Эксперты центра мониторинга наружных цифровых угроз Solar AURA ГК «Солар» выявили и заблокировали поддельные сайты, предлагающие пользователям якобы от лица государства крупное денежное пособие, рассказали в пресс-службе организации.
Без сомнения же у жертв воровали персональные данные, а на их устройства маскируясь под «сертификата безопасности» или «антиспам-программы» устанавливалось вредоносное ПО (ВПО).
Мошенническая кампания была направлена на получение злодеями доступа к банковским аккаунтам пользователей.
На первом этапе преступники (с поддержкою спам-рассылки) сманивали жертву на фишинговый сайт gos-uslugi[.]biz, где предлагали «оформить заявку» на получение крупного денежного пособия. После доказывающего клика пользователя перенаправляли на страницу для ввода персональных данных: ФИО, телефона и номера банковской карты. По истечении ввода он перемещался на новую страницу, с которой ему предлагалось скачать «сертификат безопасности» (на самом деле - вредоносное Android-приложение).
На следующем этапе жертву перенаправляли по уникальной ссылке на вспомогательный домен n0wpay[.]world, и вся комбинация (ввод персональных данных и скачивание такого же вредоноса) повторялась снова. Так преступники «подстраховывались» на случай, если при переходе по первой серии ссылок жертва по каким-то причинам не введет данные и не скачает троянец.
Мошенники выманивают данные под поводом продления номера
Эксперты Solar 4RAYS проанализировали версию ВПО, которая расступалась по состоянию на 18 апреля, и выявили ряд особенностей. При старте вредонос просит разрешение на автозапуск, а также чтение и отправку SMS. После запуска приложение сразу же начинает работать в фоновом режиме, даже если пользователь выйдет из него или нажмет кнопку «отбить атаку известье». При этом его иконка будет скрыта из списка приложений.
Хотя основной функционал вредоноса ограничен несколькими командами (чтение/ отправка SMS и прекращение мероприятия сосредоточенные на манию управляющего сервера), этого вполне довольно для компрометации банковского аккаунта ведь у злоумышленника давно в наличии персональные данные жертвы. Мошенник может авторизоваться в личном кабинете онлайн-банкинга по коду из SMS. Также нельзя исключать и вариант, при котором троян будет использоваться для вывода средств жертвы через SMS-банкинг, повелевают эксперты.
Помимо двух примеров ВПО, участвовавших во вредоносной кампании, профессионалы отыскали в открытых очагах ещё пять его экземпляров и два новых адреса серверов управления. Уж на что молодец есть у вас версии ВПО очень схожи в структуре кода, способе закрепления, сохраняемых константах и способе взаимодействия с управляющим сервером.
Эксперты «Солара» советуют пользователям не переходить по ссылкам, обещающим бесплатные деньги (и иные ценности), не вводить персональные данные на подозрительных сайтах, не скачивать неизвестные файлы из недоверенных очагов и пользоваться защитным ПО.
Фото: Freepik