Sextortion-вымогатели пишут письма на русском, чтобы обойти фильтры

Sextortion-вымогатели пишут письма на русском, чтобы обойти фильтры

Sextortion-вымогатели пишут письма на русском, чтобы обойти фильтры

Злоумышленники, занимающиеся вымогательством вида sextortion, взяли на вооружение новую тактику, помогающую обходить различные спам-фильтры и защитные шлюзы. Напомним, что sextortion — особый тип онлайн-вымогательства, получивший в последнее время распространение среди киберпреступников.

Атакующие, как правило, убеждают жертву, что в их распоряжении есть видеозапись, доказывающая факт и процесс посещения порнографического сайта. Чтобы эти медиаматериалы никуда не попали, пользователю нужно заплатить вымогателям определённую сумму.

Sextortion стал настолько распространён, что защитные email-шлюзы и спам-фильтры научились быстро вычислять и перехватывать такие письма. Однако новая тактика преступников, похоже, решает эту проблему.

Чтобы обойти вышеупомянутые фильтры, атакующие отправляют письма на иностранных языках, а адреса кошельков для перевода делят на две части. Ниже приводится пример такого письма, написанного на русском языке, но предназначенного для англоговорящих пользователей.

Текст письма (вверху вымогатели призывают использовать сервис Google Переводчик):

«В последний раз Вы посетили порнографический веб-сайт с молодыми подростками, вы загрузили и установили автоматически шпионишь программное обеспечение, которое я создал. Моя программа включила вашу камеру и записала акт вашего возмущения и видео, которое вы наблюдали во время возмущения».

«Я также получил ваши списки контактов, номера телефонов, электронные письма, контакты в социальных сетях. У меня есть видео файл g_c.mp4 с ur mαsturbatioɳ и файл со всеми вашими контактами на моем жестком диске. Если вы хотите, чтобы я удалил оба файла и сохранил ваш секрет, вы должны передать мне биткойн-агент. Я даю вам 72 часа, чтобы перечислить средства».

«Сумма: 0,14 бит-монеты (приблизительно)

Часть 1 бит-монеты: 3Bv9QgEw15QQo1T

Часть 2 бит-адреса: EUVW4hbBkkd2fEtFfPP

Важно: Вы должны соединить две части (часть 1 адреса бит-монета + часть 2 адреса бит-монеты) без пробелов между ними. Вы также можете сохранить это где-то, чтобы не потерять детали.

Быстрая подсказка! Вы можете купить Bit-Coin от Paxful. Используйте Google, чтобы найти его».

«В следующий раз, когда вы закроете свои камеры, кто-нибудь может посмотреть это! Ограничьте себя один раз в месяц, если вы не можете полностью перейти на NoFap».

Таким образом, вымогатели выбирают потенциальные проблемы с переводом, рассчитывая на гарантированный обход спамерских фильтров.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru