Эксперты центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» выявили и заблокировали фальшивые сайты, предлагающие пользователям якобы от лица государства крупное денежное пособие. На деле же у жертв похищали персональные данные, а на их устройства под видом «сертификата безопасности» или «антиспам-программы» устанавливалось вредоносное ПО (ВПО). Мошенническая кампания была направлена на получение злоумышленниками доступа к банковским аккаунтам пользователей.
Понять логику развития фишинговой кампании помогло расследование, проведенное специалистами центра исследования киберугроз Solar 4RAYS. Также эксперты выявили дополнительные серверы в инфраструктуре управления вредоносом.
На первом этапе злоумышленники (вероятно, с помощью спам-рассылки) заманивали жертву на фишинговый сайт gos-uslugi[.]biz, где предлагали «оформить заявку» на получение крупного денежного пособия. После подтверждающего клика пользователя перенаправляли на страницу для ввода персональных данных: ФИО, телефона и номера банковской карты. По завершении ввода он перемещался на новую страницу, с которой ему предлагалось скачать «сертификат безопасности» (на самом деле – вредоносное Android-приложение).
Примечательно, что на следующем этапе жертву перенаправляли по уникальной ссылке на вспомогательный домен n0wpay[.]world, и вся комбинация (ввод персональных данных и скачивание того же вредоноса) повторялась снова. Так злоумышленники «подстраховывались» на случай, если при переходе по первой серии ссылок жертва по каким-то причинам не введет данные и не скачает троянец.
Интересная особенность: в качестве хостинга для вредоноса использовался украинский сервис Ucoz. Согласно данным Solar AURA, такие случаи единичны – в большинстве фишинговых атак, с которыми сталкиваются эксперты, используются российские либо европейские дата-центры.
Эксперты Solar 4RAYS проанализировали версию ВПО, которая раздавалась по состоянию на 18 апреля, и выявили ряд особенностей. При старте вредонос просит разрешение на автозапуск, а также чтение и отправку SMS. После запуска приложение сразу же начинает работать в фоновом режиме, даже если пользователь выйдет из него или нажмет кнопку «закрыть сообщение». При этом его иконка будет скрыта из списка приложений.
Хотя основной функционал вредоноса ограничен несколькими командами (чтение/ отправка SMS и прекращение работы по команде управляющего сервера), этого вполне достаточно для компрометации банковского аккаунта – ведь у злоумышленника уже есть персональные данные жертвы. Мошенник может авторизоваться в личном кабинете онлайн-банкинга по коду из SMS. Также нельзя исключать и вариант, при котором троян будет использоваться для вывода средств жертвы через SMS-банкинг.
Помимо двух образцов ВПО, участвовавших во вредоносной кампании, специалисты нашли в открытых источниках ещё пять его экземпляров и два новых адреса серверов управления. Все эти версии ВПО очень схожи в структуре кода, способе закрепления, хранимых константах и способе взаимодействия с управляющим сервером.
На основе анализа обнаруженных образцов троянца специалистам удалось восстановить хронологию вредоносной кампании. Началась она 28 марта – тогда ВПО распространялось под видом программы защиты от спама. Следующий аналогичный вредонос был скомпилирован 30 марта, а 9 апреля появилась первая версия, мимикрирующая под установку госсертификата. 12 апреля, был изменен адрес управляющего сервера. Спустя 6 дней были собраны три новых вредоносных экземпляра, нацеленные на более скрытое присутствие на девайсе жертвы. Последний обнаруженный на данный момент образец распространялся через поддельную страницу, с которой и началось это расследование.
Эксперты «Солара» рекомендуют пользователям не переходить по ссылкам, обещающим бесплатные деньги (и другие ценности), не вводить персональные данные на подозрительных сайтах, не скачивать незнакомые файлы из недоверенных источников и пользоваться защитным ПО.
Больше подробностей – в экспертном блоге Solar 4RAYS.