Специалисты обнаружили новый виток в эволюции банковского мошенничества на Android. Теперь злоумышленники активно распространяют в мессенджерах модифицированные версии программ для удаленного доступа под видом приложений служб поддержки российских банков.

О новой мошеннической схеме рассказали эксперты «Лаборатории Касперского». По их словам, мошенники меняют названия программ и иконки (добавляют имя и логотип нужного банка), а также надписи в некоторых текстовых полях. Конечная цель злоумышленников — получить доступ к онлайн-банкингу на устройствах под управлением Android.

Для реализации этой схемы атакующие копируют легитимные приложения для удаленного доступа (сообщается, что одно из них есть в Google Play), а затем намеренно вводят людей в заблуждение. Эти приложения являются опенсорсными, поэтому хакерам не составляет особого труда создать на их основе поддельные модификации. Кроме того, эксперты пишут, что столкнулись со случаями модификации готовых установочных пакетов.

В итоге атака выглядит следующим образом. Сначала мошенник звонит потенциальной жертве (в большинстве случаев — через мессенджер). Он представляется сотрудником службы поддержки банка и под разными предлогами убеждает человека установить приложение, которое присылает в сообщении в виде файла (установочного пакета). После этого злоумышленнику остается только узнать у доверчивой жертвы необходимые данные, чтобы получить удаленный доступ к смартфону.

Исследователи отмечают, что раньше злоумышленники уже использовали для атак одну из обозначенных программ для удаленного доступа. Обычно они звонили потенциальным жертвам и вынуждали их скачать приложение напрямую из Google Play. Здесь им «помогал» тот факт, что если составить поисковой запрос определенным образом, то первым результатом в выдаче оказывалась именно эта программа. При этом большое количество негативных комментариев в отзывах под ней злоумышленники объясняли, например, делом рук конкурентов.

Теперь эта мошенническая схема эволюционировала. Исследователи полагают, что мошенники поняли, что многих смущает не имеющее отношения к банкам название приложения и его внешний вид, поэтому они стали рассылать модифицированные версии приложений напрямую через популярные мессенджеры.

«Еще в прошлом году, судя по отзывам на Google Play, чтобы вынудить жертву найти в сторе и скачать определенную программу для удаленного доступа, злоумышленники изобретали самые разные приемы. Например, ссылались на то, что приложение переименовали якобы из-за санкций, поэтому оно не имеет ничего общего с тем или иным банком. Пытались запугать тем, что только с этим приложением данные будут в безопасности или что оно необходимо, чтобы никакое другое устройство не могло подключиться к личному кабинету клиента. Встречались и другие поводы — якобы на пользователя пытались оформить кредит и, чтобы отменить операцию, нужно воспользоваться ПО службы поддержки банка. Не исключаем, что похожие легенды могли использоваться злоумышленниками, когда они начали распространять уже модифицированные версии программ для удаленного доступа», — отмечает Дмитрий Калинин, эксперт по кибербезопасности «Лаборатории Касперского».

Источник: xakep