Жертвами атаки стали клиенты банков, платежных систем, веб-кошельков в России и СНГ, обнаружили эксперты компании Group-IB.
Компания Group-IB предупредила об активизации Аndroid-трояна Fanta, который нацелен на пользователей, размещающих объявления о купле-продаже на интернет-сервисе Avito. Его жертвами уже стали клиенты 70 банков, платежных систем, web-кошельков в России и СНГ.
Эксперты отмечают, что с начала 2019 года потенциальный ущерб от Fanta в России составил не менее 35 млн руб. Принцип работы распространения вируса таков: спустя некоторое время после публикации объявления на площадке продавец получал СМС-сообщение о «переводе» на его счет необходимой суммы — полной стоимости товара. По ссылке ему предлагалось посмотреть детали платежа. После того, как продавец кликал на ссылку, открывалась фишинговая страница, подделанная под реальную страницу Avito. Она уведомляла продавца о совершении покупки и содержала описание его товара и суммы, полученной от «продажи» товара. Затем после клика на кнопку «продолжить» на телефоне пользователя загружался вредоносный код, в формате архивных исполняемых файлов-приложений для Android, замаскированный под приложение Avito.
Как отметили эксперты, такая маскировка усыпляет бдительность пользователя, в результате чего жертва устанавливала вредоносное приложение. Банковские данные пользователей передавались следующим образом: пользователю демонстрировались фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, где жертва сама вводила данные своей банковской карты.
Кроме Avito, целью создателей Fanta были десятки различных интернет-сервисов. включая «Юлу», AliExpress, Pandao, Aviasales, Booking, Trivago, такси и каршеринги.
Эксперты оветуют пользователям смартфонов на базе Android для предотвращения таких угроз регулярно устанавливать обновления ОС, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы, а также не устанавливать приложения из неофициальных источников.