В последнее время злоумышленники все чаще используют мессенджер Telegram в качестве управляющего сервера (C2) для вредоносных программ.
Исследование специалистов Positive Technologies показало, что более тысячи ботов telegram индонезийского происхождения используются для перехвата одноразовых кодов, необходимых для входа в различные сервисы и учетные записи пользователей. Судя по регионам загрузки вредоносных образцов, жертвами атак также могли стать жители России и Белоруссии.
Основная масса вредоносных программ состоит из двух типов стилеро - SMS Webpro и NotifySmsStealer. Злоумышленники не создают свои вредоносные программы с нуля, а используют готовые шаблоны. Структура классов, названия и код этих стилизаторов идентичны, отличаются только серверы-образцы C2 и формат сообщений Telegram.
Атаки нацелены на обычных пользователей, которые получают фишинговые сообщения с вложением в виде APK-файла. Загружая этот файл, жертвы невольно устанавливают на свои телефоны SMS-стилер, позволяющий злоумышленникам перехватывать одноразовые коды для входа в сервисы. Получив одноразовый пароль от банковского счета, преступники могут снимать средства со счета жертвы.
Для защиты от подобных атак эксперты рекомендуют проверять расширения получаемых файлов, не скачивать приложения по ссылкам из сообщений с незнакомых номеров, даже если отправители представляются сотрудниками банка, проверять правильность названия приложения через официальные источники при загрузке из Google Play, а также не скачивать и не устанавливать приложения, которые не соответствуют требованиям. требуются подозрительные разрешения. Следование этим рекомендациям поможет пользователям значительно снизить риск заражения их устройств вредоносными программами и защитить свои данные от киберпреступников.
]]>
