АИ-95 с вредоносной присадкой ⛽️ В середине июня командой Threat Intelligence PT ESC было обнаружено сразу несколько ресурсов, использующих «топливную» тему для вредоносных целей. 1⃣ В рамках первой кампании (скриншот 1) производится угон Telegram-аккаунтов. От имени крупной нефтегазовой организации, предоставляющей услуги по продаже топлива физическим лицам, предлагается «забронировать» время для покупки топлива без очередей. В процессе бронирования злоумышленники просят предоставить код подтверждения (скриншот 2), который на деле является кодом двухфакторной аутентификации от Telegram-аккаунта. Отметим, что исходный код ресурсов изобилует комментариями, характерными для кода, сгенерированного большими языковыми моделями. 2⃣ Вторая кампания заманивает «актуальными» данными о доступности топлива, предлагая скачать APK-файл (скриншоты 3 и 4). На вредоносном сайте отображается карта со сведениями о наличии топлива на разных заправках по всей стране (скриншот 5). Под капотом приложения — инфостилер, среди функций которого сбор с устройства фотографий и текущей геопозиции с последующей отправкой в S3-хранилища, что впоследствии может использоваться для шантажа жертвы и иных целей. ⚠ Рекомендации: • Не сообщайте третьим лицам и не вводите на сторонних ресурсах никакие коды, приходящие на ваши устройства. • Не устанавливайте незнакомые мобильные приложения, а если очень хочется — хотя бы предварительно используйте анализ через песочницу (например, в PT Sandbox 😉). • Относитесь критически к любому ресурсу, обнаруженному в интернете, особенно если он эксплуатирует «горячую» тему. #PositiveTechnologies