Фишеры от имени Красное и белое и Додо пицца навязывают платный фитнес

Фишеры от имени Красное и белое и Додо пицца навязывают платный фитнес

Фишеры от имени Красное и белое и Додо пицца навязывают платный фитнес

За два месяца «РТК-Солар» выявила более 2000 доменов, созданных в рамках фишинговой схемы, использующей бренды «Красное и белое» и «Додо пицца». Мошенники устроили в соцсетях розыгрыш с призом в виде пиццы или бутылки вина за 1 рубль, воруют данные банковских карт и привязывают их к несуществующему фитнес-сервису с регулярным списанием средств.

Схожие атаки эксперты наблюдают каждые 4-6 месяцев. Новый всплеск активности фишеров удалось погасить благодаря взаимодействию с регистраторами доменов и регуляторами. Обращение в банк, подключивший интернет-эквайринг, помогло сократить потери пользователей в несколько раз (согласно «РТК-Солар»).

Поддельные сообщения об акции распространяются мессенджерах и группах, специально созданных в социальных сетях. Претендентам на участие предлагается передать ссылку 10-20 друзьям. Ранее эти URL были непосредственно привязаны к фишинговому сайту, а теперь злоумышленники используют редиректы и с этой целью регистрируют тысячи доменов, цепочка которых постоянно изменяется.

Сайты фишеров однотипны и рекламируют курс онлайн-тренинга для сжигания жира, на который принудительно подписывают посетителей. Как выяснилось, большинство опций на этих ресурсах не работает, подробности оформляемой подписки отсутствуют, а публичная оферта, хотя и содержит данные юрлица, сомнительна.

«Вредоносные домены не имели привязки к бренду — это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq, — комментирует эксперт Solar JSOC Александр Вураско. — Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена. Но самое интересное в новом витке схемы — это непосредственно процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые 5 дней с нее списывали 889 рублей. Деньги поступали на счет реально существующего юрлица в банке из ТОП-20. Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством подписчиков».

По словам «РТК-Солар», пик атаки, использующей имена «Красное и белое» и «Додо пицца», уже пройден. Созданные фишерами сайты заблокированы, массовые рассылки в мессенджерах и соцсетях не фиксируются. Однако можно ожидать, что в дальнейшем данная схема всплывет вновь — только сменит форму.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru