СМС-стилеры в Telegram: тысячи пользователей стали жертвами атак

Злоумышленники все чаще используют Telegram в качестве управляющего сервера (C2) для вредоносного ПО. Недавнее исследование специалистов Positive Technologies выявило более тысячи телеграм-ботов индонезийского происхождения, которые применяются для перехвата одноразовых кодов, необходимых для входа в различные сервисы и аккаунты пользователей. Среди жертв этих атак оказались не только жители Индонезии, но также России и Белоруссии.

Основную массу вредоносного ПО, проанализированного экспертами, составляют два типа стилеров — SMS Webpro и NotifySmsStealer. Злоумышленники не создают свои вредоносы с нуля, а используют готовые шаблоны. Структура классов, названия и код этих стилеров идентичны, различаются лишь C2-серверы образцов и формат сообщений в Telegram. NotifySmsStealer отличается от SMS Webpro тем, что способен похищать информацию не только из сообщений, но и из уведомлений.

Атаки направлены на обычных пользователей, которые получают фишинговые сообщения с вложением в виде APK-файла. Скачав этот файл, жертвы невольно устанавливают СМС-стилер на свои телефоны, что позволяет злоумышленникам перехватывать одноразовые коды для входа в сервисы. Получив одноразовый пароль от банковского аккаунта, преступники могут вывести средства со счета жертвы.

Эксперты Positive Technologies в ходе исследования телеграм-ботов обнаружили множество чатов индонезийского происхождения, ежедневно привлекающих внимание большим количеством сообщений и жертв. Они выявили, что распространение СМС-стилеров часто начиналось с фишинговых атак в WhatsApp. В качестве приманки злоумышленники использовали свадебные приглашения, банковские уведомления и другие документы.

По данным специалистов, больше всего пострадавших от этих атак — граждане Индонезии, где число жертв исчисляется тысячами. В Индии и Сингапуре количество загрузок вредоносного ПО достигло нескольких десятков. В Индии и Бангладеш действуют уникальные типы стилеров. В России, Белоруссии и Малайзии зафиксированы единичные случаи атак.

Для защиты от стилеров эксперты рекомендуют:

1. Проверять расширения получаемых файлов.
2. Не скачивать приложения по ссылкам из сообщений с незнакомых номеров, даже если отправители представляются банковскими работниками.
3. При загрузке из Google Play проверять правильность названия приложения через официальные источники.
4. Не загружать и не устанавливать приложения, требующие подозрительных разрешений.

Соблюдение этих рекомендаций поможет пользователям значительно снизить риск заражения своих устройств вредоносным ПО и защитить свои данные от киберпреступников.