Специалисты Angara MTDR выявили и исследовали новую волну кибермошенничества с установкой вредоносных приложений на телефон. В этот раз злоумышленники предлагают получить бонус от банка и предоставить доступ к своему телефону.
Сегодня Александр Гантимуров, руководитель направления обратной разработки, и Егор Григорьев, младший эксперт по защите бренда, расскажут, как это выглядит со стороны пользователя, чем грозит и как это работает внутри.
Введение
В настоящее время банковский сектор остается одной из наиболее привлекательных целей для злоумышленников, в связи с чем банки и их клиенты постоянно сталкиваются с различными угрозами. Одна из таких угроз — вредоносное программное обеспечение (ВПО). Атаки с использованием ВПО могут проводиться при помощи рассылок в мессенджерах, SMS-сообщениях, по электронной почте, а также при помощи фишинговых сайтов, схожих с официальными банковскими ресурсами, где жертв под различными предлогами убеждают установить «официальное» приложение.
В результате установки такого приложения на устройство пользователя внедряется вредоносная программа. Она может позволить злоумышленникам не только украсть личные данные и денежные средства со счета, но и получить полный доступ к управлению устройством. Так, по данным Банка России, в 2024 году атаки на клиентов финансовых организаций в 58% случаев проводились при помощи фишинговых ресурсов, на которых в том числе распространялось и вредоносное программное обеспечение.
В последнее время был зафиксирован всплеск активности сайтов, на которых клиентам предлагали принять участие в опросе об удовлетворенности работой и услугами определенных банков. За прохождение подобного опроса пользователям обещали денежное вознаграждение в размере 6 тыс. руб.
Рис. 1. Пример фишингового сайта
Описание сайтов
За последние три месяца было обнаружено 45 подобных сайтов, использующих атрибуты брендов крупных российских банков с «опросами об удовлетворенности» их работой. На деле данные сайты являются фишинговыми. Они созданы злоумышленниками для распространения вредоносного программного обеспечения и получения доступа к денежным средствам жертв.
На таких сайтах пользователям было необходимо ответить на несколько простых вопросов о работе банка.
Рис. 2. Пример вопроса о качестве обслуживания
Далее жертве для «получения выплаты» оставалось ввести номер телефона, привязанный к банковскому счету, указать пароль для входа в приложение банка и SMS-код. Как итог, пользователи передавали данные от личного кабинета банка в руки мошенников.
Рис. 3. Страница с вводом SMS-кода для подтверждения выплаты.
Финальным шагом для «получения вознаграждения» является установка тестового приложения «МирСБП», которое жертв просят установить в рамках инициативы по поддержке отечественного ПО.
Рис. 4. Страница для скачивания приложения «МирСБП»
Рис. 5. Инструкция для скачивания приложения «МирСБП»
Описание приложения
На самом же деле данное приложение представляет собой очередное ВПО семейства «Мамонт» для Android.
При установке приложение имеет название «СМС (СБП Выплаты)». Цель злоумышленников — обмануть жертву, мимикрируя под известный бренд, и побудить пользователя к дальнейшему запуску приложения, в результате чего будет выполняться заложенный вредоносный функционал. Злоумышленники не слишком заморачивались, и при установке на телефон с английским интерфейсом оно выглядит следующим образом:
Рис. 6. Внешний вид иконки приложения
При его открытии жертву просят ввести свой номер телефона и сделать его основным для работы с SMS-сообщениями.
Рис. 7. Запрос номера телефона
Рис. 8. Запрос на установку в качестве основного SMS-приложения
Злоумышленники также указали, что данное приложение «безопасно» и «не имеет доступа к банковским данным — только к СМС для автоматической проверки статуса выплаты», чтобы вынудить жертву запустить ВПО. Особенно мила заметка о том, что приложение «Разработано в России. Поддержка отечественного ПО». Не совсем правда, но, как мы увидим далее, к доработке действительно привлекались русскоговорящие программисты.
Приложение также запрашивает и другие разрешения (с высоким риском) для реализации заложенного вредоносного функционала.
Табл. 1. Запрашиваемые разрешения для приложения
| Наименование разрешения | Описание |
|
android.permission.SEND_SMS |
Позволяет приложению отправлять SMS-сообщения с зараженного устройства |
|
android.permission.READ_PHONE_STATE |
Позволяет приложению считывать состояние устройства (в том числе IMEI) |
|
Позволяет приложению считывать SMS-сообщения, хранящиеся на устройстве |
|
|
android.permission.RECEIVE_MMS |
Позволяет приложению получать MMS-сообщения, входящие на устройство |
|
android.permission.RECEIVE_SMS |
Позволяет приложению получать SMS-сообщения, входящие на устройство |
|
android.permission.READ_CONTACTS |
Позволяет приложению считывать все контактные (адресные данные), хранящиеся на устройстве |
Уже 8 сентября приложение появилось на Virustotal, и, к примеру, DrWeb сразу начал определять его вредоносную суть, выявляя его как Android.Banker.Mamont.57.origin.
Алгоритм работы приложения
Если присмотреться внимательнее, то станет понятно, что за основу взяли приложение Simple Mobile Tools SMS. Это бесплатное приложение для обработки SMS, исходники которого есть на Github[1]. Приложение слегка доработали и даже оставили исходное название «com.simplemobiletools.smsmessenger.debug».
Прежде всего из изменений добавили запрос регистрации устройства, после которого инициализируется основной вредоносный функционал. В него входит отправка номера телефона, информации об устройстве и установленных приложениях на удаленный сервер злоумышленников.
Рис. 9. Запуск команд после успешной регистрации
Взаимодействие с удаленным сервером идет через библиотеку Retrofit2 — все команды и результаты работы отправляются просто и без изысков через JSON.
Примечательно, что авторы оставили комментарии о ходе работы своего кода на русском языке, чтобы нам было не слишком сложно исследовать.
Рис. 10. Команды для сбора информации об устройстве
Приложение также периодически запрашивает команды на отправку SMS с удаленного сервера и отсылает информацию о работе устройства.
Рис. 11. Команды для работы с SMS
Кроме этого, все входящие SMS на устройство жертвы перенаправляются на удаленный С2-сервер.
Рис. 12. Код для перенаправления SMS-сообщений на удаленный сервер
Единственным усложнением для анализа данного образца можно назвать сокрытие действительного адреса сервера злоумышленников в нативной библиотеке.
Рис. 13. Восстановленный код расшифровки С2
URL зашифрован при помощи XOR и дополнительно накрыт Base64. Нечасто такое увидишь, но из ключа шифрования мы узнаем о любви автора к собакам и скаму русских (наверное, комментарии на русском оставили специально для нас).
Еще из необычного: в коде есть функционал обнаружения песочниц. Если выявлен запуск в эмуляторе, под отладкой, с Frida или Magisk или же факт изменения контрольной суммы приложения, то отправляется сообщение в телеграм-чат и приложение завершает работу.
Но пока он никак не используется — возможно, увидим его работу в следующих версиях.
Ну и напоследок, если вам попало похожее приложение, то его можно проверить при помощи следующего YARA-правила.[u6] [ВА7] [ВА8] Или отправить на анализ к нам, или в любую песочницу: ANY.RUN, Opentip или Virustotal.
Табл. 3. YARA-правило для выявления аналогичных образцов ВПО
|
rule malware_android_Mamont_57 { meta: description = "[ MALW ] Detect Mamont.57 by strings" date = "2025-09-09" author = "Gantimurov/Angara MTDR" hash = "99fdf2902092b584447bdb23e19b7232" strings: $pkg_name = "com.simplemobiletools.smsmessenger.debug" wide $native_export = "Secret_getBaseUrl" ascii $native_key = "yaebalsobak228raziewebolshe-scamrusskihoneLOVE!" condition: uint32be(0) == 0x504B0304 and // Android AK $pkg_name and any of ($native*) } |
Подводим итоги
Таким образом, запуск данного приложения на устройстве дает возможность злоумышленнику получить информацию об установленных приложениях на устройстве жертвы, а также доступ к чтению и отправке SMS-сообщений. Благодаря этому мошенник может совершать различные действия в банковских и иных приложениях от имени владельца.
По нашим данным, около тысячи человек стали жертвами этой схемы злоумышленников.
Если вы тоже стали жертвой такого мошенничества, то рекомендуем немедленно позвонить в банк по официальному номеру телефона для блокировки ваших банковских карт и счетов. Также рекомендуем сменить пароли для всех важных аккаунтов и приложений, после чего воспользоваться антивирусным приложением для удаления ВПО с вашего устройства.
Как не стать жертвой мошенников
Для того чтобы не стать жертвой такого мошенничества, рекомендуем Вам:
-
Внимательно проверять домен, на котором располагается сайт, а также обращать внимание на оформление сайта. Подозрительные домены, некачественный дизайн и грамматические ошибки на сайте — явные признаки фишингового ресурса.
-
Не вводить коды из SMS и пароли на сторонних ресурсах. Банк никогда не попросит сообщить эти данные на сайте с опросом, в письме или мессенджере.
-
Уточнять информацию об акциях на официальном сайте или по номеру телефона банка.
-
Устанавливать приложения только из официальных магазинов.
-
Установить на свое устройство антивирусное приложение.
-
Критически относиться к предложениям о легком заработке на опросах и акциях.
Индикаторы компрометации (IOC)
Табл. 4. Списки индикаторов компрометации для приложения «СМС (СБП Выплаты)»
|
Описание |
IOC |
|
MD5 образца |
99fdf2902092b584447bdb23e19b7232 |
|
Название пакета |
com.simplemobiletools.smsmessenger.debug |
|
C2 для взаимодействия |
78.159.156[.]42 |
|
URL для отправки информации о выявленном факте работы в песочнице |
hXXps[:]//api.telegram[.]org/bot7810073365:AAEJ-Ppt1MGmgM6_C1PB0wXjs86zdKd-R5w/sendMessage?chat_id=7815936277 |
Также рады сообщить вам, что команда Angara MTDR запустила отдельное направление по вирусному анализу в составе нашего отдела реагирования на инциденты.
Мы не начинаем с нуля — мы структурировали и масштабировали наш многолетний опыт в этой области, чтобы предлагать клиентам полноценную и глубокую экспертизу.
Кому может быть полезно:
- Если у вас есть подозрительные файлы (исполняемые, документы, скрипты) и вам нужен детальный разбор с получением IoC, тактик и техник злоумышленника (TTP).
- Если есть подозрения на инцидент информационной безопасности и требуется профессиональная помощь в расследовании.
Для обращений по этим вопросам пишите нам на почту: response@angarasecurity.ru.
24.10.2025 10:27:00
