Специалисты ГК «Солар» обнаружили и заблокировали поддельные сайты, предлагающие крупные денежные пособия от имени государства. Об этом пишет РИА Новости.
Специалисты центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» выявили фальшивые сайты, с которых на устройства жертв под видом «сертификата безопасности» или «антиспам-программы» устанавливали вредоносное ПО. Мошенники стремились получить доступ к банковским аккаунтам пользователей.
Фишинговый сайт, на который злоумышленники привлекали жертв, копировал портал «Госуслуги» и был размещён на домене gos-uslugi[.]biz. Пользователям предлагали «оформить заявку» на получение денежного пособия, затем направляли их на страницу для ввода персональных данных. После этого пользователям предлагали скачать «сертификат безопасности», который на самом деле являлся вредоносным Android-приложением.
На втором этапе жертву перенаправляли на другой домен, где она должна была снова ввести персональные данные и скачать вредоносный «сертификат». Это была мера предосторожности на случай, если пользователь не завершил действия на первом этапе.
«Интересная особенность: в качестве хостинга для вредоноса использовался украинский сервис Ucoz. Согласно данным Solar AURA, такие случаи единичны – в большинстве фишинговых атак, с которыми сталкиваются эксперты, используются российские либо европейские дата-центры», — отметили в ГК «Солар».
Вредоносное приложение запрашивало разрешение на автозапуск, чтение и отправку смс-сообщений и сразу начинало работать в фоновом режиме. Такого набора функций ему хватало, чтобы компрометировать банковский аккаунт. Мошенники могли авторизоваться в онлайн-банкинге с помощью кода из смс-сообщений. Вирус использовали для вывода средств жертвы через смс-банкинг.
Мошенники нередко используют празднование 9 Мая как предлог для обмана, рассказали в полиции.
