Je známo o rostoucí aktivitě trojského koně FANTA, který útočí na majitele zařízení Android využívajících různé internetové služby, včetně Avito, AliExpress a Yula.
Informovali o tom zástupci skupiny IB, kteří se zabývají výzkumem v oblasti informační bezpečnosti. Odborníci zaznamenali další kampaň využívající trojského koně FANTA, kterým útočí na klienty 70 bank, platebních systémů a webových peněženek. V první řadě je kampaň namířena proti uživatelům žijícím v Rusku a některých zemích SNS. Kromě toho je Trojan zaměřen na lidi, kteří zveřejňují reklamy na nákup a prodej na populární platformě Avito. Podle odborníků je jen letos potenciální škoda způsobená trojským koněm FANTA pro Rusy asi 35 milionů rublů.
Výzkumníci Group IB zjistili, že kromě Avita se trojský kůň Android zaměřuje na uživatele desítek populárních služeb, včetně Yula, AliExpress, Trivago, Pandao atd. Schéma podvodu zahrnuje použití phishingových stránek, které útočníci maskují jako skutečné webové stránky.
Po zveřejnění inzerátu obdrží oběť SMS zprávu, že bude převedena plná cena zboží. Chcete-li zobrazit podrobnosti, klikněte na odkaz připojený ke zprávě. Oběť nakonec skončí na phishingové stránce, která se neliší od stránek Avito. Po zobrazení dat a kliknutí na tlačítko „Pokračovat“ se do zařízení uživatele stáhne škodlivý APK FANTA maskovaný jako mobilní aplikace Avito.
Dále trojský kůň určí typ zařízení a na obrazovce zobrazí zprávu, že došlo k selhání systému. Poté se zobrazí okno Zabezpečení systému, které uživatele vyzve, aby povolil aplikaci přístup ke službě AccessibilityService. Po obdržení tohoto povolení získává trojský kůň bez cizí pomoci práva k provádění dalších akcí v systému, přičemž k tomu simuluje stisky kláves.
Odborníci poznamenávají, že vývojáři trojského koně věnovali zvláštní pozornost integraci nástrojů, které FANTA umožňují obejít antivirová řešení pro Android. Po instalaci trojský kůň zabrání uživateli spouštět aplikace jako Clean, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Dr.Web Mobile Control atd.
Zdroj: 3dnews.ru