Фото: https://pixabay.com/ru/

Профессионалы в области кибербезопасности из ГК «Солар» успешно обнаружили и заблокировали поддельные веб-сайты Госуслуг, созданные злоумышленниками с целью получения доступа к банковским счетам граждан. Они обнаружили, что россиянам предлагается воспользоваться новым пособием, дав свои данные на фейковой странице и установив Android-трояна. 

Судя по всему, для увеличения посещаемости сайта gos-uslugi[.]biz злоумышленники применяют спам-рассылки. Чересчур сжатые сроки для оформления пособия в сочетании с подозрительным доменным именем сайта являются явными признаками фишинга.

После того как пользователь вводит свои личные данные (ФИО, телефон, номер банковской карты), его перенаправляют на другую страницу с предложением установить «сертификат безопасности», который на самом деле является SMS-троянцем. Этот способ уже использовался ранее в этом году другими мошенниками.

Аналитики отмечают, что выбор хостинга для Android-трояна необычен, поскольку это украинский сервис Ucoz, а не российский или европейский дата-центр, которые обычно предпочитают фишеры.

После установки вредоносное приложение требует разрешение на автозапуск и чтение / отправку смс. Работа приложения происходит в фоновом режиме, и через 10 секунд после запуска иконка исчезает из списка приложений. 

Было установлено, что кибератака началась 28 марта. В начале троян представляли как программу для защиты от спама. На 24 апреля из 65 антивирусов коллекции VirusTotal его обнаруживают только 16.