В октябре 2024 года Министерство внутренних дел России раскрыло новую аферу, связанную с распространением банковского троянца для Android под названием Mamont.
Mamont Banking Trojan
Злоумышленники использовали различные схемы, чтобы обманом заставить жертву загрузить вредоносную программу. Одна из схем заключалась в отправке жертве сообщения в мессенджере с просьбой опознать человека на фотографии. Затем злоумышленники отправляли предполагаемую фотографию, которая на самом деле являлась установочным файлом вредоносной программы. Другая схема предполагала распространение Mamont в домашних чатах, где злоумышленники предлагали бесплатное приложение для отслеживания посылок с бытовой техникой, которое оказывалось вредоносным.
Совсем недавно внимание исследователей привлекли сайты, предлагающие оптовые товары по сниженным ценам. Исследователи решили провести расследование и сделали заказ на одном из таких сайтов. Они обнаружили, что на сайте есть ссылка на закрытый чат Telegram, где можно было оформить заказ, связавшись с менеджером напрямую. Исследователи связались с менеджером, оформили заказ и получили информацию о том, что для отслеживания заказа доступно мобильное приложение. Однако приложение оказалось фишинговым сайтом, который привел к загрузке банковского вредоносного ПО Mamont.
Исследователи отметили, что афера выглядела правдоподобно, поскольку в закрытом канале было много участников и не требовалась предоплата. Некоторые участники могли быть ботами, созданными для отвлечения жертв. Исследователи сообщили о мошеннических аккаунтах и каналах в Telegram, но на момент написания статьи никаких мер принято не было.
При запуске троян Mamont запрашивает разрешения на работу в фоновом режиме, обработку push-уведомлений и SMS, а также на совершение звонков. Затем он предлагает жертве ввести трек-номер, полученный от злоумышленников. Этот трек-номер используется для идентификации жертвы. Если код ответа равен 200, троянец запускает окно с предложением загрузить информацию о заказе.
Кроме того, запускаются два вредоносных сервиса. Один из них перехватывает push-уведомления и пересылает их на сервер злоумышленника, а другой устанавливает соединение с WebSocket-сервером злоумышленника и получает команды в формате JSON. Эти команды могут включать в себя совершение звонков, смену иконки приложения, отправку SMS и многое другое.
В целом банковский троянец Mamont распространяется по различным обманным схемам, ориентируясь на частных пользователей и компании. Пользователям важно быть осторожными при получении незапрошенных сообщений или загрузке приложений из неизвестных источников, чтобы не стать жертвой подобных мошенников.
Indicators of Compromise
Domains
- apisys003.com
MD5
- 12936056e8895e6a662731c798b27333
SHA1
- a3568ec10b2448f72cfb945236eb3024cfb06620
SHA256
- 51cf27b18a3be550e15e7b56e5f1c818d184917c760ccf8d614800090f36d075