Часть сетевой инфраструктуры шпионского приложения Mamont для Android, с помощью которого хакеры крали деньги с банковских карт, все еще действует. Об этом сообщили эксперты центра исследования киберугроз Solar4RAYS группы компаний «Солар».
Специалисты выявили четыре рабочих сервера Mamont и один управляющий сервер с функциональностью, которая создает новые версии приложения.
Для установки Mamont злоумышленники последние месяцы рассылали сообщения с прилагающимся «видео» и текстом «Это ты на видео?». После скачивания жертву перенаправляли на страницу с анимацией загрузки, а вредоносное приложение запускалось в скрытом режиме.
Далее программа собирала данные об устройстве, осуществляла звонки, перехватывала СМС и отправляла их на сервер хакеров. Это позволяло преступникам получать доступ к мессенджерам, сбрасывать пароли, совершать банковские операции без ведома владельца и оформлять платные подписки.
Ситуация с продолжающей работой инфраструктуры шпионского ПО Mamont подчеркивает, насколько устойчивыми и живучими могут быть вредоносные кампании, особенно если за ними стоят хорошо организованные группы, отметил член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин. «Наличие активных управляющих серверов говорит о том, что операция еще не завершена и может быть масштабирована. Это требует как технического реагирования со стороны ИБ-специалистов, так и активных действий со стороны пользователей», - добавил он.
Распространение Mamont через социальную инженерию — в частности, сообщения вида «Это ты на видео?» — в очередной раз демонстрирует эффективность простых, но психологически давящих методов. «Люди по-прежнему склонны открывать подозрительные файлы из-за любопытства или страха. При этом загрузка и активация вредоносного ПО происходят незаметно, что делает подобные атаки особенно опасными для обычных пользователей», - пояснил Немкин.
Функциональность Mamont, включая сбор данных, перехват СМС и доступ к мессенджерам, превращает смартфон в полноценный инструмент удаленного контроля. Особенно опасна возможность обхода двухфакторной аутентификации — это критический вектор для атак на бизнес-среду. Под ударом оказываются как личные финансы, так и корпоративные ресурсы, доступ к которым часто обеспечивается именно через мобильные устройства.
«Пользователям и организациям необходимо уделять особое внимание информационно безопасности. Это включает использование проверенных антивирусов, регулярный аудит установленных приложений, обучение сотрудников методам распознавания фишинга, а также отказ от установки ПО из неизвестных источников. Кроме того, ИБ-специалистам стоит настраивать мониторинг подозрительной активности, в том числе на уровне мобильных устройств», - заключил депутат.
Специалисты выявили четыре рабочих сервера Mamont и один управляющий сервер с функциональностью, которая создает новые версии приложения.
Для установки Mamont злоумышленники последние месяцы рассылали сообщения с прилагающимся «видео» и текстом «Это ты на видео?». После скачивания жертву перенаправляли на страницу с анимацией загрузки, а вредоносное приложение запускалось в скрытом режиме.
Далее программа собирала данные об устройстве, осуществляла звонки, перехватывала СМС и отправляла их на сервер хакеров. Это позволяло преступникам получать доступ к мессенджерам, сбрасывать пароли, совершать банковские операции без ведома владельца и оформлять платные подписки.
Ситуация с продолжающей работой инфраструктуры шпионского ПО Mamont подчеркивает, насколько устойчивыми и живучими могут быть вредоносные кампании, особенно если за ними стоят хорошо организованные группы, отметил член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин. «Наличие активных управляющих серверов говорит о том, что операция еще не завершена и может быть масштабирована. Это требует как технического реагирования со стороны ИБ-специалистов, так и активных действий со стороны пользователей», - добавил он.
Распространение Mamont через социальную инженерию — в частности, сообщения вида «Это ты на видео?» — в очередной раз демонстрирует эффективность простых, но психологически давящих методов. «Люди по-прежнему склонны открывать подозрительные файлы из-за любопытства или страха. При этом загрузка и активация вредоносного ПО происходят незаметно, что делает подобные атаки особенно опасными для обычных пользователей», - пояснил Немкин.
Функциональность Mamont, включая сбор данных, перехват СМС и доступ к мессенджерам, превращает смартфон в полноценный инструмент удаленного контроля. Особенно опасна возможность обхода двухфакторной аутентификации — это критический вектор для атак на бизнес-среду. Под ударом оказываются как личные финансы, так и корпоративные ресурсы, доступ к которым часто обеспечивается именно через мобильные устройства.
«Пользователям и организациям необходимо уделять особое внимание информационно безопасности. Это включает использование проверенных антивирусов, регулярный аудит установленных приложений, обучение сотрудников методам распознавания фишинга, а также отказ от установки ПО из неизвестных источников. Кроме того, ИБ-специалистам стоит настраивать мониторинг подозрительной активности, в том числе на уровне мобильных устройств», - заключил депутат.