Det har blitt kjent om den økende aktiviteten til FANTA Trojan, som angriper eiere av Android-enheter ved hjelp av forskjellige Internett-tjenester, inkludert Avito, AliExpress og Yula.
Dette ble rapportert av representanter for Group IB, som er engasjert i forskning innen informasjonssikkerhet. Eksperter har spilt inn en annen kampanje ved hjelp av FANTA Trojan, som brukes til å angripe kunder til 70 banker, betalingssystemer og nettlommebøker. Først av alt er kampanjen rettet mot brukere som bor i Russland og noen CIS-land. I tillegg er trojaneren rettet mot folk som legger ut kjøps- og salgsannonser på den populære Avito-plattformen. Ifølge eksperter er den potensielle skaden fra FANTA-trojaneren for russere bare i år rundt 35 millioner rubler.
Group IB-forskere fant at i tillegg til Avito, retter Android-trojaneren seg mot brukere av dusinvis av populære tjenester, inkludert Yula, AliExpress, Trivago, Pandao, etc. Svindelordningen innebærer bruk av phishing-sider som er forkledd av angripere som ekte nettsteder.
Etter at annonsen er publisert, mottar offeret en SMS-melding som indikerer at hele kostnaden for varene vil bli overført. For å se detaljene, følg lenken vedlagt meldingen. Til syvende og sist havner offeret på en phishing-side, som ikke ser annerledes ut enn Avito-sidene. Etter å ha sett på dataene og klikket på "Fortsett"-knappen, lastes en ondsinnet APK FANTA ned til brukerens enhet, som er maskert som Avito-mobilapplikasjonen.
Deretter bestemmer trojaneren typen enhet og viser en melding på skjermen som indikerer at det har oppstått en systemfeil. Systemsikkerhet-vinduet vises, og ber brukeren om å tillate applikasjonen å få tilgang til AccessibilityService. Etter å ha mottatt denne tillatelsen, får trojaneren, uten hjelp utenfra, rettighetene til å utføre andre handlinger i systemet, og simulerer tastetrykk for å gjøre dette.
Eksperter bemerker at utviklerne av trojaneren ga spesiell oppmerksomhet til å integrere verktøy som lar FANTA omgå antivirusløsninger for Android. Når den er installert, hindrer trojaneren brukeren fra å starte programmer som Clean, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Dr.Web Mobile Control, etc.
Kilde: 3dnews.ru