Пользователи Avito потеряли не менее 35 миллионов рублей из-за вируса-трояна FANTA. Раскрыть схему удалось случайно

Клиенты 70 банков, платежных систем и web-кошельков в России, Белоруссии, Казахстане и на Украине успешно атакованы вирусом-трояном для Android, известным как FANTA. Троян нацелен на пользователей популярного интернет-сервиса купли и продажи Avito. Только в России с начала 2019 года потенциальный ущерб от FANTA составил не менее 35 миллионов рублей, сообщает 17 сентября компания Group-IB, специализирующаяся на предотвращении кибератак.

Вирус известен с 2015 года, но злоумышленники стали использовать качественные подделки под оригинальный сайт Avito. После публикации объявления продавец получает именное SMS о «переводе» на его счет полной стоимости товара. Однако детали платежа предлагается посмотреть по специальной ссылке. Счастливый продавец кликает на ссылку и попадает на фишинговую страницу, подделанную под реальную страницу Avito, уведомляющую продавца о совершении покупки с указанием суммы, полученной от «продажи». Клик на кнопку «продолжить» загружает на телефон зловред, замаскированный под приложение Avito. Далее пользователь сам вводит данные своей банковской карты в окна, маскирующиеся под легитимные мобильные банковские приложения.

Специалисты по кибербезопасности установили, что помимо демонстрации поддельных форм для ввода банковских данных, которые всплывают поверх остальных окон на смартфонах, FANTA способна читать текст уведомлений 70 реальных банков и систем быстрых платежей. При этом вирус способен полностью перехватывать управление гаджетом в режиме AccessibilityService (сервис для людей с ограниченными возможностями. – Прим. ред.).

Кроме того, создатели научили FANTA обходить антивирусы для Android. Троян препятствует запуску пользователем приложений: Clean, Meizu Applicatiom Permission Management, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Mobile AntiVirus Security PRO, AVG Protection для Xperia, Samsung Smart Manager, Dr.Web Mobile Control Center, Dr.Web Security Space Life, Kaspersky Internet Security и других. Вирус не живёт на версиях Android начиная с 4.4.

«Мы рекомендуем пользователям регулярно устанавливать обновления ОС Android, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы, а также не устанавливать приложения из неофициальных источников», – отмечает руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB Рустам Миркасымов.

В Group-IB отмечают, что узнали об атаках FANTA на пользователей Avito случайно, когда их собственный сотрудник после размещения объявления получил подозрительное SMS.

© Фонтанка.Ру