В мессенджере MAX, по данным экспертов по информационной безопасности, наблюдается резкий рост целенаправленных атак на закрытые групповые чаты. Злоумышленники, используя скомпрометированные аккаунты доверенных участников, распространяют в сообществах вредоносное ПО, известное как Mamont, для кражи банковских данных. В свою очередь, администрация мессенджера категорически отрицает факт массового распространения угрозы на своей платформе.
По словам Кристины Буренковой, руководителя направления анализа цифровых угроз компании Infosecurity (входит в группу Softline), атаки имеют четкую специфику. В зоне риска оказались не случайные пользователи, а целые сообщества: чаты подъездов, ТСЖ, родительских собраний и дачных поселков. Эксперт связывает эту активность с миграцией подобных групп из других мессенджеров, где их функционирование могло быть осложнено. Механика атаки опирается на социальную инженерию. Злоумышленники взламывают аккаунт реального, пользующегося доверием члена чата. От его имени публикуется эмоциональное сообщение, например, о дорожной аварии с общими знакомыми, с призывом посмотреть фотографии по ссылке.
Переход по ней ведет не на веб-страницу, а на скачивание APK-файла - установочного пакета для Android, маскирующегося под архив с изображениями. Внутри скрывается троян Mamont, программа-вымогатель, способная похищать платежные данные, а также перехватывать SMS и push-уведомления с кодами подтверждения от банков. Расчет строится на психологии закрытых групп, где участники априори склонны доверять «своим», что значительно повышает эффективность фишинга.
«Люди, взволнованные новостью, переходят по ссылке, видят файл с якобы фотографиями, но на самом деле это установочный файл Android-приложения. Внутри такого файла - троян Mamont. Это вредоносное ПО, которое крадет платежные данные, а также перехватывает push-уведомления и SMS с кодами авторизации в банковских сервисах. Расчет прост: чем больше людей в чате, тем выше вероятность, что кто-то клюнет», - пояснила тактику злоумышленников Кристина Буренкова в интервью «Газете.Ru».
Позиция администрации мессенджера MAX прямо противоположна выводам экспертов по ИБ. В официальном заявлении пресс-службы компании говорится: «Информация о распространении вируса в MAX не соответствует действительности. Специалисты Центра Безопасности проактивно выявляют и блокируют вредоносное ПО. Все данные пользователей надежно защищены». При этом каких-либо деталей, подтверждающих это опровержение, например, результатов внутреннего расследования или статистики по блокировкам, предоставлено не было. Подобное расхождение между внешними наблюдениями угроз и внутренней оценкой безопасности платформы создает неопределенность для пользователей, особенно для администраторов крупных сообществ.
Таким образом, инцидент обнажает классическую, но оттого не менее опасную схему атаки, где техническая составляющая (распространение трояна) тесно переплетена с психологическим манипулированием. Независимо от официальной позиции конкретного мессенджера, активность злоумышленников, нацеленных на групповые чаты, является наблюдаемым трендом. Ситуация ставит под вопрос не только эффективность встроенных систем защиты платформ, но и готовность самих пользователей, особенно в доверительных сообществах, соблюдать базовую цифровую гигиену, не переходя по сомнительным ссылкам даже от знакомых контактов.
