Group-IB: Новый вирус распространяется через MMS от друзей

Group-IB: Новый вирус распространяется через MMS от друзей

Group-IB: Новый вирус распространяется через MMS от друзей

Система раннего обнаружения киберугроз компании Group-IB, специализирующейся на предотвращении преступлений с использованием высоких технологий, зафиксировала активное распространение новой вредоносной программы, работающей под ОС Android.

Вирус использует данные из телефонной книжки зараженного абонента, а антивирусное ПО не детектирует программу как вредоносную. Многие пользователи телефонов на ОС Android за последнюю неделю получили MMS-сообщения от кого-то из своего контакт-листа со ссылкой. В начале сообщения вирус подставлял имя из записной книжки зараженного лица.

 

 

При переходе по ссылке пользователь видел надпись «Уважаемый пользователь, вам пришла ммс-фотография. Посмотреть вы ее можете по ссылке ниже». При нажатии на кнопку «Посмотреть» на устройство загружалась вредоносная программа с расширением .APK. Также злоумышленники заботливо сопроводили спам инструкцией «Во время установки, нажмите НАСТРОЙКИ -> Разрешить установку из неизвестных источников -> OK», пишет group-ib.ru.

Механизм работы вируса

Попадая на устройство, вредоносная программа рассылает себя по контактным листам жертвы. Параллельно она делает запрос на номер SMS-банкинга жертвы, узнает баланс счета и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS-сообщений, в результате чего жертва не подозревает, что у нее снимают деньги, даже если подключена функция SMS-оповещений о списаниях.

Также в функционал программы входит показ т.н. веб-фейков – окон браузера, визуально схожих с окошками авторизации банковских приложений. Вводя в них данные банковских карт, жертва отправляла их злоумышленникам напрямую. В ряде случаев вредоносная программа могла также блокировать телефон.

«Эта угроза направлена на пользователей ОС Android – клиентов банков, использующих SMS-банкинг и пользователей мобильных банковских приложений. Характерно, что антивирусные программы, установленные на телефонах жертв, ни на одном из этапов работы вируса не детектировали приложение как вредоносное (и продолжают его не детектировать). Антивирусы в этой ситуации просто не помогают», – сказал руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.

Банки, которые хотят защитить своих клиентов, должны взаимодействовать с компетентными организациями для оперативной блокировки сайтов, распространяющих вредоносное ПО с использованием символики и брендов финансовых учреждений, а также использовать комплексные решения: сервисы, которые позволяют без установки дополнительного программного обеспечения на устройства клиентов выявлять подготовку к хищениям денежных средств, и данные Threat Intelligence, позволяющие отслеживать и предупреждать атаки на пользователей еще на этапе подготовки.

Что делать, чтобы не заразиться:

  1. Настоятельно рекомендуем с максимальной осторожностью относится к «странным» сообщениям, полученных даже от знакомых их списка контактов
  2. Обращайте внимание на расширения загружаемых файлов
  3. Никогда не устанавливайте приложения для Android (.APK) из недоверенных источников и не давайте им дополнительных прав в системе.

Что делать, если вы уже заразились:

  1. Сделайте копию информации с телефона в Google Cloud, чтобы сохранить базу контактов. Этот контент можно безопасно скопировать на ПК.
  2. Сделайте на устройстве «factory reset» – возврат к заводским установкам.  
  3. Восстановите данные из облака и скопируйте с ПК
  4. Если вы ввели данные своей карты в регистрационной форме веб-фейка – немедленно заблокируйте карту.

Что делать банкам, чтобы защитить своих клиентов от подобных угроз:

  1. Взаимодействовать с компетентными организациями для оперативной блокировки сайтов, распространяющих вредоносное ПО с использованием символики и брендов финансовых учреждений.
  2. Использовать сервисы, позволяющие без установки дополнительного программного обеспечения на устройства клиентов выявлять подготовку к хищениям денежных средств.
  3. Использовать данные Threat Intelligence, позволяющие отслеживать и предупреждать атаки на пользователей еще на этапе подготовки.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК «Солар» выпустила NGFW для ретейла, МСБ и филиалов корпораций

ГК «Солар» представила новую линейку межсетевых экранов Solar NGFW — решения с меньшей производительностью, рассчитанные на защиту филиалов, удалённых офисов и небольших сетей. Новинки — это ПАКи Solar NGFW S (до 10 Гбит/с) и Solar NGFW М (до 20 Гбит/с) — подойдут как для малого и среднего бизнеса, так и для крупных компаний с распределённой инфраструктурой.

По данным самой компании, 56% российских организаций используют NGFW для защиты периметра, а 72% из них — это региональные заказчики и филиалы с типичной нагрузкой до 6 Гбит/с.

При этом стандартные решения с высокой производительностью (например, на 100 Гбит/с) для таких сценариев часто оказываются избыточными. Новые модели как раз закрывают этот сегмент.

По задумке, компактные NGFW от «Солара» могут применяться в разных отраслях. Например:

  • телеком-операторы — для защиты границ сетей в каждом филиале;
  • ретейл — для касс самообслуживания и других точек взаимодействия с клиентами;
  • добывающие и нефтегазовые компании — для защиты сетей на скважинах, станциях и перерабатывающих объектах.

Решения обеспечивают базовую фильтрацию трафика, контроль доступа, мониторинг, обнаружение угроз и защиту от атак. При этом важна не только производительность, но и устойчивость к сбоям и отказам.

Отдельно в компании подчёркивают рост атак в 2024 году: по данным Solar JSOC, доля сетевых атак удвоилась — с 14% до 27% от всех подтверждённых инцидентов. Это тоже подтолкнуло разработку решений для распределённых систем с невысокой нагрузкой.

Новые NGFW продолжают линейку продуктов, которую «Солар» активно обновляет: в 2025 году уже вышли версии 1.5 и 1.6. Среди ключевых изменений — централизованное управление, интеграции через API, автоматическое обновление сигнатур и более 26 тысяч встроенных сигнатур от центра Solar 4RAYS.

Весь стек Solar NGFW представлен как в виде виртуального решения, так и в виде ПАКов (всего 5 моделей), имеет сертификацию ФСТЭК по 4-му уровню доверия и включён в реестр отечественного ПО. Сейчас с NGFW от «Солара» работают более 100 крупных компаний, включая представителей госсектора, телекомов, нефтегаза, энергетики и промышленности.

По оценкам компании «Б1», рынок сетевой безопасности в России уже составляет около 88 млрд рублей — это 42% всего рынка ИБ-продуктов. До 2030 года ожидается рост этого направления на 15% в год, в том числе за счёт постепенного ухода от иностранных NGFW в пользу отечественных решений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru