Компания Group-IB зафиксировала нового Android-трояна Fanta, который атакует клиентов 70 банков, платежных систем и web-кошельков в России. Вирус нацелен на пользователей портала Avito и с начала 2019 года потенциальный ущерб от него в России составил не менее 35 млн рублей.
Схема работает следующим образом: пользователю, который разместил объявление о продаже, приходит СМС с сообщением о переводе на указанную в объявлении сумму. В сообщении предлагается перейти по ссылке для просмотра деталей платежа. При переходе открывается фишинговая страница, очень похожая на реальную страницу Avito, которая якобы уведомляет о совершении покупки, содержит описание его товара и сумму. После нажатия кнопки "Продолжить" на телефон пользователя загружается вредоносный файл, также очень похожий на сайт объявлений.
Ничего не подозревающие пользователи устанавливает вирусное приложение. "Получение данных банковских карт осуществляется стандартным для Android-троянов образом: пользователю демонстрируются фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, куда жертва сама вводит данные своей банковской карты", — рассказали в Group-IB.
Образец рассылаемых на телефоны пользователей Avito сообщений.
Кроме этого, Fanta "читает" уведомления порядка 70 приложений банков, систем быстрых платежей и электронных кошельков. Троян также нацелен на пользователей 30 различных интернет-сервисов, в частности AliExpress, "Юла", Pandao, Aviasales, Booking, Trivago, а также каршеринговых служб и такси. При этом создатели Fanta смогли обойти множество антивирусных средств для Android.
"Мы рекомендуем пользователям регулярно устанавливать обновления ОС Android, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы, а также не устанавливать приложения из неофициальных источников. Что касается банков и вендоров мобильных приложений, на которые нацелено это семейство Android-троянов, мы можем порекомендовать использование систем для проактивного предотвращения банковского мошенничества на всех устройствах (смартфон, планшет, ноутбук, ПК) через любые каналы взаимодействия с банком (мобильное приложение, онлайн-банкинг и др.)", - прокомментировал Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB.