Вредоносные группы в Facebook* атакуют пожилых пользователей через Android-троянцы

Исследователи кибербезопасности обнаружили масштабную кампанию по распространению вредоносного программного обеспечения, нацеленную на пожилых пользователей через Facebook*. Злоумышленники создают фальшивые группы для "активных пенсионеров", предлагая путешествия, танцевальные классы и сообщества по интересам, чтобы обманом заставить жертв установить троянские программы для Android.

Описание

Специалисты ThreatFabric идентифицировали многочисленные Facebook*-группы, наполненные сгенерированным искусственным интеллектом контентом, который придаёт сообществам видимость подлинности. Пользователей приглашали загрузить приложения с названиями вроде Senior Group, Lively Years, ActiveSenior и DanceWave под предлогом "регистрации" на мероприятия. В некоторых случаях мошенники также просили оплатить регистрационный взнос через фишинговые сайты, похищая данные банковских карт.

Одним из серверов, используемых для распространения вредоносных программ, являлся download.seniorgroupapps[.]com, который был заблокирован защитным модулем Malwarebytes. Иногда киберпреступники отправляли ссылки для загрузки через дополнительные сообщения в Messenger или WhatsApp.

Основным вредоносным ПО в этой кампании выступает троянец Datzbro, сочетающий функциональность шпионского программного обеспечения и банковского трояна. Анализ показал, что после установки программа способна записывать аудио и видео, получать доступ к файлам и фотографиям, отображать фишинговые наложения, имитирующие интерфейсы других приложений для кражи паролей, а также предоставлять злоумышленникам удалённый контроль над заражёнными устройствами Android, включая блокировку и разблокировку экрана.

В некоторых случаях жертвы сталкивались с троянским дроппером Zombinder, который способен обходить ограничения безопасности, введённые в Android 13 и более поздних версиях. Исследователи, проанализировавшие код Datzbro, предполагают, что он был разработан в Китае, но впоследствии утек и переиспользован различными киберпреступными группами. Кампания затронула пользователей по всему миру, включая Австралию, Сингапур, Малайзию, Канаду, Южную Африку и Великобританию.

Эксперты по безопасности отмечают, что хотя многие из вовлечённых в кампанию Facebook*-групп уже удалены, угроза сохраняется. Для защиты рекомендуется тщательно проверять историю активности групп перед вступлением, обращая внимание на даты публикаций и закреплённых сообщений. Не следует переходить по ссылкам или устанавливать приложения, предлагаемые в таких сообществах или в личных сообщениях от незнакомцев. Важно использовать актуальную защиту от вредоносных программ с функцией реального времени, особенно на мобильных устройствах, и проявлять осторожность в отношении групп, предлагающих подозрительно привлекательные возможности.

Особое внимание вызывает тот факт, что во многих группах присутствовали кнопки для загрузки "приложений iOS", которые на момент обнаружения кампании были лишь заглушками. Это может указывать на планы злоумышленников расширить атаки на пользователей iPhone в будущем. Ситуация демонстрирует, как социальная инженерия продолжает оставаться эффективным инструментом в арсенале киберпреступников, особенно при targeting уязвимых категорий пользователей, менее знакомых с цифровыми угрозами.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.