Мошенничество с помощью ПО для удаленного доступа
Компания «Доктор Веб» сообщила об участившихся случаях мошенничества с применением программ для удаленного доступа к рабочему столу. Наиболее популярна у злоумышленников программа RustDesk.
Как отмечают в компании, в связи с недавними утечками фрагментов баз данных целого ряда банков у мошенников появился доступ к персональным данным клиентов, которые они используют для того, чтобы войти в доверие к жертвам. Представляясь сотрудниками поддержки банка, преступники сообщают о том, что на счете жертвы замечена подозрительная активность, которая может привести к потере денег, а чтобы воспрепятствовать краже, следует установить на устройство «защитную» программу. Злоумышленники предлагают перейти в магазин приложений и набрать в поисковой строке запросы типа «поддержка Сбербанка», «поддержка ВТБ» и т. п.
На самом деле, поясняют эксперты, до недавнего времени в топе выдачи Google Play по таким поисковым фразам находились программы типа AweSun Remote Desktop, RustDesk Remote Desktop, Удаленный рабочий стол AnyDesk. Это обусловлено тем, что система ранжирования приложений в Google Play учитывает, какое приложение выбирают пользователи, вводя тот или иной поисковый запрос. И чем больше людей, ищущих приложение по ключевым словам «поддержка имя_банка», совершит ошибку и перейдет по ссылке на приложение для удаленного администрирования, тем больше Google Play будет рекомендовать такую программу пользователям.
После установки приложения мошенники просят жертву сообщить им уникальный идентификатор, а затем берут устройство под свой контроль. Доступ к устройству позволяет им совершать платежи и переводы со счета жертвы. Причем доказать взлом и отозвать платежное поручение в такой ситуации невозможно, так как с точки зрения банка с системой платежей взаимодействует именно устройство клиента.
В настоящий момент компания Google сняла приложение RustDesk с публикации в магазине Google Play. Как следствие злоумышленники перевели свою деятельность за пределы площадки и теперь для реализации схемы мошенничества с удаленным управлением используют сайты – например, hххps://помощникбанков[.]рф.
На таких сайтах потенциальным жертвам предлагается скачать все то же приложение RustDesk. В некоторых случаях для большей убедительности в скачиваемых приложениях названия и иконка заменены на соответствующие тому или иному банку. Дополнительное психологическое воздействие оказывает и раздел с отзывами «довольных пользователей».
Антивирус Dr.Web детектирует приложение RustDesk как Tool.RustDesk.1.origin, а модифицированные приложения определяются как Android.FakeApp.1426. Для дополнительной безопасности компонент URL-фильтр блокирует доступ к сайтам злоумышленников.