حمله Fanta از راه سرویس Avito

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان شرکت امنیتی گروه آی‌بی (Group-IB) فعالیت جدیدی از تروجان اندروید Fanta شناسایی کرده‌اند که مشتریان ۷۰ بانک، سیستم‌های پرداخت و کیف پول وب (Web Wallet) در روسیه و کشورهای مستقل هم‌سود را مورد تهاجم قرار می‌دهد. این تروجان برای به دست آوردن اطلاعات بانکی و سرقت وجه، روی کاربرانی متمرکز می‌شود که آگهی معاملات خریدوفروش در سرویس Avito درج می‌کنند. نحوه عملکرد این تروجان در تصویر زیر نمایان است:


Fanta یکی از گونه‌های بدافزار Flexnet است که از سال ۲۰۱۵ برای کارشناسان کاملاً شناخته‌شده بوده و در حال‌ توسعه است. مهاجمان از صفحات باکیفیت فیشینگ که پشت نقاب Avito مخفی می‌شوند، استفاده کرده و کاربرانی را که آگهی خریدوفروش ثبت می‌کنند، موردتهاجم قرار می‌دهند. فروشنده مدتی پس از انتشار آگهی، یک پیامک شخصی در خصوص انتقال هزینه کامل کالا به حساب خود دریافت می‌کند و به وی پیشنهاد می‌شود جزییات پرداخت بر اساس یک لینک مشاهده شود. فروشنده روی لینک کلیک کرده و وارد صفحه جعلی فیشینگ Avito می‌شود که در آنجا تکمیل فرایند خرید و اطلاعات کالا و مبلغ دریافتی به وی اطلاع‌رسانی می‌شود. پس از کلیک روی «ادامه»، فرمت مخرب APK تروجان Fanta در قالب برنامه Avito در تلفن همراه کاربر اجرا می‌شود.

Fanta برای دریافت اطلاعات کارت ‌بانکی طبق روش معمول تروجان‌های بانکی عمل می‌کند، بدین‌صورت که صفحات فیشینگ به‌صورت برنامه‌های همراه‌بانک برای کاربر به نمایش درمی‌آیند که در آن کاربر اطلاعات کارت بانکی خود را ثبت می‌کند. این تروجان علاوه‌بر نمایش صفحات فیشینگ از پیش آماده‌شده، متن اعلان حدود ۷۰ برنامه بانکی، سیستم پرداخت سریع و کیف پول الکترونیک را نیز می‌خواند.

توسعه‌دهندگان Fanta علاوه‌بر Avito روی برنامه‌های AliExpress ،Pandao ،Aviasales ،Booking ،Trivago و خدمات به‌اشتراک‌گذاری ماشین (car sharing) نیز متمرکزشده‌اند.

به گزارش کارشناسان شرکت گروه آی‌بی، میزان خسارت وارده از طریق این تروجان در روسیه از اوایل سال ۲۰۱۹ تاکنون بیش از ۵۴۳ هزار دلار بوده و بیشترین قربانیان آن به ترتیب کاربران روسیه، اوکراین، قزاقستان و بلاروس هستند.