1316 доменов атакуют россиян шпионами под видом взломанного софта

Екатерина Быстрова 20 Июня 2024 - 12:01

Домашние пользователи

...

Более 1300 доменов распространяют вредоносные программы под видом взломанного популярного софта, офисных приложений и активаторов к ним. На киберпреступную активность указали специалисты компании F.A.C.C.T.

Злоумышленники делают ставку на недоступность ряда программ в России, чем и пытаются прилечь пользователей. Если жертва клюнет на уловку, на компьютер установится шпионский софт, инфостилер или майнер.

Исследователи из Центра кибербезопасности F.A.C.C.T. выявили в общей сложности 1316 уникальных доменов, напрямую связанных с вредоносными веб-ресурсами, на которых предлагается нелегально установить софт.

На таких сайтах можно найти редакторы фотоматериалов, программы для монтажа видео, офисные приложения, софт для проектирования и моделирования и даже антивирусные программы.

В первом квартале 2024 года киберпреступники зарегистрировали 28 доменных имён. В арсенале мошенников есть и более древние домены, однако часть из них, по данным F.A.C.C.T., уже не работает.

Реклама злонамеренных сайтов размещается в различных соцсетях: в LinkedIn, например, эксперты нашли более 300 аккаунтов, продвигающих эти ресурсы.

Что касается самих вредоносов, жертвы получают на компьютер троян Amadey. Этот зловред, напомним, может собирать данные и загружать другие вредоносные программы.

В кампании также встречаются и инфостилеры: RedLine, Vidar, CryptBot и пр.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 29 Июня 2026 - 12:33

Android Трояны Домашние пользователи

Android-троян Rokarolla маскируется под Google Play Protect

Пока пользователи думают, что устанавливают защиту, мошенники устанавливают троян. Исследователи обнаружили новый Android-вредонос Rokarolla, который распространяется через поддельные сайты, маскируясь под Google Play Protect, Google Chrome, TikTok и другие популярные приложения.

На первый взгляд схема банальна — жертву уговаривают скачать APK с фейкового сайта.

После установки Rokarolla просит предоставить права Accessibility Service, доступ к СМС, уведомлениям и другим важным функциям. Если пользователь соглашается, смартфон фактически переходит под управление злоумышленников.

По данным исследователей, троян нацелен как минимум на 217 банковских и криптовалютных приложений. При запуске одного из них вредонос показывает фальшивую страницу входа, практически неотличимую от настоящей. Все введенные логины, пароли и платежные данные сразу отправляются на серверы операторов.

Но этим возможности Rokarolla не ограничиваются. Он умеет перехватывать СМС с одноразовыми кодами, отправлять сообщения от имени пользователя, блокировать телефонные звонки, подменять содержимое буфера обмена — например, криптокошельки, — а также вести кейлоггинг, делать скриншоты, извлекать текст с экрана и даже собирать контакты WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России).

Для управления заражённым устройством используется развитая инфраструктура командных серверов. Исследователи насчитали не менее 137 удалённых команд, позволяющих обновлять настройки атаки, запускать новые фишинговые страницы, управлять устройством и собирать данные.

Чтобы оставаться незаметным, Rokarolla пытается отключить Google Play Protect, скрывает свой значок, подавляет уведомления и использует обманные оверлеи, мешающие пользователю заметить подозрительную активность.

Эксперты отмечают, что современные банковские трояны постепенно превращаются в универсальные платформы для цифрового мошенничества. Лучшей защитой по-прежнему остается отказ от установки приложений из сторонних источников, использование только Google Play, включенный Play Protect и максимально осторожное отношение к запросам на выдачу прав Accessibility.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!