Специалисты группы компаний (ГК) «Солар» выявили и заблокировали фальшивые сайты, предлагающие пользователям от лица государства крупное денежное пособие. На этих сайтах начиналась атака, в ходе которой у жертв похищали персональные данные, а на устройствах под видом «сертификата безопасности» или «антиспам‑программы» устанавливалось вредоносное ПО (ВПО). Мошенническая кампания была направлена на получение злоумышленниками доступа к банковским аккаунтам пользователей.
Атака проходила в несколько этапов. На первом этапе злоумышленники заманивали жертву на фишинговый сайт gos‑uslugi[.]biz, где предлагали «оформить заявку» на получение крупного денежного пособия. Далее пользователя перенаправляли на страницу для ввода персональных данных: ФИО, телефона и номера банковской карты. По завершении ввода жертва перемещалась на новую страницу, с которой предлагалось скачать «сертификат безопасности» (на самом деле — вредоносное Android‑приложение).
На втором этапе жертву перенаправляли по уникальной ссылке на вспомогательный домен n0wpay[.]world, и вся комбинация (ввод персональных данных и скачивание вредоноса) повторялась снова. Этот этап представлял собой страховку для злоумышленников, если при переходе по первой серии ссылок жертва по каким‑то причинам не введёт данные и не скачает троянец.
Эксперты ГК «Солар» проанализировали версию ВПО, раздаваемой по состоянию на 18 апреля 2024 года, и выявили ряд особенностей. При старте вредонос просит разрешение на автозапуск, чтение и отправку SMS. После запуска приложение начинает работать в фоновом режиме, даже если пользователь выйдет из него или нажмёт кнопку «закрыть сообщение», а иконка будет скрыта из списка приложений.
Основной функционал вредоноса ограничен несколькими командами (чтение и отправка SMS, прекращение работы по команде управляющего сервера), но этого достаточно для компрометации банковского аккаунта. Мошенник может авторизоваться в личном кабинете онлайн‑банкинга по коду из SMS. Также нельзя исключать и вариант, при котором троян будет использоваться для вывода средств жертвы через SMS‑банкинг.
Кроме двух образцов ВПО, участвовавших во вредоносной кампании, ИБ‑специалисты нашли в открытых источниках ещё пять его экземпляров и два новых адреса серверов управления. Эти версии ВПО схожи в структуре кода, способе закрепления, хранимых константах и способе взаимодействия с управляющим сервером.
На основе анализа обнаруженных образцов ВПО специалистам удалось восстановить хронологию вредоносной кампании. Началась она 28 марта — тогда ВПО распространялось под видом программы защиты от спама. Следующий аналогичный вредонос был скомпилирован 30 марта, а 9 апреля появилась первая версия, мимикрирующая под установку госсертификата. 12 апреля был изменён адрес управляющего сервера. Спустя 6 дней были собраны три новых вредоносных экземпляра, нацеленные на скрытое присутствие на девайсе жертвы.
