80 000 руб. в среднем: дети помогают мошенникам красть деньги родителей

80 000 руб. в среднем: дети помогают мошенникам красть деньги родителей

80 000 руб. в среднем: дети помогают мошенникам красть деньги родителей

В феврале 2025 года специалисты зафиксировали около 600 случаев телефонного мошенничества, в которых злоумышленники использовали детей для получения доступа к банковским счетам их родителей.

Как отметили в компании F6, это в пять раз больше, чем в декабре 2024 года, и число таких инцидентов продолжает расти. Средняя сумма ущерба от подобных преступлений составляет 80 тысяч рублей.

Мошенники устанавливают контакт с детьми через игровые чаты, чаще всего на платформах Minecraft и Roblox. Вначале преступники предлагают виртуальную валюту или внутриигровые покупки, но затем переходят к более сложным методам воздействия.

В ход идут:

  • Запугивание и шантаж — злоумышленники могут утверждать, что родителям грозит уголовное преследование, и уговорить ребёнка выполнить «спасительные» инструкции.
  • Притворство — мошенники звонят от имени службы доставки, банка или правоохранительных органов, убеждая ребёнка передать данные для входа в личный кабинет.
  • Запрет на разговоры с родителями — преступники требуют от детей никому не рассказывать о переписке и инструкциях.

Чаще всего финальный этап атаки происходит ночью, когда родители спят. Злоумышленники просят ребёнка:

  • Приложить палец спящего родителя к экрану смартфона, чтобы разблокировать устройство и войти в банковское приложение.
  • Подсмотреть и запомнить пароль, а затем самостоятельно войти в личный кабинет и перевести деньги.
  • Переслать код из СМС, сфотографировать экран или удалить сообщения о списаниях.

По словам Александры Радченко, руководителя аналитического отдела по противодействию финансовому мошенничеству в F6, дети особенно подвержены таким атакам:

«Из-за нехватки жизненного опыта они легче поддаются манипуляциям и не всегда понимают последствия своих действий. Если ребёнок расскажет мошенникам о себе, это может привести к целевой атаке на его родителей».

Традиционные методы защиты, такие как двухфакторная аутентификация или антивирусные продукты, в данном случае бессильны — ведь деньги переводит сам владелец счёта, просто по указке злоумышленников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-троян GhostGrab уличен в клептомании и крипомайнинге

Проведенный в CYFIRMA анализ Android-зловреда GhostGrab показал, что это гибридная угроза. Новый модульный троян крадет ключи от банковских счетов и вдобавок использует ресурсы жертвы для добычи монеро.

Новобранец очень цепок, всегда работает в фоне и умело уклоняется от обнаружения и системных попыток прибить его процессы. Для получения команд и отправки украденного он обращается к Firebase.

Атака начинается с JavaScript-редиректа на сайте kychelp[.]live (домен был зарегистрирован в начале лета). При перенаправлении браузера автоматом происходит загрузка дроппера, замаскированного как BOM FIXED DEPOSIT.apk (результат VirusTotal на 28 октября — 26/61).

В поддержку иллюзии при установке жертве выводится интерфейс обновления, копирующий стиль Google Play. Успешно внедрившись, вредонос запрашивает разрешение на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES) для беспрепятственного развертывания модуля банковского стилера.

Чтобы обеспечить себе постоянное присутствие в системе, дроппер выводит на экран уведомление и закрепляет его, инициируя запуск службы переднего плана.

 

Банковский модуль GhostGrab (детектируют 10 антивирусов из 66 на VirusTotal) вначале выполняет профилирование зараженного устройства, в частности, выясняет номер телефона и имя провайдера связи.

Он также запрашивает множество разрешений, в том числе доступ к СМС (для перехвата одноразовых кодов и уведомлений банков) и телефонной связи (для перевода звонков своему оператору и выполнения USSD-команд).

Чтобы беспрепятственно работать в фоне, зловред просится в список исключений по энергосбережению, скрывает свою иконку и использует механизмы автоматического перезапуска по системным событиям (перезагрузка ОС, изменение состояния экрана, возможность установления соединений).

 

Банкер также умеет выуживать интересующую его информацию с помощью фишинговых страниц. Заготовки вшиты в код и поочередно отображаются через WebView.

Вначале у жертвы запрашивают полное имя, уникальный идентификатор карты, номер счета — якобы для завершения процедуры KYC. После ввода ее попросят предоставить все данные дебетовой карты или учетки для доступа к системе ДБО.

Мониторинг заполнения фальшивых форм и вывод содержимого осуществляются с помощью JavaScript-сценария. Украденная информация направляется прямиком в Firebase и, как оказалось, хранится там в незашифрованном виде в общедоступной базе данных.

Для управления резидентным зловредом используются возможности Firebase Cloud Messaging: команды подаются в виде пуш-уведомлений.

Когда устройство жертвы заблокировано, GhostGrab может загрузить со стороннего сервера зашифрованный криптомайнер (libmine-arm64.so). Этот модуль тоже работает в фоне, используя монеро-кошелек, адрес которого жестко прописан в коде дроппера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru