Revenir vers la liste d'actualités
Le 22 septembre 2023
Compte tenu des récentes fuites de fragments de bases de données d'un certain nombre de banques (en Russie), les fraudeurs ont accès à des données personnelles. Ces données sont utilisées par les attaquants afin de gagner la confiance de leurs victimes. Se présentant comme des employés de la banque, les criminels signalent qu'une activité suspecte pouvant entraîner une perte d'argent a été remarquée sur le compte de la victime. Pour éviter le vol, ils demandent d'installer un programme de « protection » sur l'appareil. Les attaquants proposent de se rendre dans le store d'applications et de taper dans la barre de recherche support Sberbank, Support VTB, etc.
Source : nakopi-deneg.ru
En fait, jusqu'à récemment, des programmes tels que AweSun Remote Desktop, RustDesk Remote Desktop et AnyDesk Remote Desktop figuraient en tête des résultats de recherche sur Google Play. Cette situation est due au fait que le système de classement des applications dans Google Play prend en compte le choix des utilisateurs après une recherche. Dans le cas de cette fraude, les utilisateurs téléchargent des outils de prise de contrôle à distance pensant télécharger une appli de support d’une banque, ce qui explique que ces applis figurent en tête des résultats de recherche.
Il convient de noter que les programmes de contrôle à distance ne sont pas eux-mêmes malveillants mais que c’est bien sûr leur utilisation dans le cadre d’une fraude qui pose problème.
Une fois l'application de prise en main à distance installée, l’utilisateur pensant être entre les mains du support de sa banque, les escrocs demandent à la victime de leur fournir l’identifiant unique affiché, puis ils prennent le contrôle total de l'appareil. L'accès à l'appareil leur permet d'effectuer des manipulations sur le compte de la victime. Le problème est que la preuve du piratage dans une telle situation sera difficile, puisque du point de vue de la banque, c'est l'appareil du client qui interagit avec ses services.
Pour le moment, Google a retiré l'application RustDesk de Google Play Store. En conséquence, les attaquants utilisent maintenant des sites Web pour mettre en œuvre un système de fraude par contrôle à distance, par exemple, hххps://помощникбанков[.]рф.
Sur ces sites, les victimes potentielles sont invitées à télécharger l'application RustDesk que nous connaissons déjà. Dans certains cas, pour être plus convaincant, les noms et les icônes des applications téléchargées ont été remplacés par ceux d'une banque en particulier. La section avec les avis des « utilisateurs » (satisfaits) a également un impact psychologique supplémentaire.
Dr.Web Antivirus détecte l'application RustDesk en tant que Tool.RustDesk.1.origin, et les applications modifiées sont identifiées comme Android.FakeApp.1426. Pour plus de sécurité, le filtre d'URL bloque l'accès aux sites malveillants, empêchant ainsi les utilisateurs d'être victimes de tromperie.
Doctor Web rappelle :
- Soyez vigilant lorsqu’une personne qui vous appelle se présente comme un employé de votre banque et vous demande d’installer quelque chose sur votre ordinateur. Une banque ne gère pas la sécurité de ses clients de cette manière.
- N'installez jamais de logiciel sur vos appareils à la demande de quelqu’un.
- Ne partagez pas les codes des SMS ou des notifications push avec qui que ce soit.
- Si vous avez un doute sur la personne qui vous appelle de votre banque pour vous informer d'un débit non autorisé sur votre compte, raccrochez et rappelez votre conseiller bancaire.
En savoir plus sur Tool.RustDesk.1.origin
En savoir plus sur Android.FakeApp.1426
Indicateurs de compromission.
- помощникбанков[.]рф
- поддержкабанка[.]рф
- поддержка-банка[.]рф
- цбподдержка[.]рф
- поддержкацб[.]рф
- 24поддержка[.]рф
- sha1:2fcee98226ef238e5daa589fb338f387121880c6
- sha1:f28cb04a56d645067815d91d079b060089dbe9fe
- sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
- sha1:535ecea51c63d3184981db61b3c0f472cda10092
- sha1:ee406a21dcb4fe02feb514b9c17175ee95625213
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments