Мошенники начали распространять троян через фейковые фитнес-чаты в Telegram
Изображение: Malte Helmhold (unsplash)
В Telegram обнаружена новая схема заражения смартфонов на Android. Преступники создают чаты, которые выглядят как сообщества спортивных клубов, и через них распространяют вредоносный установочный файл. После установки на телефон попадает троян удалённого доступа BTMOB RAT. Такая программа может перехватывать данные пользователя и помогать злоумышленникам получать деньги со счетов.
Исследователи «Лаборатории Касперского» сообщили, что преступные группы используют необычный способ маскировки. Сначала создаётся чат якобы от имени популярного спортивного клуба. Затем туда добавляют людей из списка подписчиков настоящего Telegram-канала. Чтобы приглашения выглядели естественно, специальные боты автоматически удаляют стандартные уведомления о том, что в чат добавлены новые участники. В итоге у человека складывается впечатление обычного клубного сообщества, где уже давно общаются люди.
Через некоторое время в чате появляется сообщение с предложением установить полезное приложение. Участникам предлагают бесплатную программу для тренировок и контроля питания. В описании говорится, что приложение умеет считать калории по фотографии еды, распознавать блюда, автоматически рассчитывать белки, жиры и углеводы, а также показывать изменения веса.
Для установки предлагается скачать файл формата APK или перейти по ссылке. После загрузки открывается экран, который выглядит как страница магазина приложений. Внешне всё похоже на обычную установку фитнес-сервиса. На самом деле на телефон попадает вредоносная программа, предназначенная для удалённого управления устройством.
Троян BTMOB RAT может получать контроль над заражённым смартфоном. С его помощью злоумышленники перехватывают сообщения, получают доступ к банковским программам, копируют личные сведения и проводят финансовые операции без ведома владельца устройства.
Чтобы сообщение с приманкой постоянно находилось вверху чата, преступники используют простой приём. Они периодически удаляют публикацию и размещают её заново. После этого сообщение снова поднимается вверх и продолжает привлекать внимание новых участников.
Эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин сообщил журналистам, что подобные атаки через мессенджеры происходят регулярно. Дмитрий Калинин отметил, что вредоносные программы часто прячутся под видом полезных сервисов, которые выглядят безопасными. В данном случае расчёт строится на интересе людей к тренировкам и контролю веса, когда многие начинают искать программы для спорта.
Дополнительное доверие создаёт ещё один элемент обмана. По словам Дмитрия Калинина, приглашения в чат получают подписчики настоящих спортивных каналов. Из-за этого у человека возникает ощущение связи чата с официальным клубом, хотя на самом деле он создан преступниками.
