О вирусных приложениях, предназначенных для Android и маскирующихся под площадки для поиска вакансии, рассказали в «Доктор Веб». При помощи этих программ злоумышленники могут получить личные данные граждан и воровать их финансовые сбережения.
Принцип действия мошеннической схемы, обнаруженной специалистами компании, заключается в следующем. Хакеры распространяют ПО, которые якобы оказывают человеку помощь в поиске работы, используя Google Play. Чтобы заинтересовать более широкую аудиторию и увеличить шансы на удачный обман своих потенциальных жертв, злоумышленники могут эти вредоносные продукты выдавать за реальные площадки, позволяющие найти нужную вакансию. Одну из таких программ киберпреступники продвигали, замаскировав ее под настоящее программное обеспечение Job Today. Иконка, название программы были сходны с официальной версией. Кроме того, на странице каталога было еще и описание, сбивающее посетителя с толку. В придачу ко всему, трояны хорошо разрекламированы, в частности в иных приложениях путем использования специальных встроенных рекламных инструментов. Соответственно, количество установок таких продуктов достаточно большое.
Cnews отмечают, что «Доктор Веб» на период публикации материала обнаружила целых семь вирусных продуктов, среди которых Grabjobs, Nanoss и другие.
Все эти приложения специалисты внесли в собственную базу вирусов компании и отнесли к категории Android.FakeApp. Не исключено и то, что могут появиться еще подобные ПО, так как особых знаний и профессионализма от программистов, чтобы их создать, не требуется.
По сути описанные трояны – это web-приложения. Они во время запуска в собственных окнах загружают сайты с фейковыми вакансиями. В отдельных версиях адреса в настройках прописаны с самого начала, тогда как другие, чтобы получить ссылки, связываются с сервисом, направляющим в формате JSON нужные параметры.
Варианты атак могут быть разными. Все зависит от того, что находится на сайте, который загружается. Один из основных сценариев предусматривает информационный сбор – собираются личные данные. После того, как человек делает выбор в пользу подходящего ему объявления и делает попытки откликнуться, ресурс просит пройти небольшую анкету с вводом в форму определенных персональных данных. В действительности эта форма не настоящая. Соответственно, все внесенные человеком данные в момент отправки формы поступают не потенциальному работодателю, а киберпреступникам. Последние либо вносят эти сведения в собственную информационную базу, а затем их задействовать в ходе атак, либо продают их третьим лицам.
Есть сценарий и посложнее. В данном случае, человек, выбрав приглянувшееся объявление, видит уведомление, в котором предлагается напрямую связаться с разместившей вакансию компанией, используя один из мессенджеров, например, Телеграм или WhatsApp.
Если человек, находящийся в поиске работы, соглашается на такое общение с потенциальным работодателем, он может стать жертвой мошенников. Обманные схемы используются самые разные. Среди прочего, киберпреступники могут действовать от имени какой-то компании и предложить соискателю некий вариант работы. Таким образом они пытаются привлечь к себе интерес, внимание, доверие будущей жертвы. Но это всего лишь приманка. В результате мошенники постараются получить как личные сведения о человеке, так и все его финансовые средства. В данном сценарии злоумышленники действуют, как представители ML-Smart International E-commerce. Связаться с ними они просят через бизнес-канал WhatsApp.
Мошенники в начале разговора сообщают человеку, что представляют крупного производителя электроники международного уровня и просят его представиться, указать свой возраст и чем он занимается. После того, как человек ответит на данные вопросы, они говорят в чем «работа» заключается и какие ее преимущества. Из их рассказа следует, что соискатель станет участником увеличения рейтинга продукции в интернет-магазинах. От него требуется размещать на товары заказы виртуального характера, а реализаторы ему будут выплачивать комиссию в определенном объеме. Вывести свои полученные средства из системы, по словам киберпреступников, он сможет тогда, когда ему это будет удобно.
Для того, чтобы пользователь мог быть участником площадки, ему необходимо на определенном ресурсе пройти регистрацию. Соответствующая ссылка предоставляется. После прохождения регистрации ему кладут на счет внутри системы 120 рублей, как бонус. Этого достаточно, чтобы выполнить ряд заданий в рамках, так называемого, обучения.
Все время злоумышленники контактируют со своей жертвой, предоставляя ей подробные инструкции, а также осуществляют сопровождение всех ее действий. Таким образом они поддерживают интерес человека к «работе» и иллюзию того, что сервис не только рабочий, но еще и безопасный. Как только первые тестовые, да еще и удачные покупки с последующим зачислением вознаграждения были сделаны, мошенники ставят в известность человека, что ему нужно внести на счет пять сотен рублей. С их слов, деньги нужны, чтобы активировать учетку. Параллельно они утверждают, что практически сразу эти средства вернуться на счет внутри системы, а всю сумму, которая на этом счете в итоге окажется, можно вывести на счет в банке. Чтобы жертва не сомневалась, мошенники могут скинуть ей скрины выплат иных участников проекта.
В данной ситуации киберпреступники могут сразу похитить средства, внесенные человеком, или могут дать первое вознаграждение вывести, чтобы человек еще больше заинтересовался и не сорвался с крючка. В последней ситуации в будущем такому работнику будут предлагать более дорогостоящую продукцию. Естественно, при оформлении, так называемого заказа, на внутреннем счету будет недостаточно средств и его необходимо будет пополнять. Но сумма пополнения будет становиться все больше. В результате, получив определенную сумму, киберпреступники могут попросту прервать обратную связь с жертвой. Второй вариант развития событий – человек начнет догадываться о мошенничестве. При попытке вывести средства он, конечно же, ничего сделать не сможет.
Из этого следует, что суть схемы заключается в попытке заработать на желании людей быстро и легко получить доход в интернет-сети. Использовать ее могут в отношении жителей не только России, но и зарубежья.
Специалисты Dr.Web в очередной раз разъясняют, что к каждому предложению быстр и легко заработать деньги в сети стоит относиться очень осторожно. В том случае, если предложение очень уж заманчивое, а условия простые, есть большая вероятность, что с вами работают мошенники.
Если вы ищите онлайн-работу, нужно использовать надежные ресурсы. Очень важно проверить, что это настоящий сервис, а не фейковый. Нужно убедиться, что сайты не имеют симптомов подделки. На фейковый ресурс указывает то, что нет сертификата безопасности или его действие закончилось, домен имеет неверное имя, в файлах наблюдаются ошибки, как пунктуационные, так и грамматические и прочее. Кроме того, эксперты рекомендуют устанавливать только официальные приложения с маркетплейсов или проверенных ресурсов. В случае с маркетплейсами важно удостовериться, что автор ПО не подражатель, который маскируется под реального создателя программы. Не стоит забывать и об антивирусной программе. В данном случае в ней должна присутствовать опция родительского контроля. Такой антивирус обезопасит от вирусных и фишинговых программ, от небезопасных ресурсов.
Об обнаруженных вирусных ПО специалисты Dr.Web поставили в известность Гугл. Но пока еще большая часть этих приложений можно загрузить.
Антивирусы данной компании для устройств, работающих на Android, эффективно выявляют и удаляют известные вариации указанных троянов. В связи с этим для тех, кто использует продукты компании, они не являются опасными.