22 сентября 2023 года

Компания «Доктор Веб» информирует об участившихся случаях мошенничества с применением программ для удаленного доступа к рабочему столу. Наибольшей популярностью у злоумышленников пользуется программа RustDesk.

В связи с недавними утечками фрагментов баз данных целого ряда банков у мошенников появился доступ к персональным данным клиентов. Эти данные злоумышленники используют для того, чтобы войти в доверие к своим жертвам. Представляясь сотрудниками поддержки банка, преступники сообщают о том, что на счете жертвы замечена подозрительная активность, которая может привести к потере денег. И чтобы воспрепятствовать краже, якобы следует установить на устройство «защитную» программу. Злоумышленники предлагают перейти в магазин приложений и набрать в поисковой строке запросы типа «поддержка Сбербанка», «поддержка ВТБ» и т. п.

Источник: nakopi-deneg.ru

На самом деле до недавнего времени в топе выдачи Google Play по таким поисковым фразам находились программы типа AweSun Remote Desktop, RustDesk Remote Desktop, Удаленный рабочий стол AnyDesk. Такая ситуация обусловлена тем, что система ранжирования приложений в Google Play учитывает то, какое приложение выбирают пользователи, вводя тот или иной поисковый запрос. И чем больше людей, ищущих приложение по ключевым словам «поддержка имя_банка», совершит ошибку и перейдет по ссылке на приложение для удаленного администрирования, тем больше Google Play будет рекомендовать такую программу пользователям.

Следует отметить, что сами по себе программы для удаленного управления не являются вредоносными. Проблема возникает, когда их применяют для совершения противоправных действий.

После установки приложения мошенники просят жертву сообщить им уникальный идентификатор, а затем берут устройство под свой полный контроль. Доступ к устройству позволяет им совершать платежи и переводы со счета жертвы. При этом доказательство взлома и отзыв платежного поручения в такой ситуации будут невозможны, так как с точки зрения банка с системой платежей взаимодействует именно устройство клиента.

В настоящий момент компания Google сняла приложение RustDesk с публикации в магазине Google Play. Вследствие этого злоумышленники перевели свою деятельность за пределы площадки — теперь для реализации схемы мошенничества с удаленным управлением они используют сайты — например, hххps://помощникбанков[.]рф.

На таких сайтах потенциальным жертвам предлагается скачать уже знакомое нам приложение RustDesk. В некоторых случаях для большей убедительности в скачиваемых приложениях заменены названия и иконка на соответствующие тому или иному банку. Дополнительное психологическое воздействие оказывает и раздел с отзывами «довольных пользователей».

Антивирус Dr.Web детектирует приложение RustDesk как Tool.RustDesk.1.origin, а модифицированные приложения определяются как Android.FakeApp.1426. Для дополнительной безопасности компонент URL-фильтр блокирует доступ к сайтам злоумышленников, не позволяя пользователям стать жертвой обмана.

Компания «Доктор Веб» напоминает:

• Проявляйте бдительность, отвечая на звонки от банков и других организаций.
• Никогда не устанавливайте на свои устройства программы по чьей-то просьбе.
• Никому не сообщайте коды из СМС или push-уведомлений.
• Не разговаривайте с «сотрудниками банков». Если вам сообщают о несанкционированном списании средств с вашего счета — кладите трубку. Если хотите удостовериться, что все в порядке — перезвоните в банк самостоятельно по номеру, указанному на вашей карте.

Подробнее о Tool.RustDesk.1.origin

Подробнее о Android.FakeApp.1426

Индикаторы компрометации:

• помощникбанков[.]рф
• поддержкабанка[.]рф
• поддержка-банка[.]рф
• цбподдержка[.]рф
• поддержкацб[.]рф
• 24поддержка[.]рф

• sha1:2fcee98226ef238e5daa589fb338f387121880c6
• sha1:f28cb04a56d645067815d91d079b060089dbe9fe
• sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
• sha1:535ecea51c63d3184981db61b3c0f472cda10092
• sha1:ee406a21dcb4fe02feb514b9c17175ee95625213