В мае 2023 года «Лаборатория Касперского» обнаружила новую программу-вымогатель, которая получила название Rasket
Она
нацелена на пользователей Android
в
России. Когда троянец попадает на смартфон и активируется, он получает
доступ к фотографиям, видео и документам, а также к СМС и контактам жертвы.
После этого злоумышленники грозят обнародовать скомпрометированные данные, если
человек не заплатит им пять тысяч рублей. Меньше чем за две недели решения
«Лаборатории Касперского» обнаружили и предотвратили несколько сотен атак этого
зловреда*.
Троянец
мимикрирует под сервисы для знакомств или чаты для взрослых, программы
с функцией радар-детектора, а также под моды (дополнения) и лотерейные
приложения. Однако заявленного функционала человек не получает. Вместо
этого на экране заражённого смартфона появляется сообщение. В нём говорится,
что атакующие получили контроль над устройством и перехватили все данные на
нём.
Вымогатели
требуют перевести им пять тысяч рублей в качестве выкупа, в противном случае
они грозятся отправить всю информацию по списку контактов пользователя. В
примечании к переводу нужно указать номер телефона, чтобы они могли
идентифицировать автора платежа.
Злоумышленники
указывают в сообщении дату атаки и отмечают, что обнародуют данные спустя
неделю. Чтобы у пользователя не оставалось сомнений в возможностях и намерениях
атакующих, в конце сообщения жертве показывают список перехваченных контактов.
Собранные данные отправляются в Telegram-чаты
злоумышленников с помощью чат-бота.
Авторы
зловреда уверяют, что если получат выкуп, то не будут использовать украденную
информацию. Однако эксперты по кибербезопасности подчёркивают, что верить
атакующим и платить не стоит: нет гарантии, что данные не обнародуют,
а человека не атакуют в будущем снова.
Распространяется
зловред преимущественно через спам-рассылку. Текст, который троянец отправляет
в СМС на произвольные номера, а также контактам жертвы, чаще всего содержит
ссылку на скачивание вредоносной программы.
«Обнаруженный
нами троянец имеет несколько особенностей. Во-первых, помимо вымогательства и
спам-рассылки, приложение также может совершать банковские переводы с аккаунта
жертвы. Для этого в самом начале работы зловред запрашивает разрешение на
отправку СМС. Такой функционал позволяет в равной степени отнести его к
вымогателям, СМС-троянцам и банковским вредоносам. Во-вторых, злоумышленники
используют сразу несколько тактик: помимо ссылки на скачивание себя, текст
спам-рассылки в некоторых версиях этого троянца содержал ссылки на фишинговые
сайты, а также сообщения с просьбой перевести деньги, например, якобы на
лечение больной дочери. В-третьих, зловред сделан с использованием легитимного
инструмента. Речь идёт о плагине для популярного приложения, позволяющем
создавать другие программы», — отмечает Дмитрий Калинин, эксперт по
кибербезопасности в «Лаборатории Касперского».
Чтобы
не стать жертвой программы-вымогателя, эксперты по кибербезопасности
рекомендуют:
- не переходить по ссылкам из сомнительных сообщений;
- скачивать приложения только из официальных источников;
- использовать на смартфонах защитные решения, которые не
позволят установить вредоносное ПО.
О программе-вымогателе Rasket можно также прочитать
в блоге «Лаборатории Касперского».
