В мае 2023 года «Лаборатория Касперского» обнаружила нового вымогателя, который получил название Rasket. Малварь нацелена на пользователей Android в России. Когда троян попадает на смартфон жертвы и активируется, он получает доступ к фотографиям, видео и документам, а также к SMS и контактам. После этого злоумышленники угрожают обнародовать скомпрометированные данные, если человек не заплатит им 5000 рублей.
Вредонос распространяется преимущественно через спам-рассылки. Текст, который троян отправляет в SMS-сообщениях на произвольные номера, а также контактам жертвы, чаще всего содержит ссылку на скачивание вредоносной программы.
Исследователи говорят, что троян мимикрирует под сервисы для знакомств или чаты для взрослых, программы с функцией радар-детектора, а также под моды (дополнения) и лотерейные приложения. Однако заявленной в рекламе функциональности человек не получает. Rasket вообще не делает ровным счетом ничего полезного. Просто на экране зараженного устройства появляется сообщение, в котором говорится, что атакующие получили контроль над устройством и перехватили все данные на нем.
Вымогатели требуют перевести им 5000 рублей в качестве выкупа, в противном случае они грозятся отправить всю информацию по списку контактов пользователя. В примечании к переводу нужно указать номер телефона, чтобы хакеры могли идентифицировать автора платежа.
Злоумышленники указывают в сообщении дату атаки и отмечают, что обнародуют данные жертвы спустя неделю. Чтобы у пользователя не оставалось сомнений в возможностях и намерениях атакующих, в конце сообщения жертве показывают список перехваченных контактов. Собранные данные передаются в Telegram-чаты злоумышленников с помощью бота.
Авторы малвари уверяют, что если получат выкуп, то не станут публиковать или иначе использовать украденную информацию. Однако эксперты подчеркивают, что верить атакующим и платить не стоит: нет гарантии, что данные не обнародуют, а человека не атакуют в будущем снова.
Также аналитики отмечают, что в конфиге вредоноса хранится еще много любопытного. Например, один текст для сообщений, которые троян рассылает в SMS от имени жертвы всем ее контактам, и совсем другой — для SMS, которые будут разосланы по случайным номерам. Так, через спамерские SMS-рассылки малварь распространяет себя дальше.
«Обнаруженный нами троянец имеет несколько особенностей. Во-первых, помимо вымогательства и спам-рассылки, приложение также может совершать банковские переводы с аккаунта жертвы. Для этого в самом начале работы зловред запрашивает разрешение на отправку SMS. Такой функционал позволяет в равной степени отнести его к вымогателям, SMS-троянцам и банковским вредоносам. Во-вторых, злоумышленники используют сразу несколько тактик: помимо ссылки на скачивание себя, текст спам-рассылки в некоторых версиях этого троянца содержал ссылки на фишинговые сайты, а также сообщения с просьбой перевести деньги, например, якобы на лечение больной дочери. В-третьих, зловред сделан с использованием легитимного инструмента. Речь идет о плагине для популярного приложения, позволяющем создавать другие программы», — рассказывает Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского».
Источник: xakep