22 settembre 2023

L'azienda Doctor Web informa su casi sempre più frequenti di frode con l'utilizzo di programmi per l'accesso desktop remoto. Della più vasta popolarità tra i malintenzionati gode il programma RustDesk.

A seguito delle recenti fughe di frammenti dei database di una serie di banche, i truffatori hanno ottenuto l'accesso ai dati personali dei clienti. I malintenzionati utilizzano questi dati per conquistare la fiducia delle proprie vittime. Fingendosi personale di assistenza di una banca, i criminali comunicano che sul conto della vittima sono state notate attività sospette che potrebbero portare alla perdita di denaro. E per impedire il furto, presumibilmente sarebbe necessario installare sul dispositivo un programma "di protezione". I malintenzionati suggeriscono di passare allo store di applicazioni e digitare nella barra di ricerca richieste di tipo "assistenza Sberbank", "supporto VTB" ecc.

Fonte: nakopi-deneg.ru

In realtà, fino a poco tempo fa nei primi risultati di ricerca Google Play per le simili frasi venivano trovati i programmi come AweSun Remote Desktop, RustDesk Remote Desktop, Удаленный рабочий стол (Udalennyj Rabochij Stol, Remote Desktop) AnyDesk. Tale situazione è dovuta al fatto che il sistema di classifica delle app in Google Play tiene conto di quale applicazione scelgono gli utenti inserendo una determinata query di ricerca. E più persone, cercando un'app per le parole chiave "assistenza nome_banca", faranno un errore e andranno al link di un'applicazione per l'amministrazione remota, più Google Play consiglierà tale programma agli utenti.

Va notato che i programmi per la gestione remota in sé non sono malevoli. Il problema insorge quando essi vengono utilizzati per commettere attività illegali.

Dopo l'installazione dell'applicazione, i truffatori chiedono alla vittima di fornire loro l'identificatore univoco, e quindi assumono il pieno controllo del dispositivo. L'accesso al dispositivo consente loro di effettuare pagamenti e bonifici dal conto della vittima. In tale situazione, sarà impossibile dimostrare l'hackeraggio e revocare un ordine di pagamento, in quanto dal punto di vista della banca, è proprio il dispositivo del cliente che interagisce con il sistema di pagamento.

Al momento, l'azienda Google ha tolto l'applicazione RustDesk dalla pubblicazione sullo store Google Play. In conseguenza di ciò, i malintenzionati hanno spostato la loro attività dallo store di app, e ora, per realizzare lo schema di frode con la gestione remota, loro utilizzano siti web — ad esempio, hххps://помощникбанков[.]рф (hххps hxxps://assistentebancario[.]rf).

Su tali siti le potenziali vittime vengono invitate a scaricare l'applicazione a noi già nota RustDesk. In alcuni casi, per farle sembrare più convincenti, nelle applicazioni scaricate sono sostituiti i nomi e l'icona con quelli corrispondenti alla determinata banca. Ha un ulteriore impatto psicologico anche la sezione con le recensioni degli "utenti soddisfatti".

L'antivirus Dr.Web rileva l'applicazione RustDesk come Tool.RustDesk.1.origin, e le applicazioni modificate vengono rilevate come Android.FakeApp.1426. Per una sicurezza aggiuntiva, il componente filtro URL blocca l'accesso ai siti dei malintenzionati, non lasciando che gli utenti rimangano vittima dell'inganno.

L'azienda Doctor Web vi ricorda:

• Fate attenzione rispondendo alle chiamate di banche e altre organizzazioni.
• Non installate mai sui propri dispositivi programmi su richiesta altrui.
• Non comunicate a nessuno i codici da SMS o notifiche push.
• Non parlate con gli "impiegati bancari". Se venite informati di un addebito non autorizzato sul vostro conto, riattaccate. Se volete assicurarvi che sia tutto apposto, richiamate voi stessi la banca al numero indicato sulla vostra carta.

Maggiori informazioni su Tool.RustDesk.1.origin

Maggiori informazioni su Android.FakeApp.1426

Indicatori di compromissione:

• помощникбанков[.]рф (assistentebancario[.]rf)
• поддержкабанка[.]рф (assistenzabancaria[.]rf)
• поддержка-банка[.]рф (supporto-banca[.]rf)
• цбподдержка[.]рф (bancacentralesupporto[.]rf)
• поддержкацб[.]рф (supportobancacentrale[.]rf)
• 24поддержка[.]рф (24supporto[.]rf)

• sha1:2fcee98226ef238e5daa589fb338f387121880c6
• sha1:f28cb04a56d645067815d91d079b060089dbe9fe
• sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
• sha1:535ecea51c63d3184981db61b3c0f472cda10092
• sha1:ee406a21dcb4fe02feb514b9c17175ee95625213