Popular Posts

Monday, August 15, 2016

Ghost Push - Monkey Test & Time Service ဗိုင္းရပ္စ္


2015 August လအတြင္းမွာ Coolpad ဖုန္း သံုးတဲ့သူေတြဟာ Official update လုပ္ၿပီးတဲ့ေနာက္ သူတို႔ရဲ့ ဖုန္းေတြမွာ MonkeyTest နဲ႔ TimeService ဆိုတဲ့ ဗိုင္းရပ္စ္ ၀င္ေရာက္ေနတာကို ေတြ႕ရပါတယ္။ 
အဲဒီဗိုင္းရပ္စ္ ေတြဟာ Ghost Push ဆိုတဲ့ ဗိုင္းရပ္စ္ က အရင္၀င္ေရာက္ၿပီးမွ ေရာက္လာၾကတာ ျဖစ္ပါတယ္။ စက္တင္ဘာ (၁၈) ရက္ေန႔မွာဆိုရင္ ဗိုင္းရပ္စ္ ၀င္ေရာက္ကူးစက္ခံရတဲ့ ဖုန္းအေရအတြက္က တရက္ကို (၇)သိန္းအထိ ရွိလာခဲ့ပါတယ္။ Samsung, Coolpad, Moto အပါအ၀င္ ဖုန္းေမာ္ဒယ္ (၁)ေသာင္းေက်ာ္ ကူးစက္ခံခဲ့ရပါတယ္။
စူးစမ္းစစ္ေဆးခ်က္ေတြအရ ဒီဗိုင္းရပ္စ္ အဓိက ကူးစက္ခံရတာက အေမရိက၊ ရရွား၊ အေရွ႕ေတာင္အာရွ နဲ႔ တရုတ္ေတာင္ပိုင္း ေဒသေတြ ျဖစ္ပါတယ္။


Ghost Push ဟာ system-level access ကို ရယူပါတယ္။ ၿပီးရင္ ဖုန္းကို root လုပ္ပါတယ္။ MonkeyTest နဲ႔ TimeService ေတြကို ထပ္ၿပီး download ခ်ပါတယ္။ ဖုန္းဟာ အလြန္ေလးလံသြားမယ္၊ ဘက္ထရီ အျမန္ကုန္သြားမယ္၊ အင္တာနက္ network traffic ကို သိသိသာသာ ဆြဲသံုးမယ္။ အႏၱရာယ္ႀကီးတာက ဒီဗိုင္းရပ္စ္ေတြကို အလြယ္တကူ သတ္လို႔မရပဲ၊ Uninstall လုပ္ရင္လဲ ဖုန္းကို restart လုပ္လိုက္တာနဲ႔ ျပန္ေပၚလာပါတယ္။

အဲဒီေတာ့ Ghost Push ဘယ္လို အလုပ္လုပ္သလဲ၊ ဘယ္လို ရွင္းထုတ္ ရမလဲဆိုတာ ေလ့လာၾကည့္ၾကပါမယ္။

Ghost Push ဟာ ဖုန္းရဲ့ root access ကို ရယူတယ္။ အင္တာနက္ data ကို သံုးၿပီး ေၾကာ္ျငာေတြကို ဆြဲခ်ပါတယ္။ ဖုန္းသံုးသူမသိလိုက္ပဲ အျခား အသံုးမ၀င္တဲ့ application ေတြကိုလဲ download ခ်ပါတယ္။
Hacker ေတြက Ghost Push ဗိုင္းရပ္စ္ code ေတြကို နံမယ္ႀကီး application ေတြမွာ ညွပ္ထည့္ၿပီး original application ပံုစံနဲ႔ ျဖန္႔ေ၀ပါတယ္။ သံုးတဲ့သူေတြက အစစ္အမွန္ထင္ၿပီး install လုပ္လိုက္မိခ်ိန္မွာ ျပႆနာ တက္ေတာ့တာပါပဲ။ ဗိုင္းရပ္စ္ပိုး ထည့္သြင္းခံထားရတဲ့ application ေတြကို ေနာက္ဆက္တြဲ (၁) မွာ ေဖာ္ျပထားပါတယ္။

(၁) ဗိုင္းရပ္စ္ ၀င္ေရာက္ျပန္႔ႏွံ႔ပံုအား ေလ့လာျခင္း
------------------------------------------------



(၁-က) Root ရေအာင္ လုပ္ျခင္း
--------------------------------


Ghost Push ဟာ ဖုန္းေမာ္ဒယ္ နဲ႔ အျခား information ေတြကို "http://api.aedxdrcb.com/ggview/rsddateindex" ဆိုတဲ့ server ဆီကို ေပးပို႔ပါတယ္။ အဲဒီကေနမွ http://down.upgamecdn.com/onekeysdk/tr_new/rt_0915_130.apk ကေန root toolkit ကို download ခ်ပါတယ္။ ၿပီးတာနဲ႔ ဖုန္းကို တိတ္တိတ္ေလး root ေဖာက္ပါတယ္။ ေနာက္တဆင့္အေနနဲ႔ debuggerd ဖိုင္ကို အစားထိုးတယ္၊ install-recovery.sh ဖိုင္မွာ code ေတြ ျပင္တယ္၊ /system/xbin folder ထဲမွာ bin ဗိုင္းရပ္စ္ ဖိုင္ေတြ ဖန္တီးတယ္၊ ROM virus ကို install လုပ္ပါတယ္။ /system/priv-app, /system/app folder ေတြထဲမွာ "camera_update" လိုဖို္င္ေတြ ဖန္တီးပါတယ္။

camera_update ဟာ ဗိုင္းရပ္စ္ ဖိုင္ျဖစ္ၿပီး /system/priv-app folder ထဲမွာ ရွိေနပါတယ္။ အဲဒီ ဗိုင္းရပ္စ္ဟာ ဖုန္းရဲ့ ROM ထဲကို ၀င္ေနၿပီး uninstall လုပ္လို႔ မရေအာင္ လုပ္ထားပါတယ္။ ဒီ ဖိုင္ကေနပဲ http://massla.hdyfhpoi.com/gkview/info/801 ကေန MonkeyTest, http://u.syllyq1n.com/mmslow/api/821 ကေန TimeService apk ေတြကို install လုပ္ယူပါတယ္။ ၿပီးေတာ့ အျခား ဘာမွန္းမသိတဲ့ application ေတြကိုလဲ install လုပ္ယူပါတယ္။


(၂) မူရင္းဗိုင္းရပ္စ္ကို သတ္မရေအာင္ အကာအကြယ္ လုပ္ထားပံု
------------------------------------------------------------------

(၂-က) ROM ထဲက မူရင္း ဗိုင္းရပ္စ္ကို Bin က အကာအကြယ္ ေပးထားတယ္
------------------------------------------------------------------------------




စက္ကို ပါ၀ါစဖြင့္တာနဲ႔ install-recovery.sh နဲ႔ debuggerd ဖိုင္ေတြကို execute လုပ္ပါတယ္။ အဲဒီ ဖိုင္၂ခုကေန ဗိုင္းရပ္စ္ bin ဖိုင္ကို execute ဆက္လုပ္ပါတယ္။ ဒီဟာက ROM ထဲမွာ ရွိေနတဲ့ မူရင္းဗုိင္းရပ္စ္ကို အကာအကြယ္ေပးၿပီး ဆက္ run ေနေစတယ္၊ မူရင္းဗိုင္းရပ္စ္ ရဲ့ ေနာက္ဆံုး installation package ကို ရယူပါတယ္။
တကယ္လို႔ မူရင္းဗိုင္းရပ္စ္ကို uninstall လုပ္လုိက္ရင္ Bin ဖိုင္ကပဲ ဗိုင္းရပ္စ္ကို ထပ္ download ခ်ၿပီး ROM ထဲမွာ ျပန္ install လုပ္ပါတယ္။


 

 
(၂-ခ) Bin ဖိုင္ကို ဖ်က္လို႔ မရေအာင္ လုပ္ထားတယ္
---------------------------------------------------


စက္က run ေနခ်ိန္မွာ Bin ဖိုင္ဟာ "chattr +I" command ကို သံုးၿပီး သူ႔ကိုဖ်က္လို႔မရေအာင္ ကာကြယ္ထားတယ္။


(၂-ဂ) APK ဖိုင္ကို ဖ်က္လို႔မရေအာင္ လုပ္ထားတယ္

----------------------------------------------------

Ghost Push ကလဲ user ေတြ သူ႔ကို ဖ်က္လို႔မရေအာင္ "chattr +I" နဲ႔ ကာကြယ္ထားတယ္။


၃။ ဗိုင္းရပ္စ္ က ဘာေတြ လုပ္သလဲ
------------------------------------

(၃-က) ေၾကာ္ျငာမ်ား ဆြဲခ်ျပျခင္း
---------------------------------


ဖုန္းသံုးတဲ့သူက အင္တာနက္ ဖြင့္လိုက္တာနဲ႔ ဗိုင္းရပ္စ္ ဖို္င္ေတြက ေၾကာ္ျငာေတြကို download ဆြဲခ်ၿပီး ဇြတ္ျပတယ္။ သူက wifi connection ကို ပိတ္ပစ္ၿပီး ဖုန္းရဲ့ data ကို သံုးတယ္။


(၃-ခ) Application မ်ား install လုပ္ျခင္း
----------------------------------------

http://m.AEDXDRCB.COM/gcview/api/910 ကေန MonkeyTest နဲ႔ TimeService ကို download ခ်၊ install လုပ္ယူတယ္။ ဒီလို ေၾကာ္ျငာေတြ push လုပ္တာ၊ apk ေတြ push လုပ္တာေတြအတြက္ Ghost Push ဟာ SQLite Database ကို သံုးတာ ေတြ႔ရတယ္။


(၃-ဂ) Booster ကုိ သံုးျခင္း

-----------------------------

Application ေတြကို download ခ်ႏိုင္ဖို႔၊ install လုပ္ႏိုင္ဖို႔အတြက္ Accessibility ထဲက Booster ကို ဖြင့္ခိုင္းတတ္ပါတယ္။






(၄) ဗိုင္းရပ္စ္ ျပႆနာ ေျဖရွင္းနည္း
-------------------------------------

(၄-က) StubbornTrjKiller

Google Play မွာ ဒီဗိုင္းရပ္စ္ကို သတ္တဲ့ APK ကို ေအာက္က Link မွာ download ခ်ၿပီး သံုးႏိုင္ပါတယ္။
https://play.google.com/store/apps/details…

(၄-ခ) ကိုယ္တိုင္ သတ္နည္း

ဖုန္းဟာ Root လုပ္ၿပီး ျဖစ္ရပါမယ္။ Busybox install လုပ္ၿပီး ျဖစ္ရပါမယ္။

ဖုန္းကို ကြန္ပ်ဴတာနဲ႔ ခ်ိတ္ပါ။ adb shell ကေန "su" command ကို သံုးၿပီး root permission ယူပါ။
-----------------------------------------------------------

adb shell မွာ ေအာက္က command ေတြကို ရိုက္ထည့္ပါ။
------------------------------------------------------------

ps | grep .base ‪#‎get‬ the pid of file .base
kill pid
---------------------

Bin ဖိုင္ကို ဖယ္ရွားဖို႔
---------------------
mount -o remount rw /system ‪#‎different‬ system may use different command
chattr –ia /system/xbin/.ext.base
chattr –ia /system/xbin/.bat.base
chattr –ia /system/xbin/.zip.base
chattr –ia /system/xbin/.word.base
chattr –ia /system/xbin/.look.base
chattr –ia /system/xbin/.like.base
chattr –ia /system/xbin/.view.base
chattr –ia /system/xbin/.must.base
chattr –ia /system/xbin/.team.base
chattr –ia /system/xbin/.type.base
chattr –ia /system/xbin/.b
chattr –ia /system/xbin/.sys.apk
chattr –ia /system/xbin/.df
chattr –ia /system/bin/daemonuis
chattr –ia /system/bin/uis
chattr –ia /system/bin/debuggerd
chattr –ia /system/bin/nis
chattr –ia /system/bin/daemonnis
chattr –ia /system/bin/.daemon/nis
chattr –ia /system/bin/uis
chattr –ia /system/bin/.sr/nis
chattr –ia /system/bin/mis
chattr –ia /system/bin/daemonmis
chattr –ia /system/bin/.daemon/mis
chattr –ia /system/bin/.sc/mis
rm /system/xbin/.ext.base
rm /system/xbin/.bat.base
rm /system/xbin/.zip.base
rm /system/xbin/.word.base
rm /system/xbin/.look.base
rm /system/xbin/.like.base
rm /system/xbin/.view.base
rm /system/xbin/.must.base
rm /system/xbin/.team.base
rm /system/xbin/.type.base
rm /system/xbin/.b
rm /system/xbin/.sys.apk
rm /system/xbin/.df
rm /system/bin/daemonuis
rm /system/bin/uis
rm /system/bin/debuggerd
rm /system/bin/nis
rm /system/bin/daemonnis
rm /system/bin/.daemon/nis
rm /system/bin/uis
rm /system/bin/.sr/nis
rm /system/bin/mis
rm /system/bin/daemonmis
rm /system/bin/.daemon/mis
rm /system/bin/.sc/mis
cp /system/bin/debuggerd_test /system/bin/debuggerd
------------------
ဒါနဲ႔မွ မရေသးရင္
------------------
chattr –ia /system/priv-app/cameraupdate.apk
chattr –ia /system/priv-app/com.android.wp.net.log.apk
rm -rf /data/data/com.android.camera.update
rm -rf /data/data/com.android.wp.net.log
rm /systam/priv-app/cameraupdate.apk
rm /systam/priv-app/com.android.wp.net.log.apk
adb shell
cp /system/etc/install-revcovery.sh /sdcard/
adb pull /sdcard/install-revcovery.sh
adb push install-revcovery.sh /sdcard/
cp /sdcard/install-revcovery.sh /system/etc/
open /system/etc/install-recovery.sh,remove code below.
/system/bin/daemonuis --auto-daemon &
#!/system/bin/sh
/system/xbin/.ext.base &
#!/system/bin/sh
/system/xbin/.ext.base &
====================

(၄-ဂ) လံုၿခံဳေရး အႀကံျပဳခ်က္

Ghost Push ဗိုင္းရပ္စ္ ဟာ ေၾကာ္ျငာ SDK ေတြ၊ browser ေၾကာ္ျငာေတြ ကေန ကူးစက္တတ္ပါတယ္။ နံမယ္ႀကီး Application ပံုစံအေနနဲ႔လဲ ဟန္ေဆာင္ၿပီး လာတတ္ပါတယ္။ ဒီဗုိင္းရပ္စ္ရဲ့ source ကို ေလ့လာၾကည့္တဲ့အခါ တရုတ္ကုမၸဏီ Xinyinhe ကလာတာကို ေတြ႔ရပါတယ္။ Key ROOT master နဲ႔ အဆက္အစပ္ ရွိႏိုင္ပါတယ္။

http://www.ngemob.com နဲ႔ http://root.ngemob.com ကို Xinyinhe က ပိုင္ဆိုင္ပါတယ္။
Key Root Master http://www.dashi.com/ က http://www.ngemob.com ရဲ့ IP address နဲ႔ အတူတူပါပဲ။

ဆက္စပ္စဥ္းစားႏိုင္ဖို႔ ျဖစ္ပါတယ္။

=====================

ေနာက္ဆက္တြဲ(၁)
--------------------
ဗိုင္းရပ္စ္ ကူစက္ထားေသာ Application မ်ား
--------------------------------------------

WiFi Enhancer
TimeService
Indian Sexy Stories 2
Assistive Touch
Accurate Compass
All-star Fruit Slash
Happy Fishing
MonkeyTest
PinkyGirls
XVideo Codec Pack
Amazon/应用中心
Hubii News
itouch
Light Browser
XVideo
Memory Booster
WordLock
Fast Booster
Talking Tom 3
Photo Clean
Super Mario
SmartFolder
Simple Flashlight
Daily Racing
SettingService
boom pig
WhatsWifi
Hot Video
Lemon Browser
Multifunction Flashlight
小白点/Assistive Touch
Hot Girls
Sex Cademy
iVideo
Fruit Slots
Wifi Speeder
WiFi FTP
Ice Browser
PronClub
======================

Ref: CheetahMobile


Ref:www.kyawzinhein.net

No comments:

Post a Comment