Поддельные онлайн-магазины, фальшивые менеджеры и фейковый трекер: появилась сложная схема распространения троянца Mamont
Эксперты «Лаборатории Касперского» обнаружили актуальную схему распространения троянца Mamont. Вредоносная кампания нацелена на пользователей Android-смартфонов в России. Она состоит из нескольких этапов. Об этом CNews сообщили представители «Лаборатории Касперского».
Поддельный магазин. Злоумышленники создали сайты несуществующих оптовых магазинов с товарами по крайне привлекательным ценам. В контактах на сайте была указана ссылка на тематический закрытый Telegram-чат. В нем описывалось, как можно оформить заказ: для этого необходимо было отправить личное сообщение якобы менеджеру магазина. При этом в закрытом чате было много участников, которые задавали различные вопросы. Специалисты не исключают, что некоторые из тех, кто комментировал, на самом деле были ботами и использовались, чтобы усыпить бдительность потенциальной жертвы.
Фальшивый менеджер. Если жертва связывалась с представителем магазина, ее просили указать ФИО получателя заказа, адрес доставки и контактный телефон, а также количество выбранных товаров и их наименование. Оплатить заказ можно было якобы при получении. Вероятно, злоумышленники рассчитывали на то, что такой подход не вызовет у покупателя подозрений.
Вредоносный трекер. Через некоторое время человеку поступало сообщение, что оформленный заказ отправлен. Для его отслеживания просили скачать специальное мобильное приложение-трекер. Сделать это нужно было по ссылке, присланной менеджером. Однако на деле ссылка вела на фишинговый ресурс. А под видом трекера человек скачивал мобильный банковский зловред — Mamont. Помимо ссылки злоумышленники присылали жертве код, который необходимо было ввести в приложении, — якобы для отслеживания заказа.
«Mamont — мобильный банковский троянец, который стал активно применяться злоумышленниками только в 2024 г. При этом за октябрь и ноябрь наши решения зафиксировали уже больше 30 тыс. атак* с использованием модификации этого зловреда, которая мимикрировала под трекеры доставки в различных схемах. Вредонос запрашивает доступ к SMS и push-уведомлениям на зараженном устройстве, после чего активно пользуется ими для кражи средств пользователей через SMS-банкинг. В описанной легенде жертве предлагается ввести фальшивый трек-номер, полученный от злоумышленников, который служит для ее идентификации. При этом зловред может показывать на зараженном устройстве окна с любыми текстовыми элементами. Все это позволяет атакующим впоследствии реализовывать более комплексные схемы онлайн-мошенничества с использованием как вредоноса, так и методов социальной инженерии», — сказал Дмитрий Калинин, эксперт «Лаборатории Касперского» по кибербезопасности.
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» для мобильных устройств за октябрь и ноябрь 2024 г.
«Ссылки для скачивания фейкового трекера специально делают длинными и сложными, чтобы запутать пользователя. Если новый троян попадет на ваш смартфон, последствия могут быть серьезными: от кражи личных данных и средств до подключения устройства к ботнету — сети зараженных устройств, используемых для кибератак. Чтобы не стать жертвой мошенников, необходимо соблюдать базовые правила безопасности: не переходить по подозрительным ссылкам, а также скачивать программы только из официальных источников, например из RuStore», — сказал Дмитрий Морев, директор по информационной безопасности в RuStore.
«Лаборатория Касперского» оповестила Telegram о мошеннических аккаунтах и чатах.
Чтобы не потерять данные и деньги, эксперты по кибербезопасности рекомендуют: не переходить по ссылкам из сообщений от незнакомых людей; критически относиться к щедрым предложениям в интернете; скачивать приложения только из официальных источников; использовать надежное защитное решение, эффективность которого доказана тестами.