انتشار تروجان اندروید Fanta
به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیتی گروه آی بی (Group-IB) فعالیت جدیدی از تروجان اندروید Fanta شناسایی کردهاند که مشتریان 70 بانک، سیستمهای پرداخت و کیف پول وب (Web Wallet) در روسیه و کشورهای مستقل همسود را موردتهاجم قرار میدهد. این تروجان برای به دست آوردن اطلاعات بانکی و سرقت وجه، روی کاربرانی که آگهی معاملات خریدوفروش در سرویس Avito درج میکنند، متمرکز میشود. نحوه عملکرد این تروجان در تصویر زیر نمایان است:
Fanta یکی از گونههای بدافزار Flexnet است که از سال 2015 برای کارشناسان کاملاً شناختهشده بوده و درحالتوسعه است. مهاجمان از صفحات باکیفیت فیشینگ که پشت نقاب Avito مخفی میشوند، استفاده کرده و کاربرانی را که آگهی خریدوفروش ثبت میکنند، موردتهاجم قرار میدهند. فروشنده مدتی پس از انتشار آگهی، یک پیامک شخصی در خصوص انتقال هزینه کامل کالا به حساب خود دریافت میکند و به وی پیشنهاد میشود جزئیات پرداخت بر اساس یک لینک مشاهده گردد. فروشنده روی لینک کلیک کرده و وارد صفحه جعلی فیشینگ Avito میشود که در آنجا تکمیل فرایند خرید و اطلاعات کالا و مبلغ دریافتی به وی اطلاعرسانی میگردد. پس از کلیک روی «ادامه» فرمت مخرب APK تروجان Fanta در قالب برنامه Avito در تلفن همراه کاربر اجرا میشود.
Fanta جهت دریافت اطلاعات کارت بانکی طبق روش معمول تروجانهای بانکی عمل میکند، بدینصورت که صفحات فیشینگ بهصورت برنامههای همراهبانک برای کاربر به نمایش درمیآیند که در آن کاربر اطلاعات کارت بانکی خود را ثبت میکند. این تروجان علاوه بر نمایش صفحات فیشینگ از پیش آمادهشده، متن اعلان حدود 70 برنامه بانکی، سیستم پرداخت سریع و کیف پول الکترونیک را نیز میخواند. توسعهدهندگان Fanta علاوهبر Avito، روی برنامههای AliExpress ،Pandao ،Aviasales ،Booking ،Trivago و خدمات بهاشتراکگذاری ماشین (Car sharing) نیز متمرکزشدهاند. به گزارش کارشناسان شرکت گروه آی بی میزان خسارت وارده از طریق این تروجان در روسیه از اوایل سال 2019 تاکنون بیش از 543 هزار دلار بوده و بیشترین قربانیان آن به ترتیب کاربران روسیه، اوکراین، قزاقستان و بلاروس هستند.
