Эксперты ГК «Солар» рассказали о новой мошеннической кампании по краже денег со счетов граждан

Специалисты группы компаний (ГК) «Солар» выявили и заблокировали фальшивые сайты, предлагающие пользователям от лица государства крупное денежное пособие. На этих сайтах начиналась атака, в ходе которой у жертв похищали персональные данные, а на устройствах под видом «сертификата безопасности» или «антиспам‑программы» устанавливалось вредоносное ПО (ВПО). Мошенническая кампания была направлена на получение злоумышленниками доступа к банковским аккаунтам пользователей.

Атака проходила в несколько этапов. На первом этапе злоумышленники заманивали жертву на фишинговый сайт gos‑uslugi[.]biz, где предлагали «оформить заявку» на получение крупного денежного пособия. Далее пользователя перенаправляли на страницу для ввода персональных данных: ФИО, телефона и номера банковской карты. По завершении ввода жертва перемещалась на новую страницу, с которой предлагалось скачать «сертификат безопасности» (на самом деле — вредоносное Android‑приложение).

На втором этапе жертву перенаправляли по уникальной ссылке на вспомогательный домен n0wpay[.]world, и вся комбинация (ввод персональных данных и скачивание вредоноса) повторялась снова. Этот этап представлял собой страховку для злоумышленников, если при переходе по первой серии ссылок жертва по каким‑то причинам не введёт данные и не скачает троянец.

Эксперты ГК «Солар» проанализировали версию ВПО, раздаваемой по состоянию на 18 апреля 2024 года, и выявили ряд особенностей. При старте вредонос просит разрешение на автозапуск, чтение и отправку SMS. После запуска приложение начинает работать в фоновом режиме, даже если пользователь выйдет из него или нажмёт кнопку «закрыть сообщение», а иконка будет скрыта из списка приложений.

Основной функционал вредоноса ограничен несколькими командами