Sno folks bank id med installerad keylogger?

Detta måste väl gå?

Tänker att man programmerar in en logger och att den ska börja logga när mobilt bank id öppnas. Därefter får man koden.

Satan tänkte fel man måste kan väl inte komma im på tex bankkonto om man loggar in på mobil bank id på annan mobil?

Alltså min morsa kan inte logga in på sitt bank id på min mobil

Nej det kan hon inte.

en fud androidrat skulle nog fnuka isf

Menar du att du skulle spela in bankid-kod och sedan använda måltavlans mobil bankid-app via din RAT varje gång du ska in i vad du än försöker komma in i? Kan du leda mig genom din tilltänkta process? Jag är inte säker på att daen är så effektiv.

Och du tycker JAG har bra tålamod

Vet inte hur rats för Android funkar men med dom flesta vanliga rats så kan du infectera en dator sen sno lösen till tex paypal och logga in på deras paypal på deras dator via raten.

Så om det funkar på dator varför skulle det inte funka på mobilen?

Nej jag tänker mig precis som du att det i teorin borde fungera. Jag tror bara inte det är en särskilt lätt väg.

Jag är däremot skeptisk till tillvägagångssättet om du först ska spela in bankid-koden (du ska alltså övervaka skärmbilden vid just rätt tillfälle alternativt spela in över en väldigt lång period). Jag har ingen aning om hur Androids API:er fungerar men jag tänker mig att keylogging inte fungerar enligt riktigt samma princip som på en dator så att du kan fånga upp koden den vägen, och ens om en Android RAT kan keylogga är det inte säkert att den loggar knapptryckningar mot sifferkodpanelen i Bank ID snarare än lyssnar till tangentbordet.

Sedan ska du dessutom använda mobil bank-id från telefonen, eftersom mobilt bank-id är knutet till telefonen. Medan det kanske (jag vet inte) är möjligt med någon Android RAT misstänker jag att de flesta inte ger GUI-styrning utan fungerar i bakgrunden, vilket skulle göra det svårt/omöjligt att skriva in koden ens om du lyckas starta bank id-appen. Men jag är osäker på denna bit, har själv ingen direkt erfarenhet av just Android RATs så kanske det går.

Alltså, vad jag ställer mig mot är tillvägagångssättet att behöva använda måltavlans telefon för bank id-autenticeringen. Även om du kan anpassa dig efter när måltavlan gissningsvis inte använder telefonen eller sover eller så, finns risken att användning av telefonen genom dess grafiska interface upptäcks och märks.

Sedan återstår två huvudsakliga problem: dels att du inte kommer undan loggning hos banken eller var du nu än försöker komma in med hjälp av bank-id, att bank-id har använts för autenticering och så. Det gör kanske inget om du bara är ute efter en engångsöverföring av pengar från ett bankkonto. Det andra är att rensa spår efter din RAT på telefonen efteråt. Medan du säkert kan avinstallera den snyggt precis som du installerat den måste du installera ytterligare applikation för att shredda filerna. Ens om du gör det måste du sen shredda applikationen du använder för att shredda... :-)

Men har du andra idéer på hur det skulle kunna genomföras är jag idel öra, det är ett intressant projekt. Däremot tror jag att det finns enklare vägar att gå beroende på vad du vill göra. Du nämnde bankkonto i ditt andra inlägg, så om du är ute efter att stjäla pengar från någon må det vara bekvämt att gå RAT-vägen, men jag är inte säker på att det är det smidigaste sättet.

Förresten, hur hade du tänkt få in RAT:en på telefonen från första början?

Det finns androidrats som loggar ALLT som skrivs precis som en vanlig rat så att hitta koden skulle inte va nåt problem även om det är mycket att gå igenom. Dock har jag ingen aning om vad dessa kostar eller hur dom är uppbygda. Är du smart så swishar du offret en liten summa pengar och han kommer då logga in för att se vad han fått. BAM du fick koden på nån minut. Har du någonsin fått en swishbetalning och skitit i att se vad det var? hehe precis

Det fetmarkerade funderar jag också på men det borde inte vara ett problem. menar, man trycker ju inte in tangenterna om man kör på en dator så varför skulle man behöva trycka på skärmen när man ratar en mobil? Men ja eftersom bankid är en app så kan det vara annorlunda.

Ser heller inte upptäcksrisken som ett stort problem. Ta reda lite på hur offret jobbar/går skola via typ Facebook osv. Dom flesta sover mellan kl typ 2-4 så finns gott om tid. Sen har man ju mobilen typ 90% av tiden i fickan om man räknar totalt på en dag och man arbetar.
Slå igång wifi är också en sak men det borde inte vara ett problem.

haha, alltså, gör man sånt så sitter man inte på sitt riktiga ip precis och banken kan logga precis vad dom vill. Att röjja sitt ip ser jag som det minsta problemet iaf. Använd en skitdator för en tusenlapp och släng den sen om du är orolig.

Det finns väldigt många sätt att infektera en dator på, mobil borde väl inte va så annorlunda?l. Du kan tex skicka ett sms spoofat från Facebook och skriva typ " vi har upptäckt ovanlig aktivitet på ditt konto, klicka här för att se dina senaste inloggningar och ändra ditt lösenord" Dom klickar på den och rat executes.

Med ett jpg exploit som kostar typ några tusen så skulle du även kunna skicka en sudig nakenbild och få offret att klicka på det. Det enda som stör mig är om man måste godkänna nerladdning av en exefil eller app eller om den kan köras helt utan användarens godkännande.

Kanske någon gammal mobiltelefon skulle vara så värdelös, men mobiltelefoner startar normalt inte program bara för att en länk i en websida eller i ett SMS pekar på ett program.

Skulle länken vara till ett installationspaket så kommer telefonen antingen ignorera eller ladda ner (utan att bry sig mer om den filen) eller fråga explicit om man vill installera ett program från en okänd källa.

Åtminstone för Android-telefoner så är det normala sättet att bli smittad att man laddar ner ett smittat program från Play Store, som har en oväntad extrafiness.

Men det är inget bra sätt om du vill jaga en specifik mobiltelefon.

JPG-exploits kräver dels att mobiltelefonen innehåller dåligt uppdaterad kod som medger buffer-overflow. Samt att exploit är anpassat så att overflow-datat motsvarar meningsfulla instruktioner för telefonen att köra. De stora mobiltillverkarna är rätt duktiga på att trycka ut uppdateringar om någon hittar en overflow-attack in något library.

Yes, RAT och Social angeniering :

Så hur får du in offrets BankID på din mobil för att kunna använda det?