03/11/21
Компания Avast обнаружила мошеннические сайты, маскирующиеся под популярные магазины России и Украины, а также под государственные почтовые службы из России, Австрии, Беларуси, Чехии, Германии, Словакии и Великобритании. Согласно информации на сайтах, пользователям предлагают вознаграждение в размере 10 000 евро (около 300 000 рублей), если они пройдут небольшой опрос, поделятся ссылкой с 20 друзьями, в пяти чатах в мессенджерах или на Facebook.
В конце сайт побуждает пользователей скачать fleeceware-приложение, подписка на которое стоит 70 долларов (около 5 000 рублей) в неделю. Fleeceware — приложения с необоснованно дорогой подпиской, которые часто предлагают бесплатный пробный период. Как правило, деньги продолжают списываться даже после удаления программы.
Обнаруженное Fleeceware-приложение было загружено более 50 000 раз: специалисты Avast сразу сообщили об этом команде безопасности Android Google. Компания Avast уведомила Cloudflare о списке сайтов, которые использовали их мощности и службы безопасности. Cloudflare не размещал эти сайты, но, после сообщения Avast, смог разместить предупреждение о фишинге на этих сайтах. В настоящее время от этой атаки защищены все пользователи Cloudflare.
Как выглядит мошенничество
Ссылки на локализированные (с местным языком и брендом) вредоносные сайты распространяются через социальные сети и приложения: Facebook, WhatsApp, Viber и Telegram. Злоумышленники сообщают потенциальным жертвам, что они могут выиграть приз, пройдя небольшой опрос (используют ли они имитируемую почтовую службу, их возраст, пол и какими социальными сетями они чаще всего пользуются), и поделившись ссылкой со своими друзьями.
Настоящий приз: fleeceware-приложение
Если пользователь перейдет по ссылке, его перенаправят на fleeceware -приложение в Google Play Store. Оно позиционируется как программа на русском языке для отслеживания посылок. После загрузки жертве предлагают платную версию приложения, которая стоит 70 долларов (5 000 рублей) в неделю – и это предложение написано на английском языке. Единственное, что на самом деле делает приложение, — это списывает деньги с банковских счетов пользователей.
«Такие мошенничества особенно опасны, так как для их распространения злоумышленники используют личные контакты своих жертв. Люди не ожидают чего-то плохого от друзей или родственников, и поэтому с большей вероятностью попадутся на эту уловку. Особенно учитывая то, что такие сайты выглядят очень похоже на оригинальные страницы известных брендов – рассказывает Якуб Вавра, аналитик угроз Avast. – Усиливает правдоподобность то, что все такие страницы переведены на местных язык региона. Удивительно то, что само Fleeceware-приложение не локализовано и выглядит универсальным, не таким проработанным по сравнению с сайтами. Нужно отметить, что в его профиле есть слишком положительные и, вероятно, фейковые отзывы на английском языке. Возможно, мошенники планировали заменить последнюю полезную нагрузку другим приложением или чем-то еще более вредоносным».
