СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

Фишинг через ChatGPT и Gemini: iPhone‑приложения крадут данные Facebook

Целевая фишинговая кампания эксплуатирует доверие к популярным платформам искусственного интеллекта — в частности ChatGPT от OpenAI и Gemini от Google — чтобы обмануть пользователей iPhone. Злоумышленники разработали вредоносные приложения, выдающие себя за эти бренды, используя их узнаваемость для привлечения жертв.

Как работает схема

Атака начинается с фишинговых электронных писем, стилизованных под легитимные сообщения от ChatGPT или Gemini. В письмах рекламируются два конкретных приложения — GeminiAI Advertising и Ads GPT — которые были доступны в австралийском App Store под идентификаторами id6759005662 и id6759514534 соответственно.

После перехода жертвы на страницу и загрузки приложения злоумышленники получают возможность тихо собирать данные для входа в аккаунты. Вредоносные приложения ориентированы не на случайную утилиту, а на имитацию законных инструментов, связанных с известными AI-сервисами, которые используют многие профессионалы.

Что похищают и зачем

Собранные данные позволяют злоумышленникам получить доступ к учетным записям в Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) — как к личным профилям, так и к бизнес-аккаунтам и страницам, связанным с скомпрометированными профилями. Такие учетные данные особенно ценны для финансово мотивированных угроз, поскольку дают возможность дальнейшей эксплуатации онлайн-присутствия жертвы.

Изменение тактик атакующих

Эта кампания демонстрирует заметный сдвиг в тактике: вместо фальшивых веб-сайтов или вредоносных вложений в письмах злоумышленники внедряют свои операции в легитимные цифровые платформы (официальные магазины приложений). Это усложняет обнаружение и повышает риски для пользователей и дистрибутивных платформ.

Признаки мошеннических приложений

  • Неожиданное письмо с предложением загрузить приложение от известных брендов.
  • Несоответствия в описании приложения и информации о разработчике.
  • Малое количество отзывов или подозрительные, шаблонные отзывы.
  • Запросы на ввод учетных данных сторонних сервисов внутри приложения без прозрачных объяснений.

Рекомендации для пользователей

«Пользователям рекомендуется оставаться бдительными, проверяя информацию о разработчиках, изучая отзывы пользователей и тщательно оценивая описания приложений на предмет несоответствий перед загрузкой приложений, поскольку эти шаги могут помочь выявить мошеннические схемы.»

  • Проверяйте разработчика приложения и официальные ссылки на сайте сервиса (ChatGPT, Gemini и т.д.).
  • Изучайте отзывы и историю обновлений приложения в App Store.
  • Будьте осторожны при вводе учетных данных в приложениях — предпочтительнее использовать официальные сайты и проверенные OAuth-процессы.
  • Если приложение запрашивает доступ к внешним аккаунтам (например, Facebook), убедитесь в легитимности запроса и источнике.
  • Сообщайте о подозрительных приложениях в поддержку App Store и меняйте пароли при малейшем подозрении на компрометацию.

Вывод

Фишинговая кампания, маскирующаяся под известные AI-сервисы, подчёркивает необходимость повышенной осторожности при установке приложений даже из официальных магазинов. Упор злоумышленников на социальную доверенность брендов делает проверку разработчика, отзывов и описаний критически важной для безопасности пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: