22. September 2023

Doctor Web warnt: Nutzer werden immer häufiger mit Betrugsfällen konfrontiert, in denen Programme für den Remote-Desktop-Zugriff verwendet werden. Besonders populär unter Cyberkriminellen ist die App RustDesk.

In der letzten Zeit wurden Daten aus Datenbanken mehrerer Banken gestohlen. Infolge dieser Datenlecks haben sich Betrüger Zugriff auf personenbezogene Daten vieler Bankkunden verschafft. Die Cyberkriminellen nutzen diese Informationen, um das Vertrauen der Kunden zu gewinnen und zu missbrauchen. Sie geben sich als Bankmitarbeiter aus und benachrichtigen Nutzer über angebliche verdächtige Aktivitäten auf deren Bankkonten. Potenzielle Opfer werden dazu bewogen, ein spezielles Programm zu installieren, um das Geld vor Diebstahl zu schützen. Sie werden aufgefordert, Suchanfragen wie „Banksupport“, „Support [Bankname]“ ins Google Play-Suchfeld einzugeben.

Quelle: nakopi-deneg.ru

Bis vor kurzem wurden verschiedene Programme für den Remote-Desktop-Zugriff (z.B. AweSun Remote Desktop, RustDesk Remote Desktop, AnyDesk. etc.) auf den ersten Positionen der Suchergebnisse angezeigt. Dies liegt an der auf Google Play verwendeten Rangordnung, die berücksichtigt, welche Anwendungen Nutzer bei der Eingabe einer bestimmten Suchanfrage auswählen. Je mehr Nutzer, die nach der Suchanfrage „Support [Bankname]“ einen Link (in der Regel versehentlich) öffnen, der zu einer App für den Remote-Desktop-Zugriff führt, desto höher wird diese App in den Suchergebnissen angezeigt.

Erwähnenswert ist, dass solche Apps an sich harmlos sind. Sie könnten jedoch von Cyberkriminellen für rechtswidrige Zwecke verwendet werden.

Nachdem der Nutzer die App installiert hat, wird er aufgefordert, dem Betrüger die einzigartige ID für den Fernzugriff mitzuteilen. Als Ergebnis verschafft sich der Cyberkriminelle vollständige Kontrolle über das Gerät und folglich Zugriff auf das Bankkonto des Opfers. Da alle Zahlungen, Geldüberweisungen etc. über das Gerät des Nutzers getätigt werden, werden diese nicht als Gelddiebstahl betrachtet. Der Betrug ist praktisch nicht nachweisbar.

Zurzeit hat Google die App RustDesk aus dem Google Play Store entfernt. Die App wird jedoch über verschiedene Websites (z.B. hххps://помощникбанков[.]рф) weiter verbreitet.

Auf solchen Websites werden potenzielle Opfer aufgefordert, Apps wie RustDesk herunterzuladen und zu installieren. Um Nutzer zu überzeugen, werden in einigen Anwendungen Logos und Namen bekannter Banken genutzt. Außerdem werden gefälschte positive Bewertungen veröffentlicht, um mehr Vertrauen zu gewinnen.

Dr.Web erkennt RustDesk als Tool.RustDesk.1.origin und modifizierte Apps als Android.FakeApp.1426. Der Dr.Web URL-Filter bildet eine zusätzliche Sicherheitsebene, indem er den Zugriff auf die betrügerischen Websites sperrt.

Doctor Web mahnt:

• Seien Sie achtsam, wenn Sie von einem Bankmitarbeiter angerufen werden.
• Installieren Sie keinesfalls Apps, wenn Sie von einem Unbekannten dazu bewogen werden.
• Teilen Sie niemandem Codes aus SMS- oder Push-Benachrichtigungen mit.
• Falls Sie von einem angeblichen Bankmitarbeiter angerufen und über verdächtige Aktivitäten auf Ihrem Bankkonto benachrichtigt werden, legen Sie auf. Wenn Sie sicherstellen möchten, dass Ihr Bankkonto nicht bedroht ist, rufen Sie die Bank unter der auf Ihrer Bankkarte angegebenen Telefonnummer selbst an.

Mehr zu Tool.RustDesk.1.origin

Mehr zu Android.FakeApp.1426

Indikatoren der Kompromittierung:

• помощникбанков[.]рф
• поддержкабанка[.]рф
• поддержка-банка[.]рф
• цбподдержка[.]рф
• поддержкацб[.]рф
• 24поддержка[.]рф

• sha1:2fcee98226ef238e5daa589fb338f387121880c6
• sha1:f28cb04a56d645067815d91d079b060089dbe9fe
• sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
• sha1:535ecea51c63d3184981db61b3c0f472cda10092
• sha1:ee406a21dcb4fe02feb514b9c17175ee95625213