх у **Win + R**, **Win + X** або вікно терміналу, виконуючи довільний код без будь-якого завантаження або вкладення.

 {{#ref}}
 clipboard-hijacking.md
 {{#endref}}

+## Мобільний фішинг та розповсюдження шкідливих додатків (Android та iOS)
+
+{{#ref}}
+mobile-phishing-malicious-apps.md
+{{#endref}}
+
 ## Посилання

 - [https://zeltser.com/domain-name-variations-in-phishing/](https://zeltser.com/domain-name-variations-in-phishing/)
--- a/src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md
+++ b/src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md
@ -0,0 +1,94 @@
+# Мобільний Фішинг та Розповсюдження Шкідливих Додатків (Android та iOS)
+
+{{#include ../../banners/hacktricks-training.md}}
+
+> [!INFO]
+> Ця сторінка охоплює техніки, які використовують загрози для розповсюдження **шкідливих Android APK** та **профілів мобільної конфігурації iOS** через фішинг (SEO, соціальна інженерія, фейкові магазини, додатки для знайомств тощо).
+> Матеріал адаптовано з кампанії SarangTrap, викритої Zimperium zLabs (2025) та інших публічних досліджень.
+
+## Потік Атаки
+
+1. **Інфраструктура SEO/Фішингу**
+* Зареєструвати десятки доменів, що схожі (знайомства, хмарний обмін, автомобільні послуги…).
+– Використовувати ключові слова та емодзі місцевою мовою в елементі `<title>`, щоб піднятися в Google.
+– Розмістити *обидва* інструкції з установки Android (`.apk`) та iOS на одній цільовій сторінці.
+2. **Перший Етап Завантаження**
+* Android: пряме посилання на *недодаткований* або “сторону третьої особи” APK.
+* iOS: `itms-services://` або просте HTTPS посилання на шкідливий **mobileconfig** профіль (див. нижче).
+3. **Соціальна Інженерія Після Встановлення**
+* При першому запуску додаток запитує **код запрошення / перевірки** (ілюзія ексклюзивного доступу).
+* Код **POSTиться через HTTP** на Командний та Контрольний (C2).
+* C2 відповідає `{"success":true}` ➜ шкідливе ПЗ продовжує працювати.
+* Динамічний аналіз пісочниці / AV, який ніколи не подає дійсний код, не бачить **шкідливої поведінки** (евазія).
+4. **Зловживання Дозволами Часу Виконання** (Android)
+* Небезпечні дозволи запитуються **тільки після позитивної відповіді C2**:
+```xml
+<uses-permission android:name="android.permission.READ_CONTACTS"/>
+<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
+<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
+<!-- Старі версії також запитували дозволи на SMS -->
+```
+* Останні варіанти **видаляють `<uses-permission>` для SMS з `AndroidManifest.xml`**, але залишають шлях коду Java/Kotlin, який читає SMS через рефлексію ⇒ знижує статичний бал, але все ще функціонує на пристроях, які надають дозвіл через зловживання `AppOps` або старі цілі.
+5. **Фасадний UI та Збір Даних у Фоновому Режимі**
+* Додаток показує безпечні екрани (переглядач SMS, вибір галереї), реалізовані локально.
+* Тим часом він ексфільтрує:
+- IMEI / IMSI, номер телефону
+- Повний дамп `ContactsContract` (JSON масив)
+- JPEG/PNG з `/sdcard/DCIM`, стиснуті за допомогою [Luban](https://github.com/Curzibn/Luban) для зменшення розміру
+- Додатковий вміст SMS (`content://sms`)
+Payloads **пакуються в архів** і надсилаються через `HTTP POST /upload.php`.
+6. **Техніка Доставки iOS**
+* Один **профіль мобільної конфігурації** може запитувати `PayloadType=com.apple.sharedlicenses`, `com.apple.managedConfiguration` тощо, щоб зареєструвати пристрій у “MDM”-подібному нагляді.
+* Інструкції соціальної інженерії:
+1. Відкрити Налаштування ➜ *Профіль завантажено*.
+2. Натиснути *Встановити* три рази (скріншоти на фішинговій сторінці).
+3. Довірити недодаткований профіль ➜ зловмисник отримує *Контакти* та *Фото* права без перевірки App Store.
+7. **Мережева Система**
+* Простий HTTP, часто на порту 80 з заголовком HOST, як `api.<phishingdomain>.com`.
+* `User-Agent: Dalvik/2.1.0 (Linux; U; Android 13; Pixel 6 Build/TQ3A.230805.001)` (без TLS → легко помітити).
+
+## Тестування Захисту / Поради Червоній Команді
+
+* **Обхід Динамічного Аналізу** – Під час оцінки шкідливого ПЗ автоматизуйте фазу коду запрошення за допомогою Frida/Objection, щоб досягти шкідливої гілки.
+* **Порівняння Маніфесту та Часу Виконання** – Порівняйте `aapt dump permissions` з `PackageManager#getRequestedPermissions()` під час виконання; відсутність небезпечних дозволів є червоним прапором.
+* **Мережева Канарка** – Налаштуйте `iptables -p tcp --dport 80 -j NFQUEUE`, щоб виявити непостійні сплески POST після введення коду.
+* **Перевірка mobileconfig** – Використовуйте `security cms -D -i profile.mobileconfig` на macOS, щоб перерахувати `PayloadContent` і виявити надмірні права.
+
+## Ідеї для Виявлення Блакитної Команди
+
+* **Прозорість Сертифікатів / DNS Аналітика** для виявлення раптових сплесків доменів з багатими ключовими словами.
+* **User-Agent та Regex Шляхів**: `(?i)POST\s+/(check|upload)\.php` з клієнтів Dalvik поза Google Play.
+* **Телеметрія Кодів Запрошення** – POST 6–8-значних числових кодів незабаром після установки APK може вказувати на стадіювання.
+* **Підписування MobileConfig** – Блокувати недодатковані профілі конфігурації через політику MDM.
+
+## Корисний Фрагмент Frida: Авто-Обхід Коду Запрошення
+```python
+# frida -U -f com.badapp.android -l bypass.js --no-pause
+# Hook HttpURLConnection write to always return success
+Java.perform(function() {
+var URL = Java.use('java.net.URL');
+URL.openConnection.implementation = function() {
+var conn = this.openConnection();
+var HttpURLConnection = Java.use('java.net.HttpURLConnection');
+if (Java.cast(conn, HttpURLConnection)) {
+conn.getResponseCode.implementation = function(){ return 200; };
+conn.getInputStream.implementation = function(){
+return Java.use('java.io.ByteArrayInputStream').$new("{\"success\":true}".getBytes());
+};
+}
+return conn;
+};
+});
+```
+## Індикатори (Загальні)
+```
+/req/checkCode.php        # invite code validation
+/upload.php               # batched ZIP exfiltration
+LubanCompress 1.1.8       # "Luban" string inside classes.dex
+```
+## Посилання
+
+- [Темна сторона романтики: кампанія вимагання SarangTrap](https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign)
+- [Luban – бібліотека стиснення зображень для Android](https://github.com/Curzibn/Luban)
+
+{{#include ../../banners/hacktricks-training.md}}