چاپ

نسیم گیلان -
حمله Fanta از راه سرویس Avito 2
٠
٠
افتانا / کارشناسان امنیتی تروجانی به نام Fanta شناسایی کرده‌اند که مشتریان بانکی را از طریق سرویس Avito مورد تهاجم قرار می‌دهد.
کارشناسان شرکت امنیتی گروه آی‌بی (Group-IB) فعالیت جدیدی از تروجان اندروید Fanta شناسایی کرده‌اند که مشتریان 70 بانک، سیستم‌های پرداخت و کیف پول وب (Web Wallet) در روسیه و کشورهای مستقل هم‌سود را مورد تهاجم قرار می‌دهد. این تروجان برای به دست آوردن اطلاعات بانکی و سرقت وجه، روی کاربرانی متمرکز می‌شود که آگهی معاملات خریدوفروش در سرویس Avito درج می‌کنند. نحوه عملکرد این تروجان در تصویر زیر نمایان است:
Fanta یکی از گونه‌های بدافزار Flexnet است که از سال 2015 برای کارشناسان کاملاً شناخته‌شده بوده و در حال‌ توسعه است. مهاجمان از صفحات باکیفیت فیشینگ که پشت نقاب Avito مخفی می‌شوند، استفاده کرده و کاربرانی را که آگهی خریدوفروش ثبت می‌کنند، موردتهاجم قرار می‌دهند. فروشنده مدتی پس از انتشار آگهی، یک پیامک شخصی در خصوص انتقال هزینه کامل کالا به حساب خود دریافت می‌کند و به وی پیشنهاد می‌شود جزییات پرداخت بر اساس یک لینک مشاهده شود. فروشنده روی لینک کلیک کرده و وارد صفحه جعلی فیشینگ Avito می‌شود که در آنجا تکمیل فرایند خرید و اطلاعات کالا و مبلغ دریافتی به وی اطلاع‌رسانی می‌شود. پس از کلیک روی «ادامه»، فرمت مخرب APK تروجان Fanta در قالب برنامه Avito در تلفن همراه کاربر اجرا می‌شود.
Fanta برای دریافت اطلاعات کارت ‌بانکی طبق روش معمول تروجان‌های بانکی عمل می‌کند، بدین‌صورت که صفحات فیشینگ به‌صورت برنامه‌های همراه‌بانک برای کاربر به نمایش درمی‌آیند که در آن کاربر اطلاعات کارت بانکی خود را ثبت می‌کند. این تروجان علاوه‌بر نمایش صفحات فیشینگ از پیش آماده‌شده، متن اعلان حدود 70 برنامه بانکی، سیستم پرداخت سریع و کیف پول الکترونیک را نیز می‌خواند.
توسعه‌دهندگان Fanta علاوه‌بر Avito روی برنامه‌های AliExpress ،Pandao ،Aviasales ،Booking ،Trivago و خدمات به‌اشتراک‌گذاری ماشین (car sharing) نیز متمرکزشده‌اند.
به گزارش کارشناسان شرکت گروه آی‌بی، میزان خسارت وارده از طریق این تروجان در روسیه از اوایل سال 2019 تاکنون بیش از 543 هزار دلار بوده و بیشترین قربانیان آن به ترتیب کاربران روسیه، اوکراین، قزاقستان و بلاروس هستند.