Компания Group-IB, специализирующаяся на предотвращении кибератак, зафиксировала новую кампанию Android-трояна FANTA. Она нацелена на пользователей около 30 различных интернет-сервисов.
Новая кампания использует качественные фишинговые страницы, маскирующиеся под популярный интернет-сервис по купле-продаже. Жертва вскоре после публикации объявления получает именное СМС о «переводе» на его счёт необходимой суммы (полной стоимости товара), но для получения деталей пользователю предлагают перейти по ссылке.
На фишинговой странице ему сообщают о совершении покупки и демонстрируют описание его товара и полученной суммы. Если юзер кликнет на кнопку «Продолжить», то на его телефон загружается вредоносный APK FANTA, замаскированный под приложение интернет-сервиса.
Троян способен анализировать, какие приложения запускаются на заражённом устройстве, и демонстрировать жертве фишинговое окно поверх всех остальных. Через него злоумышленники и получают банковские данные, которые юзеры вводят самостоятельно, включая номер карты, срок действия, CVV, имя держателя (не для всех банков).
Текущая кампания нацелена на русскоязычных пользователей: большая часть заражённых устройств находится в России, небольшое количество — на Украине, в Казахстане и Белоруссии. Только с начала 2019 года потенциальный ущерб от FANTA в России составил не менее 35 млн руб.
Троян помимо прочего также читает текст уведомлений около 70 приложений банков, систем быстрых платежей и электронных кошельков. Более того, проанализированные фишинговые страницы указывают на то, что они готовились целенаправленно под конкретную жертву. FANTA угрожает пользователям около трёх десятков ресурсов, среди которых Avito, AliExpress, «Юла», Aviasales, Booking, Trivago, а также такси и каршеринговые службы.
Ранее News.ru сообщил, что русскоязычная группировка Silence совершила хищения на сумму не менее 272 млн рублей в период с июня 2016 года по июнь 2019 года. За время деятельности киберпреступников их география расширилась до более чем 30 стран Европы, Азии и СНГ.
