Специалисты компании «Солар» обнаружили и заблокировали поддельные веб-сайты, которые обещали крупные денежные пособия от имени государства. Через эти сайты мошенники крадут личные данные и получают доступ к банковским счетам своих жертв, заявили в пресс-службе компании. Об этом стало известно сетевому изданию РИА Новости.
Фальшивый сайт, на который злоумышленники привлекали жертв, имитировал платформу «Госуслуги» под названием gos-uslugi[.]biz. Здесь жертвам предлагалось «оформить заявку» на получение крупного денежного пособия, после чего их направляли на страницу для ввода личных данных: ФИО, номер телефона и банковской карты. Затем пользователей перенаправляли на страницу, где им предлагалось скачать «сертификат безопасности», который на самом деле был вредоносным приложением для Android.
На следующем этапе жертвы переходили на второй веб-сайт, где им снова нужно было ввести личные данные и загрузить вредоносный «сертификат». Таким образом, мошенники обеспечивали себя запасным вариантом, чтобы использовать его в случае, если пользователь не предоставит информацию или не загрузит вирус на первом этапе.
«Интересно, что в качестве хостинга для вредоносного приложения использовался украинский сервис Ucoz. По данным Solar AURA, такие случаи встречаются редко — в большинстве фишинговых атак, с которыми сталкиваются эксперты, используются российские или европейские дата-центры», — отметили в компании «Солар».
Вредоносное приложение, которым пользовались злоумышленники, запрашивало разрешение на автозапуск, чтение и отправку SMS-сообщений. После запуска приложение работало в фоновом режиме. Эти функции были достаточными для взлома банковского счета, поскольку у мошенников были личные данные, позволяющие им авторизоваться в онлайн-банкинге через код из SMS-сообщений. Есть вероятность, что этот же вирус мог бы использоваться для вывода денег жертвы через SMS-банкинг.
