ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

巧みに操る詐欺師:モバイルデバイス用のリモート管理ソフトウェアを悪用して金銭を詐取

2023年9月29日

株式会社Doctor Web Pacific


Doctor Webは、リモートデスクトップアプリを利用した詐欺が増加していることについて注意を呼びかけています。攻撃者に最もよく使用されているのは「RustDesk」です。

先ごろ複数の銀行からデータベースの断片が漏えいしたことから、現在、詐欺師が利用者の個人情報にアクセス可能な状態になっています。犯罪者はユーザーの信頼を獲得する目的でこれらの情報を利用しています。銀行のサポートスタッフを装ってユーザーに連絡し、口座で金銭の損失につながる可能性のある不審な操作が検出されたと通知する手口が用いられています。続けて、金銭が盗まれることを防ぐためデバイスに「セキュリティ」アプリケーションをインストールする必要があると告げ、アプリストアにアクセスして「Sberbank support」や「VTB support」などのアプリを検索するよう提案します。

#drweb

Source: nakopi-deneg.ru

最近まで、Google Playでそのような検索フレーズで検索した場合に結果の上位に表示されるのは「AweSun Remote Desktop」、「RustDesk Remote Desktop」、「AnyDesk Remote Desktop」などのアプリケーションとなっていました。これは、Google Playのアプリケーション検索ランキングシステムが、ユーザーが検索クエリを入力した後に実際にクリックしたアプリケーションを考慮に入れたものであるためです。つまり、「support bank_name」というキーワードでアプリケーションを検索し、誤ってリモート管理アプリケーションのリンクをクリックしてしまうユーザーが増えれば増えるほど、Google Playはますますそのようなアプリケーションを勧めてくるようになります。

ここで注意したいのは、リモート管理アプリケーション自体は悪意のあるものではないということです。問題となるのは、これらが違法行為に使用されたときです。

ユーザーがアプリをインストールした後、詐欺師は一意の識別子をユーザーから聞き出し、デバイスを完全にコントロールします。デバイスにアクセスすることで、ユーザーの口座から支払いや送金を行うことができるようになります。残念ながら、このような状況ではハッキングを証明して支払いを取り消すことは不可能です。銀行からみれば、決済システムとやり取りしたのはユーザーのデバイスであるためです。

現在、「RustDesk」アプリケーションはGoogleによってGoogle Playから削除されています。その結果、攻撃者は活動の場を独自のネットワークリソースへと移し、hxxps://помощникбанков[.]рфなどのサイトにアクセスするようユーザーに勧めるようになっています。

#drweb

#drweb

このようなサイトで、ユーザーはやはり「RustDesk」アプリケーションをダウンロードするよう促されます。一部のサイトでは、より説得力を持たせるためにアプリケーションの名前とアイコンが特定の銀行のものに置き換えられています。「満足したユーザー」によるレビューのセクションもあり、さらなる安心感を抱かせるのに一役買っています。

#drweb

#drweb

Dr.Webアンチウイルス製品は「RustDesk」アプリケーションを Tool.RustDesk.1.origin として、また、その亜種を Android.FakeApp.1426 として検出します。さらにセキュリティを強化するため、Dr.Webアンチウイルス製品に含まれるURLフィルターコンポーネントが悪意のあるサイトへのアクセスをブロックし、ユーザーを詐欺被害から守ります。

対策として、以下の点に注意してください。

  • 銀行やその他の組織から電話があった場合は慎重に対応するようにしてください。
  • 第三者からの要求でデバイス上にプログラムをインストールしないようにしてください。
  • SMSやプッシュ通知で受け取ったコードを誰とも共有しないでください。
  • 「銀行の職員」と話をしないようにしてください。口座に対して不正な請求があったと言われた場合は電話を切ってください。問題がないことを確認したい場合は、カードに記載されている番号に自分から電話をかけるようにしてください。

Indicators of compromise(侵害の痕跡):

  • помощникбанков[.]рф
  • поддержкабанка[.]рф
  • поддержка-банка[.]рф
  • цбподдержка[.]рф
  • поддержкацб[.]рф
  • 24поддержка[.]рф
  • sha1:2fcee98226ef238e5daa589fb338f387121880c6
  • sha1:f28cb04a56d645067815d91d079b060089dbe9fe
  • sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
  • sha1:535ecea51c63d3184981db61b3c0f472cda10092
  • sha1:ee406a21dcb4fe02feb514b9c17175ee95625213

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments