Исследователи из компании ReversingLabs предупредили о массовой кампании, которая использует особенность функции родительского контроля Google Family Link для перехвата учётных записей. Атака начинается безобидно: в мессенджере Discord пользователи получают сообщения от взломанных знакомых с просьбой оценить новую игру. Однако за этим скрывается сложная схема, которая в конечном счёте лишает жертву доступа к собственному аккаунту Google и позволяет злоумышленникам требовать выкуп.
Описание
Всё начинается с короткого сообщения в Discord. Простое "привет" от друга, которому вы доверяете, может стать началом неприятностей. Именно так произошло с девушкой по имени Кристина, чью историю подробно описали исследователи. Она получила сообщение от малознакомого приятеля с просьбой протестировать игру, которую он якобы разрабатывал. Кристина скачала файл по ссылке, которая вела на Dropbox, и запустила исполняемый файл. Как выяснилось, это была не игра, а вредоносная программа.
Сразу после запуска злоумышленники получили доступ к её устройствам. Они перехватили сессии в браузере, похитили пароли и практически мгновенно перехватили контроль над аккаунтом Google. Интересно, что Кристина использовала все рекомендованные меры защиты: у неё была включена двухфакторная аутентификация с подтверждением входа через приложение, а также настроены надёжные методы восстановления доступа. Однако это не помогло.
Как же атакующим удалось обойти защиту?
Ответ кроется в особенностях функции Family Link, которую Google разработала для контроля за детскими аккаунтами. Этот инструмент позволяет родителям управлять учётной записью ребёнка: отслеживать его местоположение, ограничивать время использования приложений, блокировать определённые сервисы и, что самое важное, менять пароль от детского аккаунта. В результате все сессии ребёнка автоматически завершаются.
Злоумышленники использовали эту возможность в своих целях. Получив доступ к аккаунту Кристины, они изменили дату её рождения, превратив взрослую женщину старше тридцати лет в несовершеннолетнего пользователя младше 13 лет. После этого система Google потребовала назначить для такого аккаунта "родителя". Эту роль взяли на себя хакеры. Как только родительский аккаунт был привязан, злоумышленники сменили пароль от учётной записи Кристины и заблокировали ей доступ. Хуже того, все попытки восстановить пароль стандартными методами - через код из аутентификатора, электронную почту или SMS - требовали одобрения "родителя", то есть самих атакующих.
По сути, жертва оказывается запертой в собственном аккаунте без возможности что-либо изменить. Поддержка Google, по многочисленным сообщениям на Reddit и форумах компании, не может помочь в таких случаях, так как политика сервиса не позволяет вмешиваться в отношения между родительским и детским аккаунтами.
После того как контроль был установлен, преступники связались с Кристиной через её же взломанный аккаунт в Discord и потребовали выкуп: 250 долларов за то, чтобы не публиковать украденные данные в даркнете, ещё 250 долларов за возврат доступа к аккаунту или 450 долларов за обе услуги сразу. Сообщения от злоумышленников были написаны на ломаном английском и содержали насмешки.
Исследователи из ReversingLabs отмечают, что эта кампания продолжается уже почти два года. Первые жалобы на подобные атаки появились ещё в апреле 2024 года. Тогда злоумышленники в основном следили за аккаунтами, но со временем тактика изменилась: теперь они активно блокируют доступ и требуют выкуп. Последняя известная атака произошла в начале марта 2025 года. Примечательно, что хотя бы частично восстановить доступ удалось только через поддержку Steam: аккаунт в этом игровом сервисе удалось вернуть, но письма от техподдержки приходили на турецком языке, что совпало с попыткой входа в Google из Турции.
Специалисты попытались воспроизвести атаку в лабораторных условиях. Они создали два тестовых аккаунта с включённой двухфакторной аутентификацией. В ходе эксперимента выяснилось, что изменить дату рождения на аккаунте Google можно без повторного ввода пароля или дополнительной проверки. Система лишь предупреждает, что если пользователю меньше определённого возраста, аккаунт будет удалён через 14 дней - если не указать данные родителя. Для привязки родительского аккаунта требовался только пароль от детской учётной записи. Никаких дополнительных проверок, включая коды из аутентификатора, система не запрашивала.
Примечательно, что в ходе одного из тестов, когда использовались аккаунты с общей историей и привязанной банковской картой, процесс прошёл без проблем. Однако во втором тесте, с новыми аккаунтами, система запросила данные кредитной карты для подтверждения. Исследователи предположили, что дополнительные проверки включаются только для недостаточно "зрелых" аккаунтов или если с одним номером телефона связано много учётных записей. Тем не менее, наличие многочисленных жалоб на атаки свидетельствует о том, что эти меры не являются надёжной защитой.
Что могут сделать пользователи, чтобы защитить себя?
Прежде всего, стоит проявлять крайнюю осторожность при переходе по ссылкам и скачивании файлов, даже если они приходят от знакомых. Рекомендуется проверять подозрительные файлы в изолированной среде - например, в виртуальной машине или специальном "песочном" окружении. Кроме того, специалисты советуют отключить опцию "Пропускать пароль, когда это возможно" в настройках безопасности Google. Эта настройка включена по умолчанию, и её отключение заставит систему запрашивать текущий пароль при любой попытке его смены, что усложнит работу злоумышленников.
Также полезно регулярно создавать резервные копии данных через сервис Google Takeout. Хотя это не поможет вернуть контроль над аккаунтом, сохранённые данные позволят не потерять важную информацию. Наконец, по-прежнему актуально использование многофакторной аутентификации, желательно с аппаратными ключами или биометрией, а не только кодами из SMS.
Для Google же сложившаяся ситуация - явный сигнал о необходимости пересмотреть систему проверок при изменении возраста аккаунта и привязке родительского контроля. Внезапное превращение взрослого пользователя в ребёнка должно требовать обязательного подтверждения через второй фактор, а не просто ввод пароля, который мог быть украден. Пока такие изменения не внедрены, пользователям остаётся только быть предельно внимательными и надеяться, что их аккаунт не станет следующей жертвой этой почти безвыходной атаки.
Индикаторы компрометации
URLs
- https://dungeonwarriordemo.netlify.app
- https://hyperionbeta.netlify.app
- https://vampirk-beta.netlify.app
- https://www.dropbox.com/scl/fi/hrbi8psg6j123os5lg56t/HyperionV2.exe
- https://www.dropbox.com/scl/fi/wduyccgsm5njhhpvqhhog/DungeonWarriorDemo.exe
