Специалисты «Доктор Веб» предупредили, что участились случаи мошенничества с применением программ для удаленного доступа к рабочему столу. Наибольшей популярностью у злоумышленников пользуется программа RustDesk.
Аналитики связывают возросшую активность мошенников с недавними утечками фрагментов БД целого ряда банков, после чего у злоумышленников появился доступ к персональным данным пользователей.
Эту информацию злоумышленники используют, чтобы войти в доверие к своим жертвам. Представляясь сотрудниками поддержки банков, преступники сообщают о том, что на счете жертвы якобы замечена подозрительная активность, которая может привести к потере денег. Чтобы воспрепятствовать краже, якобы нужно установить на устройство «защитную» программу. Для этого предлагается перейти в магазин приложений и набрать в поисковой строке запросы типа «поддержка Сбербанка», «поддержка ВТБ» и так далее.
До недавнего времени в топе выдачи по таким поисковым фразам в Google Play находились программы типа AweSun Remote Desktop, RustDesk Remote Desktop, «Удаленный рабочий стол AnyDesk». Исследователи объясняют, что система ранжирования приложений в Google Play учитывает то, какое приложение выбирают пользователи, вводя тот или иной поисковый запрос. И чем больше людей, ищущих приложение по ключевым словам «поддержка имя_банка», совершит ошибку и перейдет по ссылке на приложение для удаленного администрирования, тем чаще Google Play будет рекомендовать такую программу пользователям.
При этом сами по себе программы для удаленного управления не являются вредоносными. Проблемы возникают, когда их применяют для совершения противоправных действий.
После установки приложения мошенники просят жертву сообщить им уникальный идентификатор, а затем берут устройство под свой полный контроль. Доступ к устройству позволяет им совершать платежи и переводы со счета жертвы. При этом доказательство взлома и отзыв платежного поручения в такой ситуации невозможны, так как с точки зрения банка с системой платежей взаимодействует именно устройство клиента.
В настоящий момент компания Google сняла приложение RustDesk с публикации в магазине Google Play. В итоге злоумышленники перевели свою деятельность за пределы площадки — теперь для реализации мошенническое схемы с удаленным управлением они используют сайты (например, hххps://помощникбанков[.]рф).
На таких сайтах потенциальным жертвам предлагается скачать уже знакомое приложение RustDesk. Кроме того, в некоторых случаях в скачиваемых приложениях заменены названия и иконка, для большей убедительности они соответствуют тому или иному банку.
«Доктор Веб» идентифицирует приложение RustDesk как Tool.RustDesk.1.origin, а модифицированные приложения определяются как Android.FakeApp.1426.
Эксперты напоминают, что пользователям стоит проявлять бдительность, отвечая на звонки от банков и других организаций, никогда не устанавливать на свои устройства приложения по чьей-то просьбе и не сообщать никому коды из SMS и push-уведомлений.
