Мошенники предлагают оформить покупки с помощью вируса-шпиона

В классической схеме «Мамонт» мошенники похищают деньги и данные банковских карт у жертв под предлогом оформления фейковой покупки и доставки товаров с популярных маркетплейсов, аренды недвижимости, совместных поездок. По данным на конец лета 2023 года, в России по схеме «Мамонт» работали 17 активных преступных групп.

В сентябре специалисты Digital Risk Protection компании F.A.C.C.T. обнаружили новое мошенническое сообщество «Мамонта», которое использует Android-трояны в своих атаках. В новой схеме — и в этом ее главная опасность — злоумышленники не требуют ввода данных банковской карты на фишинговом сайте, а предлагают установить мобильное приложение сервиса объявлений с доставкой. Спрятанная в нем шпионская программа способна перехватывать вводимые данные банковской карты и входящие смс-коды для кражи денег со счетов клиентов российских банков.

Сама схема работает следующим образом: воркеры (участники сообщества, привлекающие жертв на скачивание вредоносного приложения) создают поддельные объявления о продаже товара в специальный Telegram-бот и на выходе получают ссылку на скачивание мобильного приложения — APK-файла.

Когда найден покупатель, и он готов оплатить товар, мошенники убеждают жертву продолжить разговор в мессенджере, чтобы ресурс с объявлениями не заблокировал сообщение со ссылкой на вредоносную программу, и скачать мобильное приложение, с помощью которого якобы уже можно оформить доставку. Вся легенда воркера строится на том, что он якобы является индивидуальным предпринимателем, и для покупки товара с доставкой, чаще всего это популярная электроника, одежда, обувь, его клиентам необходимо использовать специальную программу.

После перехода по ссылке жертве открывается поддельная страница Google Play, с которой надо скачать и установить мобильное приложение, довольно точно копирующее оформление и функционал реальных онлайн-площадок. Именно тут покупателю нужно оформить доставку. В момент оплаты мобильный троян перехватывает и отправляет участнику преступной группы — вбиверу — введенные данные банковской карты жертвы, а затем входящие sms с кодом подтверждения перевода для кражи денег со счета жертвы. 

По данным F.A.C.C.T., от действий мошенников в сентябре пострадали клиенты банков как в России, так и Белоруссии. За 10 дней в сентябре с помощью поддельных приложений злоумышленники смогли украсть по обновленной схеме «Мамонт» почти 3 000 000 рублей, сделав 76 списаний. Средний чек от одной жертвы составлял 67 000 рублей. 

«Старые трюки рано или поздно перестают приносить желаемый доход скамерам, и тогда они придумывают новые сценарии, приманки, меняют механику, — объясняет Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T. — Мы видели, как мошенники использовали в схеме «Мамонт» сгенерированные Telegram-ботами фишинговые страницы, затем они стали заражать жертв стилерами, похищавшими логины-пароли. Сейчас одна из группировок начала использовать мобильные трояны. Часть пользователей может решить, что мобильные приложения, похожие на известные сервисы, будто бы из официального стора, вряд ли скрывают опасность — на это и делают ставку злоумышленники».

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!