30/01/25
Эксперты «Лаборатории Касперского» проанализировали самые распространённые финансовые киберугрозы, которые были нацелены на российских пользователей Android в 2024 году и остаются актуальными в начале 2025 года. Среди них: троянец с функциями удалённого доступа, мобильный банковский троянец и вредоносная версия утилиты для анализа NFC-трафика*.
Модификация NFCGate. В конце 2024 года в России получила широкое распространение вредоносная кампания, которая остаётся актуальной в начале 2025 года. В её рамках атакующие рассылают в мессенджерах под видом полезных приложений вредоносную версию утилиты для анализа NFC-трафика — NFCGate. После запуска фальшивого приложения жертву просят, якобы для верификации, приложить свою банковскую карту к смартфону и ввести PIN-код на фишинговой странице, которую отображает программа. В этот момент злоумышленники получают возможность снимать деньги с карты жертвы в банкоматах. С конца ноября 2024 года по январь 2025-го эксперты «Лаборатории Касперского» обнаружили почти 80 новых вредоносных образцов модифицированной версии NFCGate.
«Эта кампания представляет собой яркий пример глобализации кибермошенничества, поскольку некоторое время назад похожая схема и похожий зловред использовались в атаках за рубежом. Злоумышленники, которые ранее атаковали российских пользователей, обратили внимание на опыт „коллег” и методы, доказавшие свою эффективность, а затем адаптировали их для своих целей. Таким образом в киберпространстве появились версии троянов, которые используют одни техники, но созданы разными разработчиками. Поэтому вендорам, регуляторам и правоохранительным органам необходимо делиться информацией, чтобы иметь возможность как можно быстрее реагировать на новые уловки и принимать меры противодействия», — комментирует Сергей Голованов, главный эксперт «Лаборатории Касперского».
Mamont. Этот мобильный банковский троянец стал активно применяться злоумышленниками только в 2024 году. Существует много схем его распространения, например некоторые модификации этой программы злоумышленники рассылают с украденных Telegram-аккаунтов. Зловред мимикрирует под различные полезные приложения, например под трекеры доставки, и запрашивает доступ к СМС и push-уведомлениям на заражённом устройстве, после чего активно пользуется ими для кражи средств пользователей через СМС-банкинг. При этом отдельные модификации вредоноса «научились» перехватывать коды подтверждения для входа в Telegram-аккаунты. В течение года активность зловреда только увеличивалась: в четвёртом квартале 2024 года количество атак с использованием Mamont выросло больше чем в три раза по сравнению с первым. Речь идёт о сотнях тысяч атак**.
«В 2024 году доля пользователей Android, столкнувшихся с самыми разными, не только финансовыми, мобильными угрозами, увеличилась на 11% по сравнению с 2023. Одним из ключевых трендов стало то, что злоумышленники начали ещё активнее распространять зловредные приложения в мессенджерах — под видом полезных приложений. Владельцам смартфонов крайне важно задумываться о цифровой безопасности своих девайсов и придерживаться базовых правил: не переходить по ссылкам и не скачивать файлы из сомнительных переписок, загружать приложения только из официальных магазинов, а кроме того, регулярно обновлять установленные программы и ОС и, конечно, использовать защитное решение на всех своих устройствах», — комментирует Дмитрий Калинин, эксперт по кибербезопасности «Лаборатории Касперского».
SpyNote. Это шпионcкая программа с функциями удалённого доступа. Троянец популярен у злоумышленников, которые нацелены на платёжные данные владельцев Android-устройств. В частности, его применяют телефонные мошенники для кражи учётных данных от онлайн-банкинга. По данным** «Лаборатории Касперского», в 2024 году количество атак с использованием SpyNote в России выросло почти в девять раз по сравнению с 2023 годом и исчислялось сотнями тысяч.
** Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» для Android-устройств в 2023 и 2024 годах.
