Lucid: группировка XinXin взломала безопасные каналы связи в iOS и Android

Киберпреступники из Китая активно продвигают фишинговую платформу Lucid, предназначенную для массовых атак на пользователей мобильных устройств. С момента запуска в середине 2023 года, она была использована для атак на 169 организаций в 88 странах. В отличие от традиционных рассылок через SMS, Lucid задействует защищённые каналы связи — iMessage от Apple и RCS на Android, что помогает обойти антиспам-фильтры и значительно увеличить охват.

Платформа распространяется по модели подписки через Telegram-канал, где уже насчитывается около 2000 участников. За еженедельную оплату злоумышленники получают доступ к более чем тысяче фишинговых доменов, продвинутым инструментам рассылки и функциям генерации поддельных сайтов. Такие сайты стилизованы под популярные сервисы и государственные структуры, включая USPS, DHL, Amazon, Amex, HSBC, E-ZPass и другие.

Специалисты Prodaft выяснили , что за Lucid стоит китайская группировка XinXin, ранее замеченная в использовании другой аналогичной платформы Darcula v3 . Данный факт может указывать на технологическое или организационное пересечение между двумя сервисами.

Lucid ежедневно рассылает до 100 тысяч фишинговых сообщений, часто под видом уведомлений о налогах, доставке или штрафах за неоплаченные дороги. Такие сообщения сопровождаются подделанными логотипами, адаптированы под язык и регион жертвы и снабжены фильтрами геолокации для повышения вероятности отклика.

Примеры фишинговых сообщений (PRODAFT)

Злоумышленники используют целые «фермы» из iOS- и Android-устройств, на которых размещаются временные Apple ID и эксплуатируются уязвимости операторов мобильной связи, чтобы массово рассылать сообщения.

Ферма iPhone. На экранах некоторых смартфонов отображаются украденные данных кредитных карт и ​​рассылка мошеннических сообщений iMessage (PRODAFT)

Prodaft опубликовала видеозапись, на которой атаки совершаются прямо из движущегося автомобиля. По словам аналитиков, такие демонстрации служат рекламой: они подчёркивают простоту вовлечения в фишинг даже для людей без технической подготовки.

На фишинговых страницах жертвы вводят личные и платёжные данные — имя, адрес, номер карты и прочую чувствительную информацию. Рабочие карты впоследствии продаются другим преступникам или используются для прямого хищения средств.

Использование Lucid снижает входной порог в сферу киберпреступности. Новички могут организовать фишинговую кампанию без серьёзных технических навыков или вложений, что способствует распространению таких атак и повышает их организованность. По данным Prodaft, широкое распространение Lucid связано не только с техническими преимуществами платформы, но и с её коммерческой моделью. Регулярные обновления, автоматизация и удобство интерфейса делают сервис привлекательным для злоумышленников, ориентированных на массовые и дешёвые атаки.

Чтобы не стать жертвой, необходимо проявлять осторожность: не переходить по ссылкам из неожиданных сообщений и проверять информацию напрямую через официальные сайты сервисов.