Игры для мобильных – очень перспективный вектор атаки для киберпреступников, и выпущенная на прошлой неделе игра для Android Pokemon GO является прямым тому доказательством.
Первая игра Pokemon GO для iOS и Android была выпущена в Австралии и Новой Зеландии 4 июля. В Америке появилась 6 июля и через три дня стала одним из наиболее часто используемых приложений в Google Play Store, по данным .
Киберпреступники не упустили возможность и довольно быстро создали вредоносный клон, который маскировался под игру Pokemon GO. Этот клон представлял собой инструмент для получения удаленного доступа к устройству и получил имя DroidJack, он был впервые замечен спустя 72 часа после официального релиза игры. Основной целью являлись пользователи, проживающие за пределами Австралии, Новой Зеландии и Америки, так как они не могли получить игру из официальных источников.
Пользователи довольно часто пользуются услугами сторонних, неофициальных источников, чтобы загрузить приложения или игры, недоступные в их регионе. В настоящее время существует много инструкций, содержащих подробную информацию о том, как это сделать. Это очень рискованный подход и пользователей часто предупреждают об этом.
В случае с игрой Pokemon GO злоумышленники сработали очень быстро, буквально в течение 3-ех дней создав вредоносный APK-файл и тем самым успели воспользоваться ажиотажем вокруг официальной игры. Однако пользователи были предупреждены о вредоносном функционале клона, им следовало уделить больше внимания тому, какие разрешения запрашивает приложение на устройстве.
Скрытый внутри APK-файла вредонос DroidJack (также известный как SandroRAT) запрашивал не совсем обычные разрешения на устройстве, подчеркивают исследователи Proofpoint. К таким разрешениям относятся разрешения на чтение и редактирование текстовых сообщений, возможность делать телефонные звонки, записывать звук, изменять контакты, закладки, читать историю веб-поиска, подключение к Wi-Fi, а также изменение приложений, запускающихся при старте системы.
Все эти разрешения соответствуют функционалу DroidJack, мобильной угрозе, распространяющейся примерно с 2014 года. DroidJack может красть пользовательские сообщения, журналы вызовов, контактов, историю браузера и список установленных приложений. Также он может выполнять удаленные : снимать фотографии, записывать видео и звонки, отправлять SMS и многое другое.
Выпущенный в Google Play под именем Sandroid в 2013 году, DroidJack был первоначально разработан для того, чтобы пользователи могли контролировать свой компьютер при помощи Android-устройства. SandroRAT впервые появился в декабре 2013 года на одном из хакерских форумах, но его вариант DroidJack обнаружили только в июне 2014. Продавался он тогда на собственном сайте по цене $210 за пожизненное использование, отмечают эксперты Symantec.
В октябре 2015 года европейские правоохранительные органы задержали подозреваемых в покупке и использовании DroidJack. В ноябре 2015 исследователи проанализировали OmniRAT, схожий с DroidJack по функционалу инструмент, который изначально распространялся как легитимное приложение, а позднее стал использоваться в злонамеренных целях.
По словам Proofpoint, вредоносный клон игры Pokemon GO имел тот же стартовый экран, что и оригинальная игра, тем самым, пытаясь запутать пользователей, заставляя их поверить в то, что они установили легитимное приложение.
Исследователи также обнаружили, что DroidJack был сконфигурирован для связи с командным центром pokemon[.]no-ip[.]org через TCP и UDP порт 1337. IP-адрес командного центра указывает на Турцию (88.233.178[.]130), отмечают исследователи.
Зловредный клон игры Pokemon GO является ярким доказательством того, что пользователям следует всегда пользоваться официальными источниками для загрузки приложений или игр. Киберпреступники всегда следят за трендами, популярными приложениями и не упустят возможность использовать популярность оных в своих целях.
Сотрудники отдела по борьбе с противоправным использованием информационно-телекоммуникационных технологий УМВД России по Пензенской области выявили и задержали подозреваемого во взломе учётных записей пользователей маркетплейсов. По версии следствия, он оформлял от их имени покупки дорогостоящих товаров в рассрочку.
Об успешной операции пензенских киберполицейских пишут местные СМИ со ссылкой на пресс-службу регионального УМВД. Дело было возбуждено после трёх обращений жителей Пензенской области о несанкционированных списаниях с их платёжных карт крупных сумм. Ущерб по этим эпизодам составил 150 тыс. рублей.
По факту произошедшего было возбуждено уголовное дело по ч. 3 статьи 158 УК РФ (кража). В ходе оперативных мероприятий следствие вышло на 20-летнего жителя Рязанской области. По данным полиции, он покупал в теневом сегменте интернета сим-карты с номерами, которые ранее использовались для регистрации на маркетплейсах, а затем были вновь переданы операторам. Эти сим-карты злоумышленник применял для захвата учётных записей пользователей, не отвязавших от аккаунтов старые номера.
От имени владельцев таких аккаунтов он приобретал дорогостоящие товары в рассрочку, а затем перепродавал их. После достижения лимитов на рассрочку злоумышленник, по версии следствия, продавал и сами учётные записи. Кроме того, как выяснилось, фигурант активно регистрировал подставные аккаунты в различных мессенджерах и также торговал ими.
В ходе следственных мероприятий подозреваемого задержали. У него изъяли семь телефонов, около 100 сим-карт, большое количество банковских карт и компьютерную технику.
Как сообщили в УМВД по Пензенской области, фигуранту также предъявлены дополнительные обвинения по ч. 2 статьи 272 УК РФ (неправомерный доступ к компьютерной информации) и статье 274.4 УК РФ (организация деятельности по передаче абонентских номеров с нарушением законодательства РФ). Ему избрана мера пресечения в виде заключения под стражу.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
