2023 年 9 月 22 日

Doctor Web公司通报广大用户，使用远程桌面访问程序进行不法活动的案件数量在不断增加。 攻击者最常使用的程序是 RustDesk。

由于最近多家银行的数据库片段被泄露，不法分子获取了客户的个人数据，并利用这些数据来获得受害者的信任。 犯罪分子冒充银行客服人员，称受害者账户发现可疑活动，可能会导致金钱损失，而防止被窃需在设备安装一个“安全”程序，并建议用户打开应用程序商店并在搜索栏中输入“Sberbank support”、“VTB support”等进行查找。

来源： nakopi-deneg.ru

而事实上，直到最近，在Google Play输入此类搜索短语的结果中位于顶部的都是AweSun 远程桌面、RustDesk 远程桌面和 AnyDesk 远程桌面等程序。 这种情况是由于 Google Play 上的应用程序排名系统要顾及用户在输入特定搜索查询后所选择的应用程序。 使用关键字“bank_name support”搜索应用程序时，错误点击远程管理应用程序的链接的人越多，Google Play 就越会向用户推荐此类程序。

需要注意的是，远程控制程序本身并不具有恶意，但问题出现在可能被用来实施非法行为。

安装应用程序后，诈骗者会要求受害者提供独有 ID，然后就会完全控制设备。 通过访问设备可以从受害者的帐户进行付款和转账。在这种情况下，受害人无法证明黑客攻击和撤回交易，因为从银行的角度来看，与支付系统交互的是客户的设备。

Google 目前已将 RustDesk 应用程序从 Google Play 商店删除。 因此，攻击者已将其活动转移，通过各种网站来实施远程控制诈骗，如网站hххps://помощникбанков[.]рф。

这些网站会邀请访问者下载上面提到的 RustDesk。 在某些情况下，为了更具说服力，所下载应用程序的名称和图标已替换为与特定银行相对应的名称和图标。 来自“满意用户”的所谓评论也有加强对用户的心理影响。

Dr.Web反病毒软件将RustDesk侦测为Tool.RustDesk.1.origin，其变种侦测为Android.FakeApp.1426。 为提高安全性起见URL 过滤器组件会阻止对恶意站点的访问，从而防止用户成为受害者。

Doctor Web公司提醒您：

• 接听银行和其他组织的电话时要保持警惕。
• 切勿应他人要求在您的设备上安装程序。
• 请勿与任何人分享短信或推送通知中的代码。
• 不要与“银行员工”交谈。 如果您收到有关帐户被划款的消息，请挂断电话，然后可自行拨打银行卡所示电话号码打通银行进行核实。

Tool.RustDesk.1.origin更多详情

Android.FakeApp.1426更多详情

失陷指标:

• помощникбанков[.]рф
• поддержкабанка[.]рф
• поддержка-банка[.]рф
• цбподдержка[.]рф
• поддержкацб[.]рф
• 24поддержка[.]рф

• sha1:2fcee98226ef238e5daa589fb338f387121880c6
• sha1:f28cb04a56d645067815d91d079b060089dbe9fe
• sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
• sha1:535ecea51c63d3184981db61b3c0f472cda10092
• sha1:ee406a21dcb4fe02feb514b9c17175ee95625213