Специалисты Group-IB обнаружили вирус FANTA, нацеленный на пользователей сервисов, где требуется указывать платёжные данные, например, Avito. Ущерб от него за несколько месяцев составил не менее 35 миллионов рублей.
FANTA распространяется по относительно новой схеме: пользователь, разместивший объявление на Avito, получает SMS-сообщение о переводе денег за товар, а детали платежа предлагается посмотреть по ссылке. Если от откроет эту ссылку, то увидит сайт, похожий на Avito, причём на странице будет именно его товар. По нажатию на кнопку для получения денег на его Android-смартфон скачивается установочный APK-файл FANTA, замаскированный под обновлённое приложение Avito.
Помимо Avito, FANTA также нацелен на пользователей других сервисов, в том числе AliExpess, Pandao, «Юла», Aviasales и служб каршеринга и такси. Вирус выводит на экран Android-смартфона поддельное уведомление о системном сбое и запрашивает права на использование AccessibilityService, препятствует работе приложений, которые защищают смартфон от вредоносной активности и умеет считывать SMS-сообщения.
FANTA анализирует, какие приложения установлены на смартфоне и при запуске некоторых открывает окно для ввода данных банковской карты. Эти данные передаются злоумышленникам. Вирус в основном интересуют приложения банков, электронных кошельков и платёжных систем.
iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
У нас есть подкаст и его видео-версия