Mamont еще не вымер: эксперты Solar 4RAYS обнаружили рабочие серверы известного вредоносного приложения

Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» изучили образец популярного вредоноса Mamont для Android, с помощью которого до недавнего времени хакеры в течение несколько месяцев крали деньги жертв с банковских карт. В ходе исследования выяснилось, что часть сетевой инфраструктуры все еще активна и может представлять угрозу как для компаний, так и для рядовых граждан.

Последние несколько месяцев схема распространения вредоноса выглядела следующим образом: пользователям приходили сообщения с приложением Mamont под видом видео с интригующим сообщением «Это ты на видео?». При скачивании файла жертву автоматически перенаправляли на ссылку, указанную злоумышленниками – со статической фотографией или анимацией бесконечной загрузки сайта. В это время Mamont уже запускался на смартфоне в скрытом режиме.

Вредонос может собирать информацию о приложениях и устройстве, мониторить историю вызовов, без ведома жертвы совершать звонки, отправлять или перехватывать SMS, копируя их содержимое и отправляя на сервер злоумышленников. Все это позволяет им, например, незаконно получать контроль над мессенджерами, сбрасывать пароли и получать коды подтверждения для совершения банковских операций без ведома жертвы, а также соглашаться на платные подписки.

Вредонос может нанести ущерб и бизнесу – если устройства сотрудников заражены Mamont, а в компании для подключения к внутренним системам используется двухфакторная аутентификация на базе SMS, злоумышленники могут получить доступ к кодам авторизации и проникнуть в инфраструктуру организации.

В процессе изучения образца вредоноса специалисты Solar 4RAYS обнаружили четыре сервера, связанных с Mamont – все они на момент публикации находились в рабочем состоянии. Также эксперты исследовали один из управляющих серверов, с которого преступники управляли приложениями на устройствах жертв. Там же был обнаружен и билдер – функциональность, позволяющая автоматически создавать новые сборки вредоносного приложения и отправлять их пользователям.

Эксперты Solar 4RAYS в своем блоге выложили адреса серверов в формате IOC (индикаторов компрометации) – это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

Чтобы защититься от Mamont и других вредоносных приложений, эксперты 4RAYS настоятельно рекомендуют пользователям:

• Не открывать подозрительные файлы от незнакомых контактов;
• Не устанавливать приложения с названиями «Просмотр видео в Telegram», «Просмотр фото в Telegram», «Доксграм», «Изобpaженuе14.09.21», «Video.19368» и схожие с ними – именно под ними злоумышленники распространяли Mamont; Фото и видео в Telegram можно просматривать без установки сторонних приложений. Периодически проверять платные подписки на предмет подозрительных списаний с банковских карт;
• Проверять расширение файла: APK-файлы (расширение .apk) никогда не используются для фотографий или видео. Настоящие медиафайлы имеют расширения .jpg, .png, .mp4 и другие;
• Узнать, какие USSD-команды предлагает ваш оператор мобильной связи, а также проверять настройки переадресации SMS и звонков на смартфоне. Чтобы выяснить, какие из них являются подозрительными, необходимо обратиться в салон связи или к своему оператору;
• Установить антивирусное приложение;
• Если вредоносное приложение все же обнаружено на смартфоне, немедленно удалить его через настройки.