Рубрикатор |
Все новости | Новости отрасли |
Android-троян FANTA «заработал» десятки миллионов рублей на российских пользователях
18 сентября 2019 |
Group-IB зафиксировала новую кампанию Android-трояна FANTA, атакующего клиентов 70 банков, платежных систем, web-кошельков в России и странах СНГ. Троян нацелен на пользователей, размещающих объявления о купле-продаже на популярном интернет-сервисе Avito. Только с начала 2019 года потенциальный ущерб от FANTA в России составил не менее 35 млн руб.
Несмотря на то, что различные вариации Android-троянов семейства Flexnet известны уже более 4 лет, с 2015 года, и подробно изучены, сам троян и связанная с ним инфраструктура постоянно развиваются: злоумышленники разрабатывают новые эффективные схемы распространения, добавляют новые функциональные возможности, позволяющие эффективнее воровать деньги с зараженных устройств и обходить средства защиты.Довольный продавец кликает на ссылку: открывается фишинговая страница, подделанная под реальную страницу Avito, уведомляющая продавца о совершении покупки и содержащая описание его товара и суммы, полученной от “продажи” товара. После клика на кнопку «Продолжить» на телефон пользователя загружается вредоносный APK FANTA, замаскированный под приложение Avito. Такая маскировка усыпляет бдительность пользователя и он устанавливает вредоносное приложение. Получение данных банковских карт осуществляется стандартным для Android-троянов образом: пользователю демонстрируются фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, куда жертва сама вводит данные своей банковской карты.
FANTA анализирует, какие приложения запускаются на зараженном устройстве. При открытии целевого приложение — троян демонстрирует фишинговое окно поверх всех остальных, которое представляет собой форму для ввода информации о банковской карте. Пользователю необходимо ввести следующие данные: номер карты, срок действия карты, CVV, имя держателя карты (не для всех банков).
Исследуя троян, исследователи обнаружили, что кроме демонстрации заранее заготовленных фишинговых страниц, Fanta также читает текст уведомлений около 70 приложений банков, систем быстрых платежей и электронных кошельков.
Проанализированные специалистами Group-IB Threat Hunting Intelligence фишинговые страницы под Интернет-сервис для размещения объявлений Avito, указывают на то, что они готовились целенаправленно под конкретную жертву.
При исследовании трояна обнаружено, что помимо Avito, разработчики FANTA нацелены на пользователей порядка 30 различных Интернет-сервисов, включая AliExpress, Юла, Pandao, Aviasales, Booking, Trivago, а также такси и каршеринговых служб и тд.
FANTA работает на всех версиях Android не ниже 4.4. Как и другие андроид-трояны, FANTA способна читать и отправлять SMS, совершать USSD-запросы, демонстрировать собственные окна поверх приложений. Однако в новой кампании мобильный троян начал использовать AccessibilityService (сервис для людей с ограниченными возможностями), что позволяет ему читать содержимое уведомлений других приложений, предотвращать обнаружение и остановку исполнения трояна на зараженном устройстве.
Троян «проверяет» тип устройства, после чего выводит на экран смартфона пользователя сообщение якобы о системном сбое. После этого пользователю демонстрируется окно «Безопасность системы» — запрос предоставление прав для использования AccessibilityService. После получения прав приложение уже без посторонней помощи получает права и на другие действия в системе, эмулируя нажатия клавиш пользователя.
Важной функцией FANTA, которой создатели уделили особое внимание, является обход на Android-смартфоне антивирусных средств. Так троян препятствует запуску пользователем приложений: Clean, Meizu Applicatiom Permission Management, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Mobile AntiVirus Security PRO, AVG Protection для Xperia, Samsung Smart Manager, Dr.Web Mobile Control Center, Dr.Web Security Space Life, Kaspersky Internet Security и другие.
«Поводом для этого исследования послужил реальный кейс: специалист по информационной безопасности, опубликовавший объявление на Avito, получил подозрительное СМС. Он сразу переслал его команде Group-IB Threat Hunting Intelligence, которая в ходе исследования выявила новую масштабную кампанию Android-трояна FANTA, — рассказал Рустам Миркасымов, Руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Однако далеко не все истории заканчиваются так удачно, поэтому мы рекомендуем пользователям регулярно устанавливать обновления ОС Android, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы, а также не устанавливать приложения из неофициальных источников. Что касается банков и вендоров мобильных приложений, на которые нацелено это семейство Android-троянов, мы можем порекомендовать использование систем для проактивного предотвращения банковского мошенничества на всех устройствах (смартфон, планшет, ноутбук, ПК) через любые каналы взаимодействия с банком (мобильное приложение, онлайн-банкинг и др)».
Читайте также:
Названы основные киберугрозы 2023 года
Обнаружены новые партнерские программы мошенников с розыгрышами и криптоинвестициями
Число мошеннических сайтов на российском хостинге сократилось в два раза
Новая группа вымогателей предлагает инсайдерам $1 млн за компромат на руководство
Киберпреступники в 11 раз чаще стали использовать подмененные буквы во вредоносных письмах
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.