Comodo AV Labs предупреждает о мошенничестве

Время чтения: 5 минут

Большая часть вредоносного ПО, созданного в наши дни, предназначена для того, чтобы приносить доход авторам вредоносного ПО. Это не удивительно, но удивительно, насколько творческими могут быть эти цифровые преступники. В Комодо А.В. Labs мы наблюдаем и анализируем множество схем, приемов и методов, которые они используют для получения своей нечестной выгоды, в том числе:

• Прямое создание валюты
• Косвенные методы заработка денег
  • • информация украдена и продана за реальные деньги, финансовые данные украдены и использованы для кражи средств, трафик генерируется на определенных веб-сайтах с рекламой, принося таким образом доход
• Прямые способы оплаты, такие как вымогателей
  • Авторы вредоносных программ кодируют вредоносные приложения, которые вынуждают пользователей обманом совершать прямые выплаты им в качестве выкупа.
  •  Например Cryptolocker вредоносных программ, Разбойные антивирусы или недавно обнаруженный метод «плати за бесплатное приложение».

Бесплатно для продажи мошенников

В последнее время мы наблюдаем появление новой схемы прямых платежей, при которой жертвы вынуждены платить скачать бесплатное программное обеспечение, Это очень привлекательный подход для киберпреступников. Автору не нужно тратить время и деньги на создание сложного приложения, которое действительно нужно пользователю. Им даже не нужно писать фальшивую программу, которая выглядит реально.

После того, как приложение оплачено и установлено, пользователь может никогда ничего не подозревать, потому что приложение работает должным образом. Даже если жертва узнает, что заплатила за то, что могла получить бесплатно, мошенник не подключен к программному обеспечению и его практически невозможно отследить.

Автор вредоносного ПО может запустить свою схему за три простых шага. Сначала устанавливается способ оплаты для использования в процессе. Это варьируется, но включает в себя онлайн-платеж, банковский перевод и услуги SMS за дополнительную плату.

Во-вторых, они создают настраиваемый установщик «оплата за установку», который реализует предыдущий установленный платежный сервис и либо оборачивает настройку исходного программного обеспечения, либо загружает легитимное приложение из пользовательского местоположения при совершении платежа.

В-третьих, они «продвигают» приложение среди потенциальных жертв. Это может быть достигнуто с помощью трюков с черной шляпой для поисковой оптимизации, методов, широко используемых авторами вредоносных программ, с помощью рекламы, спама и т. Д.

Анализ примера из реальной жизни

Мы столкнулись с подобным обманом среди некоторых проанализированных нами вредоносных приложений. Следующая информация должна помочь пользователям понять угрозу и предложить некоторые основные правила, чтобы избежать такого мошенничества.

После выполнения приложение отображает приветственное сообщение и заявляет, что является установщиком для Mozilla Firefox 26.0, известного, легитимного и бесплатного веб-браузера.

Следующий шаг установки приводит пользователя к экрану, который гласит, что для установки приложения необходимо произвести оплату с помощью SMS-сообщения с доплатой на номер 81126. Он обещает пользователю, что код установки будет доставлен. и процесс может продолжаться. Если код не записан в поле редактирования, установка не будет продолжена.

Извлечение файла конфигурации из установщика открывает некоторые более интересные и тревожные подробности о шагах, которые он предпринимает, а также о кодах, используемых в процессе.

Давайте рассмотрим сценарий, в котором пользователь отправляет SMS-сообщение для получения кода установки.

Когда этот код записывается в поле редактирования, он сверяется с кодом в конфигурации, и отображается окно сообщения, в котором говорится, что «Первый код действителен.

На следующем шаге введите второй из трех обязательных кодов. Отправьте SMS с текстом X10 на номер 81126, и вы получите сообщение с кодом установки ».

В заключение, это было не одно, а три дополнительных текстовых сообщения, которые необходимо было отправить для получения «установочного кода». Первый:

Тогда второй «код»:

После каждого ввода кода через HTTP-вызов отправляется отчет для записи использования действительного кода. Домен, используемый для этого, является vox-telecom.com. Веб-сайт, связанный с этим доменом, не имеет никакой контактной информации, сведений о компании или о том, кто за этим стоит.

Он имеет все признаки того, что это установка, призванная дать пользователям тень доверия, используя имя известной компании из телекоммуникационный бизнес области.

После того, как пользователь также введет третий код, установщик приступает к загрузке законного установщика приложения с сайта softwareapp-pro.s3.amazonaws.com/ uploads / program_file / file_url / 167 / a680381d-79b3-4aa1-b0b0-8d748a09a486 / Firefox% 20Setup% 2026.0.exe и запускает его.

Как видно на снимке, цифровая подпись действительно подтверждает, что загруженное приложение действительно и его можно безопасно установить.
После завершения установки начальный установщик существует, оставляя пользователю только что установленное приложение, которое фактически было бесплатным, но он заплатил за него.

Заключение

Чтобы избежать таких ситуаций, пользователи всегда должны загружать приложения с веб-сайта поставщика или авторитетного сайта загрузки, такого как download.com. Остерегайтесь ссылок, продвигаемых через электронную почту, рекламу или всплывающие окна на веб-сайте.

Также отметьте, является ли нужное вам приложение бесплатное программное обеспечение или действительно вам нужно заплатить за это. Многие платные приложения имеют пробную версию, которую можно протестировать перед их покупкой, с описанием способов оплаты, приведенных в их документации.

Важно помнить о программных приложениях, которые запрашивают оплату по телефону или с помощью SMS-номеров за дополнительную плату при установке.

Но, прежде всего, лучший способ защитить себя от такого вредоносного ПО - это установить эффективный антивирус в вашей системе.

Детали образца:
SHA1: 95606b25cb0f39e27e9cdb30cb4647e2baf4d7fe
MD5: 255f8ec6eccdb85806cb4a9cad136439
Comodo Internet Security обнаружение: TrojWare.Win32.ArchSMS.AB

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО