Эксперты UserGate uFactor: троянский мамонт каждый месяц заражает 30 тысяч устройств россиян

Эксперты UserGate uFactor сообщают: мошенники активно распространяют вирус RAT Mamont, который крадет данные пользователей и может использоваться для хищения денег с банковских счетов россиян. Аналитик компьютерных инцидентов UserGate uFactor Иван Князев пояснил, что чаще всего Mamont находят на недорогих смартфонах под управлением Android, которыми пользуются представители «группы риска» — пожилые и далекие от современных технологий люди.

Android — операционная система, уязвимости которой хорошо известны специалистам. Но киберпреступники совершенствуют свои методы и постоянно находят новые способы атаки. Недавно особенно активно стали использовать зловредное программное обеспечение Mamont. Оно относится к классу RAT — удаленно управляемых троянов. Опасность таких вирусов в том, что они, ничем не выдавая своего присутствия на смартфоне, способны перехватывать смс- и пуш‑уведомления, в том числе и те, в которых содержатся коды доступа к банковским приложениям, Госуслугам и т.п.

Как рассказал аналитик компьютерных инцидентов UserGate uFactor Иван Князев,

«в последнее время особенно часто злоумышленники используют “облегченные” версии Mamont’а, так называемые SMS‑RAT, — трояны, нацеленные на сбор данных о телеметрии устройств, смс, звонках и базовой информации об устройстве. Такие зловреды распространяются через фишинговые рассылки, сообщения в чатах мессенджеров и социальных сетях. В качестве примера можно привести иногда появляющиеся сообщения в домовых чатах: их участникам предлагается посмотреть фото или видео с якобы интересным, а то и скандальным содержанием, и для этого скачать прилагаемый файл. Обычно этот файл имеет расширение APK, и если скачать его, то на смартфон установится новое, зловредное программа».

Такие файлы, подчеркивает эксперт, могут рассылаться и в личных чатах, даже от имени близких знакомых или родных жертвы, если их аккаунты были взломаны злоумышленниками.

После установки Mamont работает как браузерная оболочка — надстройка интернет-браузера, которая позволяет получить к нему удаленный доступ, а также управлять файлами на устройстве, изменять его настройки. Затем, обычно, зловред передает на хакерский сервер минимальный набор данных об устройстве: информацию о сим‑картах и номерах, архив смс‑сообщений и иногда — сведения об установленных приложениях. Этого достаточно для того, чтобы злоумышленник решил, каким образом он может применять зараженное девайс. Он может просто пассивно собирать данные в надежде на то, что их можно будет использовать в дальнейшем или просто продать. Также хакер может управлять смартфоном: отправлять смс от имени жертвы (в том числе на короткие номера), выполнять USSD‑команды, которые используются, например, для проверки баланса или переадресации вызова на подконтрольный ему номер, чтобы те, кто звонят жертве, практически попадали к мошеннику. Сбор информации об устройстве опасен уже сам по себе: злоумышленники могут использовать полученные информация для целевой атаки на пользователя с применением методов социальной инженерии, ведь в их руках будут находиться данные об использовании банковских приложений, покупках на маркетплейсах, переписке и другая личная конфиденциальная информация, не говоря уже о персональных данных. Наконец, SMS‑RAT могут быть использованы и для прямой кражи средств через банковские приложения, денежные переводы и т.п.

По статистике, Mamont ежемесячно заражает порядка 30 тысяч устройств в России. Существует и детализация: она показывает, что чаще всего вирус обнаруживают на сравнительно недорогих, простых устройствах, которые приобретаются для родителей или пожилых родственников — тех, кто входит в группу риска потенциальных жертв мошенников. Поэтому первой мерой защиты от «мамонтовских атак» должны быть беседы с теми, кто плохо разбирается в технологиях. Им нужно рассказать о том, к какой беде может привести установка неизвестного ПО и какими уловками могут воспользоваться преступники.

Чтобы обезопасить себя от хакерских атаки с использованием Mamont’а, эксперт рекомендует неукоснительно соблюдать правила виртуальный гигиены.

«В настройках Android есть возможность запретить установку приложений из неизвестных источников. Эта опция должна быть включена всегда, — рассказывает Иван Князев. — Инсталлировать вирус «напрямую» будет невозможно, и жертве потребуется совершить дополнительное действие в настройках. Причем нужно соблюдать осторожность в отношении даже тех файлов, которые получены от родных и близких. Довольно может быть, что их девайс уже взломано и они даже не представляют, что от их имени идет рассылка. Второе правило безопасности — использование только тех приложений, которые получены исключительно из авторизованных источников, таких как Google Play, Samsung Store, Huawei AppGallery, Xiaomi GetApps или RuStore. Наконец, третье правило безопасности — не стоит пренебрегать использованием антивирусов. Одновременно следует помнить, что в большинстве случаев они только предупреждают об угрозе, но не устраняют последствия. Поэтому игнорировать срабатывание антивируса нельзя, а каждое из них должно проверяться дополнительно».