Зафиксирована новая атака Android-трояна Fanta на клиентов 70 банков, платежных систем, web-кошельков в России и странах СНГ, сообщает Group-IB. Троян нацелен на пользователей, размещающих объявления о купле-продаже на интернет-сервисе Avito.

Через некоторое время после публикации продавец получает именное СМС о «переводе» на его счет необходимой суммы — полной стоимости товара. Детали платежа ему предлагается посмотреть по ссылке, ведущей на фишинговую страницу, похожую на страницу интернет-сервиса. После клика на кнопку «Продолжить» на телефон пользователя загружается троян Fanta, замаскированный под приложение Avito. Данные банковских карт похищаются через фишинговые окна, маскирующиеся под приложения банков, куда их вводит сам клиент.

Fanta также читает текст уведомлений около 70 приложений банков, систем быстрых платежей и электронных кошельков. Также троян может получить права на различные действия в системе, эмулируя нажатия клавиш пользователя.

Атака нацелена на русскоязычных пользователей, большая часть зараженных устройств находится в России, небольшое количество — на Украине, а также в Казахстане и Белоруссии. С января 2019 года потенциальная сумма ущерба составляет более 35 млн рублей.

Кроме Avito, разработчики трояна нацелены на пользователей порядка 30 различных интернет-сервисов, включая AliExpress, «Юлу», Pandao, Aviasales, Booking, Trivago, а также такси и каршеринговых служб и т. д.