Мы обнаружили новую схему распространения трояна-банкера Mamont. Злоумышленники обещают доставить некий товар по оптовым ценам, которые могут быть интересны как малому бизнесу, так и частным покупателям, и предлагают установить Android-приложение для отслеживания посылки. По факту же вместо трекинговой утилиты жертве подсовывают троян, служащий для перехвата финансовых учетных данных, пуш-уведомлений и другой важной информации.
Схема мошенничества
На ряде сайтов злоумышленники якобы продают различные товары по достаточно привлекательным ценам. Для покупки жертве предлагают присоединиться к закрытому чату в мессенджере Telegram, где размещены инструкции по размещению заказа. По сути эти инструкции сводятся к тому, что жертве нужно написать личное сообщение менеджеру. Сам канал существует для большей убедительности: в нем идет общение участников, которые задают уточняющие вопросы, получают ответы, что-то комментируют. Вероятно, среди участников этого чата есть как другие жертвы схемы, так и боты, которые создают видимость активной торговли.
Убедительности схеме придает еще и тот факт, что мошенники не требуют никакой предоплаты —у жертвы складывается впечатление, что, делая заказ, она ничем не рискует. Через какое-то время после разговора с менеджером и размещения заказа жертве приходит сообщение что заказ отправлен, а отследить его доставку можно при помощи специального приложения. Ссылка на apk-файл и трекинговый номер отправления прилагаются. В сообщении дополнительно подчеркивается, что для оплаты заказа после получения необходимо ввести код и дождаться загрузки заказа (которая может занимать более 30 минут).
Ссылка ведет на вредоносный сайт, который предлагает скачать трекер для отправленной посылки. На самом деле это не трекер, а банковский зловред Mamont для Android. При установке «трекер» запрашивает разрешения на функционирование в фоновом режиме, а также работу с пуш-уведомлениями, SMS и звонками. От жертвы требуется ввести код, якобы для трекинга посылки, и ждать.
Что за зловред и чем он опасен
На самом деле, после того как жертва вводит полученный «трек-код», который по всей видимости используется как идентификатор жертвы, троян начинает перехватывать все получаемые устройством пуш-уведомления (например, коды подтверждения банковских операций) и пересылать их на сервер злоумышленников. Одновременно Mamont устанавливает соединение с сервером атакующих и ожидает дополнительных команд. По команде он может:
- изменить иконку приложения на прозрачную, чтобы спрятать его от жертвы;
- переслать злоумышленникам все входящие SMS за последние трое суток;
- открыть форму для загрузки фотографии из галереи на сервер злоумышленников;
- отправлять SMS на произвольный номер.
Помимо этого, злоумышленники могут показывать жертве произвольный текст с полями для ввода дополнительной информации — таким образом они могут выманивать дополнительные учетные данные или просто собирать больше информации для дальнейших атак при помощи социальной инженерии (например, угрожающих писем от имени регуляторов или правоохранительных органов). Вероятно, для той же цели они могут похищать и фотографии из галереи. Это особенно актуально если жертва — владелец мелкого бизнеса: зачастую они используют камеру телефона для быстрой фотофиксации деловой информации.
Наши защитные решения детектируют распространяемые в ходе этой атаки зловреды, как Trojan-Banker.AndroidOS.Mamont.*. Более подробное техническое описание зловреда, а также индикаторы компрометации можно найти в посте Securelist.
Цели атак с использованием банкера Mamont
Данная кампания направлена исключительно на российских пользователей Android-смартфонов. Злоумышленники акцентируют на этом внимание и отказываются «доставлять товары» куда-либо еще. Однако инструменты киберпреступников часто оказываются в свободном доступе, поэтому нельзя гарантировать, что пользователи из других стран имеют иммунитет к этой угрозе.
Как оставаться в безопасности
Мы рекомендуем соблюдать простые правила безопасности, чтобы не заразить свой смартфон этим (или любым другим) зловредом. Это особенно актуально, если телефон используется не только для личных нужд, но и для работы. Вот эти правила:
- скептически смотрите на особенно выгодные предложения товаров и услуг в Интернете (если цена значительно ниже рыночной, значит, продавец получает выгоду как-то еще);
- не запускайте .apk-файлы, полученные из неизвестных источников, — их стоит устанавливать из официальных магазинов или с официального ресурса конкретного сервиса;
- используйте надежное защитное решение, которое не даст установить зловред на устройство и заблокирует переход по вредоносной ссылке.