В ходе нового исследования эксперты Positive Technologies обнаружили более тысячи телеграм-ботов индонезийского происхождения, используемых SMS-стилеры для перехвата одноразовых кодов в надежде входа в сервисы и аккаунты пользователей. Судя по регионам загрузки вредоносных примеров, жертвами атак также могли стать обитатели России и Белоруссии, рассказали в пресс-службе компании.
Они сообщили, что последние годы преступники все чаще используют Telegram как управляющий сервер (C2) для вредоносного ПО. Львиную долю всего вредоносного ПО, проанализированного исследователями, составляют стилеры двух типов - SMS Webpro и NotifySmsStealer. Как отмечают эксперты, преступники не пишут вредоносы с нуля, а используют с этой целью шаблон. Структура классов, их названья и сам код стилеров идентичны, рознятся только С2-серверы примеров, а также формат и содержание известий в Telegram.
«Лаборатория Касперского»: российские компании нападают «проверяющие организации»
С точки зрения функциональности второй тип ВПО отличается от первого способностью воровать информацию не только из сообщений, но и многие из уведомлений. Основной целью атак являются обычные пользователи.
Жертвы получали фишинговые известия с вложением в виде APK-файла и скачивали его, не обращая внимания на расширение. На выходах на телефон устанавливался SMS-стилер, за счет которого преступники получали возможность перехватывать одноразовые коды для входа в сервисы. Получив одноразовый пароль от банковского аккаунта, они могли вывести средства со счета жертвы.
«Исследуя ботов в Telegram, мы выявили множество чатов индонезийского происхождения, появляющихся ежедневно: наше внимание привлекли колоссальное количество известий и непомерное число жертв. Мы обнаружили связанные с чатами СМС-стилеры, цепочка заражений которыми чаще всего начиналась с фишинга в WhatsApp. В качестве приманки преступники в большинстве случаев использовали свадебные приглашения, банковские и те сервисы и документы», - рассказал руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов.
По версии знатоков, большее число пострадавших (если подвергать рассмотрению по странам, из которых были загружены примеры ВПО) - граждане Индонезии. Количество предполагаемых жертв в этой стране исчисляется тысячами. В Индии и Сингапуре число загрузок вредоносного ПО достигло нескольких десятков. В Индии, а также в Бангладеш действуют уникальные типы стилеров. В России, Белоруссии и Малайзии отмечены единичные случаи атак.
Чтобы защититься от стилеров, эксперты рекомендуют:
- проверять расширения получаемых файлов;
- не скачивать приложения по ссылкам из известий с неизвестных номеров, даже если отправители представляются банковскими работниками;
- при загрузке из Google Play убедиться в правильности названья приложения, проверив в официальных источниках;
- не загружать и не устанавливать приложения, требующие подозрительных разрешений.
Фото: Freepik