Специалисты компании FAССT обнаружили новую версию мошеннической схемы «Мамонт», в которой используется фейковый магазин Google Play. Под предлогом оформления доставки товара скамеры просят жертву скачать и установить из фейкового магазина мобильное приложение сервиса объявлений, которое на самом деле представляет собой шпионский Android-троян. Малварь помогает злоумышленникам незаметно списывать деньги со счета жертвы — средняя сумма хищения составляет 67 000 рублей.
В классической схеме «Мамонт» мошенники похищают деньги и данные банковских карт у жертв под предлогом оформления фейковой покупки и доставки товаров с популярных маркетплейсов, аренды недвижимости, совместных поездок. По данным на конец лета 2023 года, в России по схеме «Мамонт» работали 17 активных преступных групп.
В сентябре специалисты обнаружили новое мошенническое сообщество «Мамонта», которое использует Android-трояны в своих атаках. В новой схеме злоумышленники не требуют ввода данных банковской карты на фишинговом сайте, а предлагают установить мобильное приложение сервиса объявлений с доставкой. Спрятанная в нем шпионская программа может перехватывать вводимые данные банковской карты и входящие SMS-коды для кражи денег со счетов клиентов российских банков.
Эксперты рассказывают, что схема работает следующим образом: воркеры (участники сообщества, привлекающие жертв на скачивание вредоносного приложения) создают поддельные объявления о продаже товара в специальный Telegram-бот и на выходе получают ссылку на скачивание мобильного приложения — APK-файла.
Когда найден покупатель, и он готов оплатить товар, мошенники убеждают жертву продолжить разговор в мессенджере (чтобы ресурс с объявлениями не заблокировал сообщение со ссылкой на вредоносную программу) и скачать мобильное приложение, с помощью которого якобы уже можно оформить доставку. Вся легенда воркера строится на том, что он якобы является индивидуальным предпринимателем, и для покупки товара с доставкой (обычно это популярная электроника, одежда, обувь) клиентам необходимо использовать специальную программу.
После перехода по ссылке жертве открывается поддельная страница Google Play, с которой нужно скачать и установить мобильное приложение, довольно точно копирующее оформление и функциональность реальных онлайн-площадок. Именно здесь покупателю и предлагается оформить доставку.
В момент оплаты троян перехватывает и отправляет участнику группировки (вбиверу) введенные данные банковской карты жертвы, а затем входящие SMS с кодом подтверждения перевода для кражи денег со счета жертвы.
По данным исследователей, от действий мошенников в сентябре 2023 года пострадали клиенты банков как в России, так и Белоруссии. За 10 дней в сентябре с помощью поддельных приложений злоумышленники смогли украсть по обновленной схеме «Мамонт» почти 3 000 000 рублей, осуществив 76 списаний. В среднем у одной жертвы похищали 67 000 рублей.
