22 de septiembre de 2023

La empresa Doctor Web informa sobre los casos de estafa más frecuentes a través de programas de acceso remoto al escritorio. El programa RustDesk es de mayor popularidad entre los malintencionados.

A causa de recientes filtraciones de fragmentos de bases de datos de varios bancos, los estafadores ya tienen acceso a los datos personales de clientes. Los malintencionados usan estos datos para ganar la confianza de sus víctimas. Al hacerse pasar por el personal del servicio de soporte del banco, los delincuentes informan que en la cuenta de la víctima se nota una actividad sospechosa que puede causar la pérdida de dinero. Y para impedir el robo, supuestamente hay que instalar en el dispositivo un programa “de protección”. Los malintencionados ofrecen ir a la tienda de aplicaciones y escribir en la línea de búsqueda el texto como 2soporte de Sberbank”, “Soporte de VTB” etc.

Fuente: nakopi-deneg.ru

En realidad hasta hace poco en los resultados más populares de Google Play en caso de búsqueda por estas frases se encontraban los programas similares a AweSun Remote Desktop, RustDesk Remote Desktop, Escritorio remoto AnyDesk. Esta situación se debe a que el sistema de clasificación de aplicaciones en Google Play toma en consideración qué aplicación eligen los usuarios al introducir alguna solicitud de búsqueda. Y cuantas más personas que buscan la aplicación por palabras clave «soporte nombre_banco» hagan un error y sigan el enlace a la aplicación para administración remota, tanto más será recomendado este programa a usuarios por Google Play.

Cabe destacar que los programas de administración remota no son maliciosos. El problema surge cuando se aplican para realizar acciones ilegales.

Una vez instalada la aplicación, los malintencionados piden que la víctima le informe del identificador único, y luego empiezan a controlar el dispositivo. El acceso al dispositivo les permite realizar pagos y transferencias de la cuenta de la víctima. Así mismo, sen este caso no será posible justificar el hackeo ni revocar la orden de pago porque para el banco el dispositivo del cliente interacciona con el sistema de pagos.

Actualmente la empresa Google eliminó la aplicación RustDesk de la tienda Google Play. Por lo tanto, los malintencionados empezaron su actividad fuera de la plataforma, y ahora para realizar el esquema de estafa con administración remota usan los sitios web — por ejemplo, hххps://помощникбанков[.]рф.

En estos sitios web a las víctimas potenciales se les ofrece descargar la aplicación ya conocida para nosotros RustDesk. En algunos casos para “ganar confianza” en las aplicaciones descargadas el nombre y el icono están sustituidos por los correspondientes a algún banco. La sección con “referencias de usuarios satisfechos” también permite “ganar confianza”:

El antivirus Dr.Web detecta la aplicación RustDesk como Tool.RustDesk.1.origin, y las aplicaciones modificadas se detectan como Android.FakeApp.1426. Para mayor seguridad el componente filtro URL bloquea acceso a los sitios web de malintencionados sin permitir a los usuarios ser víctima del engaño.

La empresa Doctor Web recuerda:

• Tenga prudencia al contestar a las llamadas de bancos y otras entidades.
• Nunca instale programas en sus dispositivos por petición de alguien.
• No informe a nadie los códigos de SMS o notificaciones push.
• No hable con los “empleados de bancos”. Si les informan sobre el abono no autorizado de dinero de Su cuenta, cuelgue. Si desea asegurarse de que todo está bien, llame al banco por teléfono indicado en Su tarjeta.

Más información sobre Tool.RustDesk.1.origin

Más información sobre Android.FakeApp.1426

Indicadores de compromiso:

• помощникбанков[.]рф
• поддержкабанка[.]рф
• поддержка-банка[.]рф
• цбподдержка[.]рф
• поддержкацб[.]рф
• 24поддержка[.]рф

• sha1:2fcee98226ef238e5daa589fb338f387121880c6
• sha1:f28cb04a56d645067815d91d079b060089dbe9fe
• sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
• sha1:535ecea51c63d3184981db61b3c0f472cda10092
• sha1:ee406a21dcb4fe02feb514b9c17175ee95625213