Большинство жертв вируса — россияне. Чуть меньше пострадавших в Украине, Казахстане и Беларуси. Вирус заражает устройства под управлением ОС Android. Злоумышленникам удается получать доступ к платежным данным пользователей из-за банальной невнимательности.
Схема работает следующим образом. Пользователь, разместивший на Avito объявление о продаже, спустя несколько дней получает SMS-сообщение, которое оповещает его, что нашелся покупатель на его товар. Чтобы завершить куплю-продажу, пользователю предлагается перейти по ссылке в сообщении.
Продавец кликает на ссылку и попадает на фишинговую страницу, где под уведомлением о продаже товара находится кнопка «Продолжить». После нажатия на эту кнопку на устройство пользователя загружается вирус APK FANTA, который «притворяется» приложением Avito. Установка этого приложения дает возможность создателям трояна получать данные платежных карт жертвы, которые та сама вводит в соответствующие поля.
Все фишинговые страницы содержат личные данные пользователя, то есть готовятся под каждую жертву отдельно. Пользователи Avito стали основными жертвами интернет-мошенничества, однако только ими создатели вируса не ограничиваются. Замечена их активность и на других торговых площадках: AliExpress, Юла, Pandao, Aviasales, Booking, Trivago.
Сообщается, что только с января 2019 года таким образом с банковских счетов пользователей Avito было украдено 35 миллионов рублей.
