В Нигерии задержаны трое граждан по делу о финансовом фроде с помощью RAT

Татьяна Никитина 31 Мая 2022 - 18:59

Домашние пользователи

...

Интерпол сообщил о трех арестах в Лагосе в рамках трансграничной операции Killer Bee. Задержанные нигерийцы предположительно являются членами ОПГ, которая работала по BEC-схеме: воровала с помощью RAT-трояна ключи к корпоративной почте и от имени жертвы рассылала письма ее подчиненным или партнерам с просьбой срочно перевести деньги на указанный счет.

Поводом для проведения Killer Bee послужил рост количества атак с использованием RAT-инструмента Agent Tesla в Азиатско-Тихоокеанском регионе. Свидетельства возросшей вредоносной активности предоставил Интерполу его партнер — ИБ-компания Trend Micro; в операции приняли участие правоохранительные органы Нигерии и 10 стран Юго-Восточной Азии.

По имеющимся данным, взятая на мушку группа мошенников предпочитает атаковать крупные компании, в том числе представителей газонефтяной индустрии Ближнего Востока, Северной Африки и Юго-Восточной Азии. Размеры ущерба от деятельности данной ОПГ пока неизвестны, Интерпол обещает дальнейшие аресты и судебные процессы по итогам запущенного расследования.

При аресте у троих нигерийцев в возрасте от 31 года до 38 лет были изъяты фальшивые документы, в том числе подложные инвойсы и официальные письма. Изучение их лэптопов и мобильных телефонов показало наличие признаков систематического использования Agent Tesla для доступа к чужим компьютерам и вывода чужих денег на подставные счета.

Одного из подозреваемых суд уже признал виновным в совершении таких преступлений, как владение поддельными документами, отъем денег путем подлога, получение доходов противозаконными методами и выдача себя за другое лицо. По совокупности осужденного, согласно нигерийским законам, могут посадить на 1 год. Его подельникам инкриминируют лишь владение фиктивными документами; приговор им пока не вынесли.

Злоумышленники предположительно использовали Agent Tesla для кражи учетных данных, получения доступа к переписке жертв и сбора информации, необходимой для успешного проведения BEC-атак. По данным корейской ИБ-компании AhnLab, в настоящее время этот инструмент удаленного администрирования возглавляет список наиболее активных зловредов, обогнав даже таких резвых инфостилеров, как Formbook, RedLine и Lokibot.

Несколько дней назад Интерпол и партнеры окончательно развалили другой нигерийский BEC-синдикат — SilverTerrier: полиции удалось арестовать ее главаря. Международная операция по истреблению этой кибербанды, также вооруженной, в числе прочего, Agent Tesla, продолжалась более двух лет. Вначале удалось поймать только трех сообщников, а в январе этого года в Нигерии были задержаны еще 11 граждан.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 10 Февраля 2026 - 09:08

Android Трояны Домашние пользователи F6

Опасный Android-троян Falcon охотится на пользователей в России

Специалисты F6 сообщили о новой волне атак с использованием банковского Android-трояна Falcon. С конца 2025 года злоумышленники с его помощью похищают деньги и данные банковских карт клиентов крупнейших финансовых организаций России.

По данным F6, Falcon нацелен на более чем 30 приложений — от мобильных банков и инвестиционных сервисов до госсервисов, маркетплейсов, мессенджеров и приложений для бесконтактных платежей.

Уже сейчас, по оценкам аналитиков, скомпрометированы данные нескольких тысяч банковских карт.

Falcon — вредоносная программа для Android, впервые обнаруженная ещё в 2021 году. Она основана на банковском трояне Anubis и со временем заметно «прокачалась».

Если раньше зловред в основном маскировался под приложения российских банков, то с 2025 года злоумышленники используют обновлённую версию Falcon. В неё добавили модуль VNC для удалённого управления устройством, а также возможность передавать украденные данные через Telegram.

В начале 2026 года специалисты департаментов Threat Intelligence и Fraud Protection компании F6 зафиксировали новые образцы Falcon, ориентированные именно на пользователей Android в России.

При установке Falcon запрашивает доступ к сервису Android Accessibility — легитимному механизму, предназначенному для помощи людям с ограниченными возможностями. Если пользователь выдаёт это разрешение, троян получает практически неограниченный контроль над устройством.

Злоумышленники могут:

читать, отправлять и удалять СМС;
перехватывать коды подтверждения;
совершать телефонные звонки;
получать доступ к контактам;
выполнять USSD-запросы и операции через мобильный банк даже без подключения к интернету.

Это позволяет обходить двухфакторную аутентификацию и проводить финансовые операции от имени жертвы.

Falcon работает по классической, но всё ещё эффективной схеме. Когда пользователь запускает одно из целевых приложений — будь то банк, маркетплейс или мессенджер, — троян накладывает поверх него фейковое окно с практически идентичным дизайном.

В результате пользователь сам вводит данные банковской карты, логины и пароли, даже не подозревая, что работает уже не с настоящим приложением.

Как отмечают в F6, Falcon выгодно отличается от других троянов, которые используются против пользователей в России.

«Falcon значительно более автоматизирован, чем многие другие зловреды, например Mamont. Это редкий тип инструмента в арсенале киберпреступников, но уже сейчас видно, какой ущерб он может нанести банкам и их клиентам», — поясняет Елена Шамшина, руководитель департамента Threat Intelligence компании F6.

По её словам, счёт уже идёт на тысячи скомпрометированных карт, и без дополнительных мер защиты масштабы атак могут вырасти.

Эксперты напоминают: установка приложений только из официальных источников, внимательное отношение к запрашиваемым разрешениям и отказ от выдачи доступа к Accessibility — по-прежнему один из ключевых способов снизить риск заражения.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »