Схема работает так: мошенники создают поддельные объявления о продаже товара на профильных сайтах. Когда найден покупатель, и он готов оплатить товар, мошенники убеждают жертву продолжить разговор в мессенджере. В мессенджере жертве присылают ссылку на вредоносную программу, с помощью которой якобы уже можно оформить доставку. Вся легенда злоумышленника строится на том, что он якобы является индивидуальным предпринимателем, и для покупки товара с доставкой его клиентам необходимо использовать специальную программу.

После перехода по ссылке пользователю открывается поддельная страница Google Play, с которой надо скачать и установить мобильное приложение, довольно точно копирующее оформление и функционал реальных онлайн-площадок. Именно там покупателю нужно оформить доставку. В момент оплаты мобильный троян перехватывает и отправляет другому участнику преступной группы введенные данные банковской карты жертвы, а затем входящие SMS с кодом подтверждения перевода для кражи денег со счета жертвы.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»:
"Практически первым правилом работы в онлайн торговых площадках является использование только встроенных инструментов для общения и это чаты. Более того, современные сайты несколько раз переспрашивают пользователя при попытке сделать такой переход с их платформы. Здесь речь идёт о том, что с помощью методов социальной инженерии злоумышленники пытаются «вывести» пользователя с официального ресурса под каким-то предлогом, но сути способа атаки это не меняет – без социальной инженерии такой метод просто не будет работать".