Фейковий додаток для криптовалюти дає контроль над пристроями користувачів

7 октябрь, 2021 - 13:35

Компанія ESET попереджає про поширення інструменту віддаленого доступу (RAT) під виглядом оновлення для офіційного додатку SafeMoon. За допомогою шкідливої програми зловмисники отримують контроль над пристроями користувачів та можуть викрадати їх паролі і гроші.

З моменту свого створення SafeMoon став досить популярним, що спричинено просуванням інфлюенсерами в соціальних мережах. Не залишились осторонь і кіберзлочинці, які почали націлюватись на користувачів криптовалюти.

Зокрема шахраї надсилають користувачам Discord повідомлення від імені офіційного акаунту SafeMoon, в якому повідомляють нібито про нову версію додатку.

Після переходу за посиланням у листі жертва потрапляє на ресурс, подібний до офіційного сайту SafeMoon. Домен, про який вперше повідомив користувач Reddit у серпні 2021 року, також схожий на легітимний, однак містить додаткову букву у кінці. Таким чином зловмисники намагались залишитися непоміченими для більшості користувачів, які поспішають отримати необхідне «оновлення».

Усі зовнішні посилання на сайті є легітимними, за винятком адреси для завантаження нібито офіційного додатку SafeMoon з магазину Google Play. Замість SafeMoon для пристроїв Android завантажується компонент з поширеним стандартним програмним забезпеченням Windows, яке можна використовувати як у легітимних, так і в зловмисних цілях.

Після виконання інсталятор завантажує декілька файлів у систему, включно з інструментом RAT під назвою Remcos. Незважаючи на те, що цей RAT позиціонується як легітимний інструмент, він також продається на підпільних форумах.

Варто зазначити, що Remcos був задіяний у шкідливих кампаніях різних груп кіберзлочинців. Зокрема лише декілька місяців тому дослідники ESET виявили його використання під час операції Spalax, цілями якої були колумбійські організації.

Remcos дозволяє зловмисникам збирати конфіденційні дані жертви. Він може викрадати облікові дані з різних браузерів, зчитувати натискання клавіш, отримувати контроль над вебкамерою та звуком з мікрофона жертви. Також інструмент має можливість завантажувати та розгортати додаткові шкідливі програми на пристрої. Управління цим інструментом здійснюється через командний сервер (C&C), IP-адреса якого додається до завантажених файлів.