Поддельные онлайн-магазины, фальшивые менеджеры и фейковый трекер: появилась сложная схема распространения троянца Mamont

«Лаборатория Касперского» и RuStore предупреждают: злоумышленники рассылают троянец для Android под видом трекера для отслеживания заказа из оптового интернет-магазина

Эксперты «Лаборатории Касперского» обнаружили актуальную схему распространения троянца Mamont. Вредоносная кампания нацелена на пользователей Android-смартфонов в России. Она состоит из нескольких этапов.

Поддельный магазин. Злоумышленники создали сайты несуществующих оптовых магазинов с товарами по крайне привлекательным ценам. В контактах на сайте была указана ссылка на тематический закрытый Telegram-чат. В нём описывалось, как можно оформить заказ: для этого необходимо было отправить личное сообщение якобы менеджеру магазина. При этом в закрытом чате было много участников, которые задавали различные вопросы. Специалисты не исключают, что некоторые из тех, кто комментировал, на самом деле были ботами и использовались, чтобы усыпить бдительность потенциальной жертвы.

Фальшивый менеджер. Если жертва связывалась с представителем магазина, её просили указать ФИО получателя заказа, адрес доставки и контактный телефон, а также количество выбранных товаров и их наименование. Оплатить заказ можно было якобы при получении. Вероятно, злоумышленники рассчитывали на то, что такой подход не вызовет у покупателя подозрений.

Вредоносный трекер. Через некоторое время человеку поступало сообщение, что оформленный заказ отправлен. Для его отслеживания просили скачать специальное мобильное приложение-трекер. Сделать это нужно было по ссылке, присланной менеджером. Однако на деле ссылка вела на фишинговый ресурс. А под видом трекера человек скачивал мобильный банковский зловред — Mamont. Помимо ссылки злоумышленники присылали жертве код, который необходимо было ввести в приложении, — якобы для отслеживания заказа.

«Mamont — мобильный банковский троянец, который стал активно применяться злоумышленниками только в 2024 году. При этом за октябрь и ноябрь наши решения зафиксировали уже больше 30 тысяч атак* с использованием модификации этого зловреда, которая мимикрировала под трекеры доставки в различных схемах. Вредонос запрашивает доступ к СМС и push-уведомлениям на заражённом устройстве, после чего активно пользуется ими для кражи средств пользователей через СМС-банкинг. В описанной легенде жертве предлагается ввести фальшивый трек-номер, полученный от злоумышленников, который служит для её идентификации. При этом зловред может показывать на заражённом устройстве окна с любыми текстовыми элементами. Всё это позволяет атакующим впоследствии реализовывать более комплексные схемы онлайн-мошенничества с использованием как вредоноса, так и методов социальной инженерии», — комментирует Дмитрий Калинин, эксперт «Лаборатории Касперского» по кибербезопасности.

«Ссылки для скачивания фейкового трекера специально делают длинными и сложными, чтобы запутать пользователя. Если новый троян попадёт на ваш смартфон, последствия могут быть серьёзными: от кражи личных данных и средств до подключения устройства к ботнету — сети заражённых устройств, используемых для кибератак. Чтобы не стать жертвой мошенников, необходимо соблюдать базовые правила безопасности: не переходить по подозрительным ссылкам, а также скачивать программы только из официальных источников, например из RuStore», — комментирует Дмитрий Морев, директор по информационной безопасности в RuStore.

«Лаборатория Касперского» оповестила Telegram о мошеннических аккаунтах и чатах.

Решения «Лаборатории Касперского» детектируют мобильный банковский троянец как Trojan-Banker.AndroidOS.Mamont и защищают пользователей от него.

Чтобы не потерять данные и деньги, эксперты по кибербезопасности рекомендуют:

  • не переходите по ссылкам из сообщений от незнакомых людей;
  • критически относитесь к щедрым предложениям в интернете;
  • скачивайте приложения только из официальных источников;
  • используйте надёжное защитное решение, эффективность которого доказана тестами, такое как Kaspersky для Android.

* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» для мобильных устройств за октябрь и ноябрь 2024 года.

Данные о правообладателе фото и видеоматериалов взяты с сайта «Connect-WIT», подробнее в Правилах сервиса
Анализ
×