Всем привет!
Специалисты Angara MTDR выявили и исследовали новую волну кибермошенничества с установкой вредоносных приложений на телефон. В этот раз злоумышленники предлагают получить бонус от банка и предоставить доступ к своему телефону.
Сегодня Александр Гантимуров, руководитель направления обратной разработки, и Егор Григорьев, младший эксперт по защите бренда, расскажут, как это выглядит со стороны пользователя, чем грозит и как это работает внутри.
Введение
В настоящее время банковский сектор остается одной из наиболее привлекательных целей для злоумышленников, в связи с чем банки и их клиенты постоянно сталкиваются с различными угрозами. Одна из таких угроз — вредоносное программное обеспечение (ВПО). Атаки с использованием ВПО могут проводиться при помощи рассылок в мессенджерах, SMS-сообщениях, по электронной почте, а также при помощи фишинговых сайтов, схожих с официальными банковскими ресурсами, где жертв под различными предлогами убеждают установить «официальное» приложение.
В результате установки такого приложения на устройство пользователя внедряется вредоносная программа. Она может позволить злоумышленникам не только украсть личные данные и денежные средства со счета, но и получить полный доступ к управлению устройством. Так, по данным Банка России, в 2024 году атаки на клиентов финансовых организаций в 58% случаев проводились при помощи фишинговых ресурсов, на которых в том числе распространялось и вредоносное программное обеспечение.
В последнее время был зафиксирован всплеск активности сайтов, на которых клиентам предлагали принять участие в опросе об удовлетворенности работой и услугами определенных банков. За прохождение подобного опроса пользователям обещали денежное вознаграждение в размере 6 тыс. руб.
Описание сайтов
За последние три месяца было обнаружено 45 подобных сайтов, использующих атрибуты брендов крупных российских банков с «опросами об удовлетворенности» их работой. На деле данные сайты являются фишинговыми. Они созданы злоумышленниками для распространения вредоносного программного обеспечения и получения доступа к денежным средствам жертв.
На таких сайтах пользователям было необходимо ответить на несколько простых вопросов о работе банка.
Далее жертве для «получения выплаты» оставалось ввести номер телефона, привязанный к банковскому счету, указать пароль для входа в приложение банка и SMS-код. Как итог, пользователи передавали данные от личного кабинета банка в руки мошенников.
Финальным шагом для «получения вознаграждения» является установка тестового приложения «МирСБП», которое жертв просят установить в рамках инициативы по поддержке отечественного ПО.
Описание приложения
На самом же деле данное приложение представляет собой очередное ВПО семейства «Мамонт» для Android.
При установке приложение имеет название «СМС (СБП Выплаты)». Цель злоумышленников — обмануть жертву, мимикрируя под известный бренд, и побудить пользователя к дальнейшему запуску приложения, в результате чего будет выполняться заложенный вредоносный функционал. Злоумышленники не слишком заморачивались, и при установке на телефон с английским интерфейсом оно выглядит следующим образом:
При его открытии жертву просят ввести свой номер телефона и сделать его основным для работы с SMS-сообщениями.
Злоумышленники также указали, что данное приложение «безопасно» и «не имеет доступа к банковским данным — только к СМС для автоматической проверки статуса выплаты», чтобы вынудить жертву запустить ВПО. Особенно мила заметка о том, что приложение «Разработано в России. Поддержка отечественного ПО». Не совсем правда, но, как мы увидим далее, к доработке действительно привлекались русскоговорящие программисты.
Приложение также запрашивает и другие разрешения (с высоким риском) для реализации заложенного вредоносного функционала.
Табл. 1. Запрашиваемые разрешения для приложения
Наименование разрешения |
Описание |
android.permission.SEND_SMS |
Позволяет приложению отправлять SMS-сообщения с зараженного устройства |
android.permission.READ_PHONE_STATE |
Позволяет приложению считывать состояние устройства (в том числе IMEI) |
Позволяет приложению считывать SMS-сообщения, хранящиеся на устройстве |
|
android.permission.RECEIVE_MMS |
Позволяет приложению получать MMS-сообщения, входящие на устройство |
android.permission.RECEIVE_SMS |
Позволяет приложению получать SMS-сообщения, входящие на устройство |
android.permission.READ_CONTACTS |
Позволяет приложению считывать все контактные (адресные данные), хранящиеся на устройстве |
Уже 8 сентября приложение появилось на Virustotal, и, к примеру, DrWeb сразу начал определять его вредоносную суть, выявляя его как Android.Banker.Mamont.57.origin.
Алгоритм работы приложения
Если присмотреться внимательнее, то станет понятно, что за основу взяли приложение Simple Mobile Tools SMS. Это бесплатное приложение для обработки SMS, исходники которого есть на Github[1]. Приложение слегка доработали и даже оставили исходное название «com.simplemobiletools.smsmessenger.debug».
Прежде всего из изменений добавили запрос регистрации устройства, после которого инициализируется основной вредоносный функционал. В него входит отправка номера телефона, информации об устройстве и установленных приложениях на удаленный сервер злоумышленников.
Взаимодействие с удаленным сервером идет через библиотеку Retrofit2 — все команды и результаты работы отправляются просто и без изысков через JSON.
Примечательно, что авторы оставили комментарии о ходе работы своего кода на русском языке, чтобы нам было не слишком сложно исследовать.
Приложение также периодически запрашивает команды на отправку SMS с удаленного сервера и отсылает информацию о работе устройства.
Кроме этого, все входящие SMS на устройство жертвы перенаправляются на удаленный С2-сервер.
Единственным усложнением для анализа данного образца можно назвать сокрытие действительного адреса сервера злоумышленников в нативной библиотеке.
URL зашифрован при помощи XOR и дополнительно накрыт Base64. Нечасто такое увидишь, но из ключа шифрования мы узнаем о любви автора к собакам и скаму русских (наверное, комментарии на русском оставили специально для нас).
Еще из необычного: в коде есть функционал обнаружения песочниц. Если выявлен запуск в эмуляторе, под отладкой, с Frida или Magisk или же факт изменения контрольной суммы приложения, то отправляется сообщение в телеграм-чат и приложение завершает работу.
Но пока он никак не используется — возможно, увидим его работу в следующих версиях.
Ну и напоследок, если вам попало похожее приложение, то его можно проверить при помощи следующего YARA-правила.[u6] [ВА7] [ВА8] Или отправить на анализ к нам, или в любую песочницу: ANY.RUN, Opentip или Virustotal.
Табл. 3. YARA-правило для выявления аналогичных образцов ВПО
|
rule malware_android_Mamont_57 { meta: description = "[ MALW ] Detect Mamont.57 by strings" date = "2025-09-09" author = "Gantimurov/Angara MTDR" hash = "99fdf2902092b584447bdb23e19b7232" strings: $pkg_name = "com.simplemobiletools.smsmessenger.debug" wide $native_export = "Secret_getBaseUrl" ascii $native_key = "yaebalsobak228raziewebolshe-scamrusskihoneLOVE!" condition: uint32be(0) == 0x504B0304 and // Android AK $pkg_name and any of ($native*) } |
Подводим итоги
Таким образом, запуск данного приложения на устройстве дает возможность злоумышленнику получить информацию об установленных приложениях на устройстве жертвы, а также доступ к чтению и отправке SMS-сообщений. Благодаря этому мошенник может совершать различные действия в банковских и иных приложениях от имени владельца.
По нашим данным, около тысячи человек стали жертвами этой схемы злоумышленников.
Если вы тоже стали жертвой такого мошенничества, то рекомендуем немедленно позвонить в банк по официальному номеру телефона для блокировки ваших банковских карт и счетов. Также рекомендуем сменить пароли для всех важных аккаунтов и приложений, после чего воспользоваться антивирусным приложением для удаления ВПО с вашего устройства.
Как не стать жертвой мошенников
Для того чтобы не стать жертвой такого мошенничества, рекомендуем Вам:
1. Внимательно проверять домен, на котором располагается сайт, а также обращать внимание на оформление сайта. Подозрительные домены, некачественный дизайн и грамматические ошибки на сайте — явные признаки фишингового ресурса.
2. Не вводить коды из SMS и пароли на сторонних ресурсах. Банк никогда не попросит сообщить эти данные на сайте с опросом, в письме или мессенджере.
3. Уточнять информацию об акциях на официальном сайте или по номеру телефона банка.
4. Устанавливать приложения только из официальных магазинов.
5. Установить на свое устройство антивирусное приложение.
6. Критически относиться к предложениям о легком заработке на опросах и акциях.
Индикаторы компрометации (IOC)
Табл. 4. Списки индикаторов компрометации для приложения «СМС (СБП Выплаты)»
Описание |
IOC |
MD5 образца |
99fdf2902092b584447bdb23e19b7232 |
Название пакета |
com.simplemobiletools.smsmessenger.debug |
C2 для взаимодействия |
78.159.156[.]42 |
URL для отправки информации о выявленном факте работы в песочнице |
hXXps[:]//api.telegram[.]org/bot7810073365:AAEJ-Ppt1MGmgM6_C1PB0wXjs86zdKd-R5w/sendMessage?chat_id=7815936277 |
Также рады сообщить вам, что команда Angara MTDR запустила отдельное направление по вирусному анализу в составе нашего отдела реагирования на инциденты.
Мы не начинаем с нуля — мы структурировали и масштабировали наш многолетний опыт в этой области, чтобы предлагать клиентам полноценную и глубокую экспертизу.
Кому может быть полезно:
· Если у вас есть подозрительные файлы (исполняемые, документы, скрипты) и вам нужен детальный разбор с получением IoC, тактик и техник злоумышленника (TTP).
· Если есть подозрения на инцидент информационной безопасности и требуется профессиональная помощь в расследовании.
Для обращений по этим вопросам пишите нам на почту: response@angarasecurity.ru
[1]https://github.com/SimpleMobileTools/Simple‑SMS‑Messenger
40kTons
На картинке ключ замазали, а в YARA-правилах оставили
Angara_Security Автор
Из песни слов не выкинешь. Если обрезать Yara правило, то будет хуже выявлять
Angara_Security Автор
Спасибо за внимательность:)