Новая кампания Android-троянца FANTA
Компания Group-IB зафиксировала новую атаку Android-троянца FANTA, нацеленную на клиентов 70 банков, платежных систем, web-кошельков в России и странах СНГ.
Новая кампания использует качественные фишинговые страницы, имитирующие интернет-сервис Avito, и нацелена на пользователей, размещающих на нем объявления о купле-продаже. Схема работает так: спустя некоторое время после публикации продавец получает именное SMS о «переводе» на его счет необходимой суммы – полной стоимости товара. Детали платежа ему предлагается посмотреть по ссылке.
Когда продавец кликает на ссылку, открывается фишинговая страница, подделанная под реальную страницу Avito, уведомляющая продавца о совершении покупки и содержащая описание его товара и суммы, полученной от «продажи». После клика на кнопку «Продолжить» на телефон пользователя загружается APK FANTA, замаскированный под приложение Avito. Такая маскировка усыпляет бдительность пользователя, и он устанавливает вредоносное приложение. Получение данных банковских карт происходит стандартным для Android-троянцев образом: пользователю демонстрируются фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, куда жертва сама вводит данные своей банковской карты.
Нынешняя кампания нацелена на русскоязычных пользователей, большая часть зараженных устройств находится в России, небольшое количество зафиксировано на Украине, а также в Казахстане и Беларуси. FANTA анализирует, какие приложения запускаются на зараженном устройстве. При открытии целевого приложения троянец демонстрирует фишинговое окно поверх всех остальных, которое представляет собой форму для ввода информации о банковской карте. Пользователю необходимо ввести следующие данные: номер карты, срок действия карты, CVV, имя держателя карты (не для всех банков).
При исследовании троянца было обнаружено, что кроме демонстрации заранее заготовленных фишинговых страниц Fanta также читает текст уведомлений около 70 приложений банков, систем быстрых платежей и электронных кошельков.
Проанализированные специалистами Group-IB Threat Hunting Intelligence фишинговые страницы под интернет-сервис Avito указывают на то, что они готовились целенаправленно под конкретную жертву. Помимо Avito, разработчики FANTA нацелены на пользователей порядка 30 различных сервисов, включая AliExpress, Юла, Pandao, Aviasales, Booking, Trivago, а также такси и каршеринговых служб и тд.
FANTA работает на всех версиях Android не ниже 4.4. Как и другие Android-троянцы, он способен читать и отправлять SMS, совершать USSD-запросы, демонстрировать собственные окна поверх приложений. Однако в новой кампании мобильный троянец начал использовать AccessibilityService (сервис для людей с ограниченными возможностями), что позволяет ему читать содержимое уведомлений других приложений, предотвращать обнаружение и остановку исполнения трояна на зараженном устройстве.
Троянец «проверяет» тип устройства, после чего выводит на экран смартфона пользователя сообщение якобы о системном сбое. После этого пользователю демонстрируется окно «Безопасность системы» – запрос предоставления прав для использования AccessibilityService. После получения прав приложение уже без посторонней помощи получает права и на другие действия в системе, эмулируя нажатия клавиш пользователя.
В FANTA также имеется функция обхода на Android-смартфоне антивирусных средств. Так, троянец препятствует запуску пользователем приложений Clean, Meizu Applicatiom Permission Management, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Mobile AntiVirus Security PRO, AVG Protection для Xperia, Samsung Smart Manager, Dr.Web Mobile Control Center, Dr.Web Security Space Life, Kaspersky Internet Security и др.
По данным Group-IB, только с января 2019 г. потенциальный ущерб от FANTA в России составил не менее 35 млн руб.