Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» изучили образец популярного вредоноса Mamont для Android, с помощью которого до недавнего времени хакеры в течение несколько месяцев крали деньги жертв с банковских карт. В ходе исследования выяснилось, что часть сетевой инфраструктуры все еще активна и может представлять угрозу как для компаний, так и для рядовых граждан.

Последние несколько месяцев схема распространения вредоноса выглядела следующим образом: пользователям приходили сообщения с приложением Mamont под видом видео с интригующим сообщением «Это ты на видео?». При скачивании файла жертву автоматически перенаправляли на ссылку, указанную злоумышленниками — со статической фотографией или анимацией бесконечной загрузки сайта. В это время Mamont уже запускался на смартфоне в скрытом режиме.

Вредонос может собирать информацию о приложениях и устройстве, мониторить историю вызовов, без ведома жертвы совершать звонки, отправлять или перехватывать SMS, копируя их содержимое и отправляя на сервер злоумышленников. Все это позволяет им, например, незаконно получать контроль над мессенджерами, сбрасывать пароли и получать коды подтверждения для совершения банковских операций без ведома жертвы, а также соглашаться на платные подписки.

Вредонос может нанести ущерб и бизнесу — если устройства сотрудников заражены Mamont, а в компании для подключения к внутренним системам используется двухфакторная аутентификация на базе SMS, злоумышленники могут получить доступ к кодам авторизации и проникнуть в инфраструктуру организации.

В процессе изучения образца вредоноса специалисты Solar 4RAYS обнаружили четыре сервера, связанных с Mamont — все они на момент публикации находились в рабочем состоянии. Также эксперты исследовали один из управляющих серверов, с которого преступники управляли приложениями на устройствах жертв. Там же был обнаружен и билдер — функциональность, позволяющая автоматически создавать новые сборки вредоносного приложения и отправлять их пользователям.

Эксперты Solar 4RAYS в своем блоге выложили адреса серверов в формате IOC (индикаторов компрометации) — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

Чтобы защититься от Mamont и других вредоносных приложений, эксперты 4RAYS настоятельно рекомендуют пользователям:

  • Не открывать подозрительные файлы от незнакомых контактов;
  • Не устанавливать приложения с названиями «Просмотр видео в Telegram», «Просмотр фото в Telegram», «Доксграм», «Изобpaженuе14.09.21», «Video.19368» и схожие с ними — именно под ними злоумышленники распространяли Mamont; Фото и видео в Telegram можно просматривать без установки сторонних приложений. Периодически проверять платные подписки на предмет подозрительных списаний с банковских карт;
  • Проверять расширение файла: APK-файлы (расширение .apk) никогда не используются для фотографий или видео. Настоящие медиафайлы имеют расширения .jpg, .png, .mp4 и другие;
  • Узнать, какие USSD-команды предлагает ваш оператор мобильной связи, а также проверять настройки переадресации SMS и звонков на смартфоне. Чтобы выяснить, какие из них являются подозрительными, необходимо обратиться в салон связи или к своему оператору;
  • Установить антивирусное приложение;
  • Если вредоносное приложение все же обнаружено на смартфоне, немедленно удалить его через настройки.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар»: злоумышленники используют спрос на инструменты для обхода блокировок Telegram

«Солар»: злоумышленники используют спрос на инструменты для обхода блокировок Telegram

Узнать больше
Корпоративная почта под новой защитой: SEG-T и «Солар» создают барьер от хакеров и индустрии фишинга

Корпоративная почта под новой защитой: SEG-T и «Солар» создают барьер от хакеров и индустрии фишинга

Узнать больше
УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

Узнать больше
Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Узнать больше
«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара»  и собственной разработки

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара» и собственной разработки

Узнать больше
АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

Узнать больше
Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Узнать больше
«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше