За кулисами кибермошенничества: троян для Android и принудительный труд в Камбодже питают глобальные атаки

Расследование началось с анализа аномалий в сетях клиентов облачного сервиса безопасности. Специалисты заметили неожиданный всплеск DNS-запросов, который привёл их к обнаружению изощрённой платформы "вредоносное ПО как услуга". Этот сервис позволяет злоумышленникам в реальном времени следить за жертвами, похищать учётные данные и биометрические данные, перехватывать SMS и совершать финансовые мошенничества. Платформа использует сотни доменов, многие из которых искусно маскируются под официальные сайты государственных учреждений, пенсионных фондов, банков и авиакомпаний по всему миру. По данным исследователей, ежемесячно регистрируется около 35 новых подобных доменов, что свидетельствует об активности и масштабе операции.

География атак оказалась широкой: наиболее подвержены влиянию этой кампании пользователи и организации в странах Юго-Восточной Азии, Европы и Латинской Америки, с наибольшим объёмом подозрительных запросов из Индонезии, Таиланда, Испании и Турции. Технический анализ показал связи инфраструктуры и методов работы этой платформы с ранее известными группами угроз, отслеживаемыми под именами Vigorish Viper и Vault Viper. Это указывает на разветвлённую многоязычную мошенническую сеть, целью которой стали жертвы как минимум в 21 стране. На основе лингвистических артефактов в коде и паттернов инфраструктуры аналитики делают вывод, что администратором MaaS, вероятно, является неизвестный русскоговорящий преступник, обслуживающий несколько мошеннических центров в регионе Меконга.

Ключевым открытием стало установление связи трояна с конкретным местом - комплексом K99 Triumph City в Сиануквиле, Камбоджа. Этот объект неоднократно описывался в отчётах ООН и правозащитных организаций как центр мошенничества, где используется принудительный труд для проведения массовых фишинговых и голосовых атак. Правозащитная организация Chong Lua Dao, помогающая жертвам торговли людьми, сыграла решающую роль. Освобождённые из комплекса люди предоставили свидетельские показания, скриншоты и другие данные, которые напрямую связали отслеживаемые исследователями домены с активностью внутри K99. В своём обращении к активистам один из пострадавших прямо указал на место своего заточения, что стало весомым доказательством.

Механика атаки отработана до мелочей и использует социальную инженерию. Жертва, часто после звонка от "госслужащего" через VoIP-сервис, получает ссылку на фишинговый сайт, имитирующий услуги государственного органа или банка. Там её убеждают скачать и установить вредоносное приложение (APK). После установки троянец запрашивает широкие разрешения, маскируясь под легитимную программу, а затем разворачивает на устройстве полный спектр шпионских функций: от удалённого контроля камеры и микрофона до перехвата SMS и сбора всех контактов. Кульминацией атаки становится обманная процедура "верификации личности". Пока жертве показывают поддельный экран проверки (KYC), троянец в фоновом режиме активирует фронтальную камеру для захвата биометрических данных лица. В сочетании с перехваченными логинами, паролями и одноразовыми кодами из SMS это даёт мошенникам полный доступ к банковским счетам жертвы для немедленного хищения средств.

Внутреннее устройство операции говорит о высокой степени организации. Исследователи обнаружили сегментированные панели управления командными серверами, помеченные по целевым странам, таким как "Индонезия", "Бразилия" или "Египет", а также, по-видимому, по именам клиентов-преступников. Также были выявлены специализированные панели для разработки поддельных банковских приложений, тестирования систем распознавания лиц и интеграции инструментов искусственного интеллекта, включая чат-боты и технологии глубоких фейков. Это указывает на коммерциализированную и гибкую модель, где инструменты постоянно адаптируются под новые цели.

Расследование также раскрыло бизнес-структуры, стоящие за этим киберпреступным хабу. Комплекс K99 Triumph City принадлежит камбоджийскому конгломерату K99 Group, тесно связанному с местными политическими и бизнес-элитами, включая сенатора Кок Ана, фигурирующего в международных расследованиях о отмывании денег. Несмотря на официальные заявления властей Камбоджи о борьбе с киберпреступностью, деятельность в подобных комплексах, судя по данным мониторинга, продолжается, демонстрируя устойчивость и приспособляемость этих сетей.

Описанный случай - не просто история об очередном вредоносном ПО. Это наглядная иллюстрация эволюции киберпреступности, где традиционный криминальный бизнес, основанный на принудительном труде и коррупционных связях, эффективно осваивает передовые цифровые инструменты. Возникает высокоадаптивная экосистема, где вредоносные платформы как услуга, многоязычные пулы рабочей силы и отлаженные схемы социальной инженерии сливаются в единый механизм, нацеленный на глобальную прибыль. Для специалистов по информационной безопасности это означает, что угроза исходит не от одиночных хакеров, а от хорошо финансируемых и организованных транснациональных синдикатов, чьи операции требуют комплексного подхода к защите, выходящего далеко за рамки традиционных технических контрмер.

IPv4

• 103.214.169.197
• 18.167.169.60
• 38.47.52.4

Domains

• alafrica.xyz
• alperu.top
• avianca.sxjgo.cc
• dkhth.com
• ngovbr.cc
• orgo.cc
• rycnair.com
• vnwd.top

SHA256

• 39ea88f852b25d3c55d605464a3440bd250a577e3e21f52d1eaf94d15aad5b82
• 4338ab77d05aeacd7eac5acbe9eed5568778c8e3e9499562816805b54b4d1a6a
• 4fff28eecc0ab6303e4948df77671009dda5b93ed3d1cead527b02d1317426bc