Привет! Это Камиль Камалетдинов и Егор Григорьев, специалисты Angara SOC. Мы обнаружили и изучили вредоносное ПО, которое злоумышленники распространяют в тематических группах, посвященных поиску пропавших в зоне СВО.
По подсчетам экспертов Отдела защиты бренда Angara SOC, на 43% каналов, посвященных поиску пропавших в зоне СВО, распространяются APK-файлы, содержащие вредоносное ПО.
С начала 2025 года в мессенджереTelegram все чаще стали появляться тематические группы с названиями «Поиск пропавших на СВО», «Пропавшие без вести СВО», созданные для помощи родственникам и волонтерам. Этим воспользовались злоумышленники, которые быстро придумали новую схему обмана пользователей.
Мошенники создают каналы с похожими названиями. На первый взгляд, такие ресурсы выглядят как каналы для помощи в поиске пропавших людей или как обычные информационные сообщества. В группах публикуются новостные посты о ходе СВО и списки пропавших военнослужащих в виде фотографий, PDF-и Excel-файлов с фамилиями и данными пропавших.
Но спустя некоторое время в этих же группах начинают появляться APK-файлы с названиями: «Списки действующих бойцов», «Список СВО», «Список погибших», «Список пленных». Также в группах могут публиковаться ссылки для скачивания этих файлов. Данные файлы, как утверждают авторы, содержат «расширенные списки» или «приложение с интерактивным поиском пропавших людей». Как правило, данные сообщения сопровождаются отзывами о работоспособности данного «приложения».
В действительности эти файлы представляют собой вредоносное программное обеспечение, способное получить доступ к персональным данным, банковским приложениям и управлению устройством.
Описание приложений
Специалисты Отдела реагирования и цифровой криминалистики Angara SOC обнаружили в таких APK-файлах банковский троян Mamont для ОС Android. Приложения в результате установки имеют следующий вид на устройстве:
Их цель — обмануть жертву и заставить ВПО работать скрытно под видом обычного приложения. При этом злоумышленники в качестве иконки приложения «Списки госпиталей.apk» выбрали изображение документа в формате PDF, чтобы обманом заставить запустить вредоносное приложение.
При установке приложений «Списки госпиталей.apk» и «Список пропавших на 1.07.2025.apk» они запрашивают разрешение на получение доступа к SMS и на работу в качестве основного сервиса для работы с SMS.
Помимо перечисленных выше запросов, при установке на устройство приложения запрашивают и другие разрешения (с высоким риском) для реализации заложенного вредоносного функционала.
Табл. 1. Запрашиваемые разрешения приложений
Наименование разрешения |
Описание |
android.permission.ACCESS_NETWORK_STATE |
Позволяет приложению просматривать состояние сетевого соединения |
android.permission.CALL_PHONE |
Позволяет приложению набирать телефонные номера без вашего вмешательства |
android.permission.POST_NOTIFICATIONS |
Позволяет приложению отображать уведомления |
android.permission.READ_CALL_LOG |
Позволяет приложению считывать журнал вызовов пользователя |
android.permission.READ_CONTACTS |
Позволяет приложению считывать все контактные (адресные) данные, хранящиеся на телефоне |
android.permission.READ_EXTERNAL_STORAGE |
Позволяет приложению считывать данные из внешнего хранилища |
android.permission.READ_PHONE_NUMBERS |
Разрешает доступ к чтению телефонных номеров на устройстве |
android.permission.READ_PHONE_STATE |
Позволяет приложению получать доступ к функциям телефона на устройстве. Приложение с таким разрешением может определять номер телефона и серийный номер этого телефона, активен ли вызов, к какому номеру подключен вызов и т.д. |
Позволяет приложению считывать SMS-сообщения, хранящиеся на телефоне или SIM-карте |
|
android.permission.RECEIVE_BOOT_COMPLETED |
Позволяет приложению запускаться самостоятельно, как только система завершит загрузку |
android.permission.RECEIVE_SMS |
Позволяет приложению получать и обрабатывать SMS-сообщения |
android.permission.RECEIVE_WAP_PUSH |
Позволяет приложению получать и обрабатывать WAP-сообщения |
android.permission.RECORD_AUDIO |
Позволяет приложению получить доступ к пути к аудиозаписям |
android.permission.SEND_SMS |
Позволяет приложению отправлять SMS-сообщения |
android.permission.WRITE_EXTERNAL_STORAGE |
Позволяет приложению выполнять запись во внешнее хранилище |
В результате получения указанных разрешений ВПО семейства Mamont может:
· собирать информацию об устройстве и отправлять ее на сервер злоумышленника;
· осуществлять перехват и отправку SMS-сообщений с зараженного устройства;
· совершать звонки;
· получать информацию истории звонков, контакты, список приложений, установленных на устройстве, историю SMS-сообщений;
· перехватывать Clipboard data — данные из буфера обмена;
· получать доступ к пользовательским файлам.
При запуске приложений происходит перенаправление на страницы с возможностью «поиска пропавших в СВО». Например, приложение «Список пропавших на 1.07.2025.apk» перенаправляет на страницу svo-poisk[.]net, которая выглядит следующим образом:
Несмотря на то, что данные приложения при установке запрашивают схожие разрешения, их функционал имеет некоторые различия.
Рассмотрим детально принцип работы каждого из приложений.
Принцип работы приложений «Список пропавших на 1.07.2025.apk» и «Списки госпиталей.apk»
Приложения «Список пропавших на 1.07.2025.apk» и «Списки госпиталей.apk» имеют одинаковый функционал. В ходе работы они с непродолжительным интервалом получают следующие команды от управляющего сервера:
Табл. 2. Команды, получаемые приложениями от управляющего сервера
Команда |
Значение команды |
get_sms_command |
Получить SMS с устройства |
receive_ping |
Проверить доступность устройства |
В результате выполнения данных команд вся полученная с устройства жертвы информация в зашифрованном виде (в формате GZIP или JSON) отправляется через Telegram-бот на сервер злоумышленников.
Табл. 3. Отправка данных с устройства методом POST в бот из приложения «Список пропавших на 1.07.2025.apk»
POST /bot7518915935:AAE0SMsrVAWT__W1AqMk6KNejtEdqIK60Ng/sendMessage HTTP/2.0 |
Табл. 4. Отправка данных с устройства методом POST в бот из приложения «Списки госпиталей.apk»
POST /bot7518915935:AAE0SMsrVAWT__W1AqMk6KNejtEdqIK60Ng/sendMessage HTTP/2.0 |
Принцип работы приложения «Списки действующих бойцов (1).apk»
Приложение «Списки действующих бойцов (1).apk» также относится к семейству ВПО Mamont, однако оно было собрано другой версией билдера или другим автором, вследствие чего имеет некоторые отличия.
Это приложение осуществляет проверку на наличие определенных приложений, установленных на зараженном устройстве.
Однако в остальном программа обладает схожим функционалам с ранее рассмотренными приложениями: оно может перехватывать SMS-сообщения и звонки, собирает информацию об устройстве. При этом в программу статично вшит адрес управляющего сервера и иных серверов, принадлежащих злоумышленникам, на которые отправляется полученная информация.
Таким образом, телефон фактически оказывается в руках мошенников. Используя полученную информацию, злоумышленники могут получить доступ к банковским приложениям и мессенджерам пользователя, осуществить покупку и т.д., в результате чего могут пострадать еще и родственники пользователя.
Списки индикаторов (IOC)
Табл. 5. Список индикаторов для приложения «Списки действующих бойцов (1).apk»
Описание |
IOC |
Наименование пакета приложения |
dfx.qshzdnm.hzpqew |
C2 |
185.100.157.190:8000 |
Табл. 6. Список индикаторов для приложения «Списки госпиталей.apk»
Описание |
IOC |
Наименование пакета приложения |
nQQFLcGlCo.nPVlRt.nbP1IyLrth |
C2 |
172.67.136.118 , 104.21.38.164 |
C2 |
|
Bot |
https://api.telegram.org/bot7518915935:AAE0SMsrVAWT__W1AqMk6KNejtEdqIK60Ng/sendMessage |
Табл. 7. Список индикаторов для приложения «Список пропавших на 1.07.2025.apk»
Описание |
IOC |
Наименование пакета приложения |
nybnnHW4uo.n4NQiOsHXt.nONjMSYth |
C2 |
104.21.38.164:443, 172.67.136.118 |
C2 |
|
Bot |
https://api.telegram.org/bot7518915935:AAE0SMsrVAWT__W1AqMk6KNejtEdqIK60Ng/sendMessage |
Подводя итоги
Рекомендуем отключить автозагрузку файлов в Telegram и внимательно проверять формат файлов перед их скачиванием. Как правило, различного рода списки публикуют в форматах «.docx», «.xlsx» и «.pdf». Перед скачиванием файлов в данных форматах рекомендуем проверять их на специальных сервисах, например VirusTotal. Также рекомендуем использовать на своем мобильном устройстве антивирусные приложения.
Не стоит заниматься поиском пропавших людей в тематических Telegram-группах, так как здесь вы рискуете столкнуться с мошенниками. Для поиска пропавшего военнослужащего рекомендуем обращаться в официальные организации, например в Государственный фонд «Защитники Отечества».
shaman4d
Я думал что это прикол такой, который в новостях пишут, а оказывается что реально кто-то качает АПК. И более того(!) потом соглашается с установкой из неизвестного источника и потом еще раз подтверждает это когда ему ось телефона говорит что это может быть опасно...
Birek
Отчаявшиеся жены и матери с ума сходят от безызвестности. Поэтому цепляются за любую возможность найти родного человека. Сам состою в одном из чатов.
vindy
ну, для меня более дико, что этим же людям норм отпустить своих близких на СВО. Если настолько плохо со здравым смыслом - то врядли многие в этой выборке думают про какие-то пермишены и цифровую гигиену. При всем сочувствии к их человеческому горю и так далее.
AndyLem
Надо просто больше донатить на ВСУ, тогда и сво не будет, и горя, и вредоносных списков.
psynix
А даже если и будет из тюрьмы не очень то и заметно
psynix
о великий молчаливый минусатор, тыб хоть как то свою позицию описал а то как то прямо неудобно... толи слишком толсто толи слишком тонко ...
AndyLem
Ну тут такой выбор. Либо рискнуть тюрьмой, либо продолжить воевать против мирного населения другой страны. Просто во втором случае не стоит обижаться, когда прилетает ответка. Даже в виде не совсем этичных с точки зрения мирного времени вариантов