Stało się wiadomo o rosnącej aktywności trojana FANTA, który atakuje właścicieli urządzeń z systemem Android korzystających z różnych serwisów internetowych, m.in. Avito, AliExpress i Yula.
Zgłosili to przedstawiciele Grupy IB, którzy zajmują się badaniami z zakresu bezpieczeństwa informacji. Eksperci odnotowali kolejną kampanię z wykorzystaniem trojana FANTA, który służy do atakowania klientów 70 banków, systemów płatności i portfeli internetowych. W pierwszej kolejności kampania skierowana jest do użytkowników mieszkających w Rosji i niektórych krajach WNP. Ponadto celem trojana są osoby zamieszczające ogłoszenia kupna i sprzedaży na popularnej platformie Avito. Zdaniem ekspertów, tylko w tym roku potencjalne szkody dla Rosjan spowodowane przez trojana FANTA wynoszą około 35 milionów rubli.
Badacze z grupy IB odkryli, że oprócz Avito trojan dla Androida atakuje użytkowników kilkudziesięciu popularnych usług, w tym Yula, AliExpress, Trivago, Pandao itp. Oszustwo polega na wykorzystaniu stron phishingowych, które atakujący udają prawdziwe witryny internetowe.
Po opublikowaniu ogłoszenia ofiara otrzymuje wiadomość SMS z informacją o przeniesieniu pełnego kosztu towaru. Aby zapoznać się ze szczegółami należy skorzystać z linku dołączonego do wiadomości. Ostatecznie ofiara trafia na stronę phishingową, która nie różni się niczym od stron Avito. Po przejrzeniu danych i kliknięciu przycisku „Kontynuuj” na urządzenie użytkownika pobierana jest złośliwa aplikacja APK FANTA, udająca aplikację mobilną Avito.
Następnie trojan określa typ urządzenia i wyświetla na ekranie komunikat wskazujący, że wystąpiła awaria systemu. Następnie zostanie wyświetlone okno Zabezpieczenia systemu z monitem o zezwolenie aplikacji na dostęp do usługi dostępności. Po otrzymaniu tego pozwolenia trojan bez pomocy z zewnątrz zyskuje uprawnienia do wykonywania innych działań w systemie, symulując w tym celu naciśnięcia klawiszy.
Eksperci zauważają, że twórcy trojana zwrócili szczególną uwagę na integrację narzędzi, które pozwalają FANTA ominąć rozwiązania antywirusowe dla systemu Android. Po zainstalowaniu trojan uniemożliwia użytkownikowi uruchomienie aplikacji takich jak Clean, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Dr.Web Mobile Control itp.
Źródło: 3dnews.ru