Россиян на Avito атаковал Android-троян — он уже украл миллионы рублей

По подсчетам Group-IB, всего с начала 2019 года потенциальный ущерб от трояна составил не менее 35 млн рублей.

Троян нацелен на тех, кто размещает объявления на Avito, «Юле», AliExpress или Pandao, пользуется сервисами по бронированию билетов и отелей Aviasales, Booking и Trivago, а также службами каршеринга и такси.

Всего, по данным Group-IB, под угрозу попали порядка 30 интернет-ресурсов.

Схему работы трояна эксперты объяснили на примере Avito:

• Человек размещает объявление и спустя некоторое время получает СМС о переводе на его счет полной стоимости товара. Детали перевода ему предлагается посмотреть по ссылке.
• Он переходит по ссылке и попадает на фишинговую страницу, которая выглядит, как настоящий сайт Avito. На этой странице отображаются детали покупки (описание товара и цена) и кнопка «Продолжить».
• Если пользователь нажмет на нее, он загрузит вредоносный файл Fanta, замаскированный под приложение Avito. Оказавшись в телефоне, Fanta анализирует, какие приложения запускает пользователь.
• В слудующий раз, когда пользователю нужно будет ввести банковские данные, троян откроет фишинговое окно с формой для ввода информации по карте.

Для предотвращения таких угроз эксперты Group-IB советуют пользователям Android регулярно устанавливать обновления, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы, а также не устанавливать приложения из неофициальных источников.