17 декабря 2024 г.
«Лаборатория Касперского» и RuStore предупреждают: злоумышленники рассылают троянец для Android под видом трекера для отслеживания заказа из оптового интернет-магазина
Эксперты «Лаборатории Касперского» обнаружили актуальную схему распространения троянца Mamont. Вредоносная кампания нацелена на пользователей Android-смартфонов в России. Она состоит из нескольких этапов.
Поддельный магазин
Злоумышленники создали сайты несуществующих оптовых магазинов с товарами по крайне привлекательным ценам. В контактах на сайте была указана ссылка на тематический закрытый Telegram-чат. В нём описывалось, как можно оформить заказ: для этого необходимо было отправить личное сообщение якобы менеджеру магазина. При этом в закрытом чате было много участников, которые задавали различные вопросы. Специалисты не исключают, что некоторые из тех, кто комментировал, на самом деле были ботами и использовались, чтобы усыпить бдительность потенциальной жертвы.
Фальшивый менеджер
Если жертва связывалась с представителем магазина, её просили указать ФИО получателя заказа, адрес доставки и контактный телефон, а также количество выбранных товаров и их наименование. Оплатить заказ можно было якобы при получении. Вероятно, злоумышленники рассчитывали на то, что такой подход не вызовет у покупателя подозрений.
Вредоносный трекер
Через некоторое время человеку поступало сообщение, что оформленный заказ отправлен. Для его отслеживания просили скачать специальное мобильное приложение-трекер. Сделать это нужно было по ссылке, присланной менеджером. Однако на деле ссылка вела на фишинговый ресурс. А под видом трекера человек скачивал мобильный банковский зловред — Mamont. Помимо ссылки злоумышленники присылали жертве код, который необходимо было ввести в приложении, — якобы для отслеживания заказа.
«Mamont — мобильный банковский троянец, который стал активно применяться злоумышленниками только в 2024 году. При этом за октябрь и ноябрь наши решения зафиксировали уже больше 30 тысяч атак* с использованием модификации этого зловреда, которая мимикрировала под трекеры доставки в различных схемах. Вредонос запрашивает доступ к СМС и push-уведомлениям на заражённом устройстве, после чего активно пользуется ими для кражи средств пользователей через СМС-банкинг. В описанной легенде жертве предлагается ввести фальшивый трек-номер, полученный от злоумышленников, который служит для её идентификации. При этом зловред может показывать на заражённом устройстве окна с любыми текстовыми элементами. Всё это позволяет атакующим впоследствии реализовывать более комплексные схемы онлайн-мошенничества с использованием как вредоноса, так и методов социальной инженерии», — комментирует Дмитрий Калинин, эксперт «Лаборатории Касперского» по кибербезопасности.
«Ссылки для скачивания фейкового трекера специально делают длинными и сложными, чтобы запутать пользователя. Если новый троян попадёт на ваш смартфон, последствия могут быть серьёзными: от кражи личных данных и средств до подключения устройства к ботнету — сети заражённых устройств, используемых для кибератак. Чтобы не стать жертвой мошенников, необходимо соблюдать базовые правила безопасности: не переходить по подозрительным ссылкам, а также скачивать программы только из официальных источников, например из RuStore», — комментирует Дмитрий Морев, директор по информационной безопасности в RuStore.
«Лаборатория Касперского» оповестила Telegram о мошеннических аккаунтах и чатах.
Чтобы не потерять данные и деньги, эксперты по кибербезопасности рекомендуют:
- не переходите по ссылкам из сообщений от незнакомых людей;
- критически относитесь к щедрым предложениям в интернете;
- скачивайте приложения только из официальных источников;
- используйте надёжное защитное решение, эффективность которого доказана тестами.
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» для мобильных устройств за октябрь и ноябрь 2024 года.
Источник: Пресс-служба компании «Лаборатория Касперского»