Многоликий троян Rasket шантажирует владельцев Android-смартфонов

Олеся Афанасьева 26 Мая 2023 - 17:26

Домашние пользователи

Android

Лаборатория Касперского

Трояны

Программы-вымогатели

...

Многоликий троян Rasket шантажирует владельцев Android-смартфонов

“Уже догадываетесь о чем пойдет речь? Верно. Мы получили контроль над устройством и перехватили все данные на нем”. Такое сообщение получают пользователи смартфонов на Android, чьи гаджеты заразились вымогателем Rasket. Всего за 5 тыс. рублей взломщики обещают не сливать фотографии и пароли жертвы.

О том, что недавно российские пользователи Android-смартфонов столкнулись с крайне неприятным сюрпризом в виде трояна, рассказали эксперты “Лаборатории Касперского”.

Цепочка заражения выглядит так: пользователь получает от знакомых СМС-сообщение со ссылкой на приложение (это может быть чат для знакомств, радар-детектор, мод или лотерея). Но вместо обещанного сервиса он скачивает программу-шантажиста Rasket, получившую доступ к записной книжке, фотографиям и паролям жертвы.

Вымогатели требуют пять тысяч рублей, в противном случае они обещают отправить всю информацию по списку контактов. В примечании к переводу нужно указать номер телефона, чтобы преступники не запутались в платежах.

В качестве доказательств жертве показывают список перехваченных контактов. На раздумья дается неделя.

Авторы зловреда уверяют, что за выкуп не будут использовать украденную информацию. Однако эксперты по кибербезопасности подчёркивают — верить атакующим и платить не стоит: нет гарантии, что данные не обнародуют и атака не повторится снова.

У троянца Rasket есть несколько особенностей, рассказывают эксперты “Лаборатории Касперского”:

Кроме вымогательства и спам-рассылки, приложение может совершать банковские переводы с аккаунта жертвы. Для этого в самом начале работы зловред запрашивает разрешение на отправку СМС-сообщений. Эта функция позволяет в равной степени отнести Rasket к вымогателям, СМС-троянам и банковским вредоносам.
Злоумышленники используют сразу несколько тактик: помимо ссылки на скачивание себя, в некоторых версиях текст спам-рассылки содержал ссылки на фишинговые сайты, а также сообщения с просьбой перевести деньги, например, на лечение больной дочери.
Зловред сделан с использованием легитимного инструмента. Речь идёт о плагине для популярного приложения, позволяющем создавать другие программы.

Эксперты предупреждают, Rasket действительно опасен — телефон взломали, данные “слили”, а не имитировали утечку. Когда такое произошло, банковских карты, если их фото хранились на телефоне, нужно немедленно заблокировать и перевыпустить, а сохраненные на устройстве пароли (особенно если они хранились в простом текстовом формате) быстро сменить.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »