Количество зарегистрированных пользователей в национальном мессенджере Max достигло 85 млн, рассказывали РБК в середине января года в пресс-службе сервиса. Ежедневно мессенджером пользуются 55 млн активных пользователей, уточнили там. Для сравнения: месяцем ранее было зарегистрировано 75 млн. пользователей.

Параллельно растущей популярности мессенджера, активно обсуждаются риски кибербезопасности. Так, накануне СМИ со ссылкой на Кристину Буренкову, руководителя направления отдела анализа и оценки цифровых угроз Infosecurity группы компаний Softline, сообщили о распространении вредоноса «Мамонт».

«В ходе мониторинга мессенджера Max мы выявили в чате жителей СНТ, который состоит из 80 пользователей, сообщение с аккаунта женщины, которая пишет: «Позавчера в аварии разбились. Посмотрите в Телеге». Она прикладывает ссылку на канал в Telegram, в котором и лежит зараженный файл в формате.apk. То есть сам вирус «Мамонт» лежит в Telegram, однако распространение злоумышленником ссылки на зараженное приложение происходит через мессенджер Max. Для распространения ссылок на зараженные файлы используются украденные аккаунты пользователей Max», — цитировали СМИ Буренкову.

В пресс-службе Max сообщили, что информация о распространении вируса в национальном мессенджере не соответствует действительности, специалисты центра безопасности платформы в проактивном режиме блокируют вредоносное программное обеспечение (ПО).

По словам ведущего специалиста отдела исследовательских разработок компании «Стахановец», эксперта в области информационной безопасности Алексея Миронова, в целом ситуация с «Мамонтом» в домовых чатах различных мессенджеров — классический пример социальной инженерии. Схема подразумевает взлом аккаунта доверенного лица (соседа, родителя, председателя) для рассылки вредоносных ссылок, и является одной из самых эффективных у злоумышленников.

«Целью всегда является кража персональных данных, доступов к «Госуслугам» и банковским приложениям. Троян «Мамонт» специализируется именно на этом, после установки на устройство он запрашивает разрешение на чтение SMS и уведомлений, что позволяет ему перехватывать одноразовые коды и подтверждения операций», — рассказал РБК Новосибирск Миронов.

По его словам, с технической точки зрения, сам вирус не уникален. Однако мошенники делают ставку на сниженную бдительность пользователей — когда защитные механизмы (например, критическое отношение к ссылкам от «соседей») еще не сформированы.

«Злоумышленники используют социальную инженерию и побуждают человека открыть файл или установить приложение, выманить деньги опираясь на страх пользователей. Одна из распространенных схем — сообщение в чате с провокационным содержанием: «посмотри фото», «посмотри видео», «наши общие знакомые попали в аварию». К сообщению прикладывается APK-файл. Пользователя эмоционально подталкивают к действию, чтобы он установил приложение. После установки злоумышленники могут получить удаленный доступ к устройству, перехватить управление телефоном и уже от имени жертвы рассылать аналогичные сообщения дальше по контактам», — подтверждает Константин Ильиных, руководитель отдела системного администрирования Simpl.

По его словам, также подобные файлы распространяются через домовые и локальные чаты. Мошенники могут «закидывать» вредоносные приложения под разными предлогами, и пользователи начинают их устанавливать, чего делать не стоит.

В основном такие схемы реализуются на Android-устройствах, говорит Ильиных. При установке APK-файла система выводит большое предупреждение о том, что пользователь отключает защитную функцию и устанавливает приложение из небезопасного источника.

«Это важный момент: если появляется красное уведомление с вопросом, действительно ли вы хотите отключить функцию защиты и установить файл, — это повод остановиться и задуматься. Если пользователь самостоятельно отключает эту функцию, Android позволит установить любой APK-файл. Если функция включена, система будет рекомендовать скачать приложение из Play Market и не позволит установить файл напрямую», — пояснил Ильиных РБК Новосибирск.

На iOS механизм установки приложений устроен иначе — здесь нет схемы с прямой установкой APK-файлов, как на Android, однако уязвимости могут существовать и в других механизмах, универсальной полной защиты не существует, отмечает эксперт.

«Специфических «уникальных» схем именно для Max нет — используются те же приемы социальной инженерии, что и в других мессенджерах. Основной риск связан не с платформой, а с тем, что пользователь самостоятельно отключает встроенные механизмы защиты и устанавливает вредоносное приложение», — говорит Ильиных.

По словам Романа Чередникова, директора портфеля проектов платформы корпоративных коммуникаций DION, для обеспечения своей безопасности в мессенджерах, не следует загружать APK-файлы из непроверенных источников, даже если они выглядят как официальные обновления самого приложения.

«Устанавливайте программы только из App Store, RuStore и других официальных магазинов приложений. Особое внимание стоит уделить сообщениям с кодами для госуслуг или банковских сервисов: даже если уведомление выглядит как официальное и пришло через чат, не вводите данные по ссылке, а перепроверьте информацию напрямую через портал или официальное приложение. И наконец, не переходите по ссылкам в незнакомых чатах, даже если отправителем значится знакомый контакт, — это может быть взломанный профиль», — рассказал РБК Новосибирск Чередников.

Рекомендации для пользователей Max:

• Настройте конфиденциальность в MAX. Убедитесь, что в настройках приложения MAX доступ к номеру телефона, статусу «онлайн» и списку групп ограничен или виден только контактам. Это затруднит злоумышленникам сбор информации о вас для будущих атак, говорит Алексей Миронов;
• Проверяйте подозрительные ссылки. Если вы получили ссылку на внешний ресурс (например, Telegram-канал, как в описанном случае) от участника домового чата, даже от знакомого, никогда не переходите по ней сразу. Свяжитесь с отправителем по альтернативному каналу (личная встреча, телефонный звонок) и уточните, действительно ли он отправлял это сообщение;
• Включите двухфакторную аутентификацию (2FA) в самом MAX. Это создаст дополнительный рубеж защиты, даже если мошенники узнают ваш пароль, им будет сложнее войти в аккаунт и использовать его для рассылки вредоносных ссылок от вашего имени.