Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, обнаружила новую версию популярной мошеннической схемы «Мамонт», в которой используется фейковый магазин Google Play. Под предлогом оформления доставки товара скамеры просят жертву скачать и установить из фейкового магазина мобильное приложение сервиса объявлений, под которое замаскирован шпионский Android-троян. Вирус помогает злоумышленникам незаметно списать деньги со счета жертвы — средняя сумма хищения составляет 67 000 рублей.
В классической схеме « Мамонт» мошенники похищают деньги и данные банковских карт у жертв под предлогом оформления фейковой покупки и доставки товаров с популярных маркетплейсов, аренды недвижимости, совместных поездок. По данным на конец лета 2023 года, в России по схеме «Мамонт» работали 17 активных преступных групп.
В сентябре специалисты Digital Risk Protection компании F.A.C.C.T. обнаружили новое мошенническое сообщество «Мамонта», которое использует Android-трояны в своих атаках. В новой схеме — и в этом ее главная опасность — злоумышленники не требуют ввода данных банковской карты на фишинговом сайте, а предлагают установить мобильное приложение сервиса объявлений с доставкой. Спрятанная в нем шпионская программа способна перехватывать вводимые данные банковской карты и входящие смс-коды для кражи денег со счетов клиентов российских банков.
Сама схема работает следующим образом: воркеры (участники сообщества, привлекающие жертв на скачивание вредоносного приложения) создают поддельные объявления о продаже товара в специальный Telegram-бот и на выходе получают ссылку на скачивание мобильного приложения — APK-файла.
Когда найден покупатель, и он готов оплатить товар, мошенники убеждают жертву продолжить разговор в мессенджере, чтобы ресурс с объявлениями не заблокировал сообщение со ссылкой на вредоносную программу, и скачать мобильное приложение, с помощью которого якобы уже можно оформить доставку. Вся легенда воркера строится на том, что он якобы является индивидуальным предпринимателем, и для покупки товара с доставкой, чаще всего это популярная электроника, одежда, обувь, его клиентам необходимо использовать специальную программу.
После перехода по ссылке жертве открывается поддельная страница Google Play, с которой надо скачать и установить мобильное приложение, довольно точно копирующее оформление и функционал реальных онлайн-площадок. Именно тут покупателю нужно оформить доставку. В момент оплаты мобильный троян перехватывает и отправляет участнику преступной группы — вбиверу — введенные данные банковской карты жертвы, а затем входящие sms с кодом подтверждения перевода для кражи денег со счета жертвы.
По данным F.A.C.C.T., от действий мошенников в сентябре пострадали клиенты банков как в России, так и Белоруссии. За 10 дней в сентябре с помощью поддельных приложений злоумышленники смогли украсть по обновленной схеме «Мамонт» почти 3 000 000 рублей, сделав 76 списаний. Средний чек от одной жертвы составлял 67 000 рублей.
«Старые трюки рано или поздно перестают приносить желаемый доход скамерам, и тогда они придумывают новые сценарии, приманки, меняют механику, — объясняет Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T. — Мы видели, как мошенники использовали в схеме «Мамонт» сгенерированные Telegram-ботами фишинговые страницы, затем они стали заражать жертв стилерами, похищавшими логины-пароли. Сейчас одна из группировок начала использовать мобильные трояны. Часть пользователей может решить, что мобильные приложения, похожие на известные сервисы, будто бы из официального стора, вряд ли скрывают опасность — на это и делают ставку злоумышленники».
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.