Мобильные устройства, Новости

Преступники арендуют виртуальные телефоны, чтобы обойти системы безопасности банков

Автор: Питер Арнтц | 27 марта, 2026
облачный телефон с маской

Исследователи из Group-IB предупреждают о том, что злоумышленники используют виртуальные Android для обхода современных систем безопасности.

Облачные телефоны — это виртуальные Android , способные полностью имитировать «отпечатки» реальных устройств (модель, аппаратное обеспечение, IP-адрес, часовой пояс, данные датчиков, поведение). Это позволяет им обходить системы банковского обнаружения мошенничества, основанные на идентификации устройств.

Изначально телефонные фермы состояли из физических устройств и создавались для тестирования. Их количество увеличилось, когда компании обнаружили, что могут арендовать виртуальные телефоны и искусственно повышать показатели вовлеченности, такие как количество подписчиков, лайков, репостов и т. д. Дальнейший рост был обусловлен переносом инфраструктуры с физических телефонных ферм на облачные телефоны.

В какой-то момент киберпреступники придумали, как использовать эти «телефоны напрокат», чтобы обманом заставить людей предоставить доступ к банковским счетам и криптовалютным кошелькам, которые затем были опустошены.

Банки осознали эту тактику и начали разрабатывать мобильные приложения, использующие технологию идентификации устройств по уникальным характеристикам. Это помогло им выявлять и блокировать поддельные устройства, с помощью которых злоумышленники захватывали учетные записи пользователей.

Но, как и в случае с любой гонкой вооружений, преступники нашли способ обойти и это. Теперь они «подготавливают» устройства, устанавливая банковские приложения, регистрируя учетные данные и совершая небольшие транзакции, чтобы счета и телеметрические данные устройства выглядели как низкорисковые.

Исследователи отмечают, что:

«Они перешли на облачные телефоны — Android с удаленным доступом, работающие в центрах обработки данных. По сути, это настоящие телефоны, на которых установлена оригинальная прошивка, которые демонстрируют естественное поведение датчиков и предоставляют достоверную аппаратную аттестацию».

При этом преступникам не нужно вкладывать большие средства. Крупные платформы облачной телефонии предлагают аренду устройств всего за 0,10–0,50 доллара в час, благодаря чему инфраструктура для мошенничества становится доступной практически любому.

Одной из сфер применения этих устройств являются мобильные игры с экономикой, основанной на реальных деньгах. Эти игры уже давно сталкиваются с одной конкретной проблемой: сбором игровой валюты и ресурсов с помощью ботов. Во многих случаях автоматизированные аккаунты могут генерировать игровые предметы, имеющие реальную ценность.

Банки сталкиваются с другой проблемой: атаками по перехвату учетных записей (ATO). По мере перехода банковских услуг из веб-браузеров в мобильные приложения им потребовались более надежные и комплексные способы идентификации доверенных устройств. В настоящее время многие банки привязывают учетные записи к конкретным устройствам и отмечают переводы, которые не идут с этих устройств.

Начало атаки по-прежнему сводится к социальной инженерии. Злоумышленники пытаются обманом заставить пользователей раскрыть одноразовые пароли (OTP), подтвердить вход в систему или осуществить перевод «на безопасный счет».

За кулисами злоумышленник входит в систему облачного телефона, который для банка уже выглядит как устройство жертвы благодаря совпадающим или правдоподобным идентификационным данным и заранее настроенному поведению.

Как только злоумышленники получают доступ, они осуществляют переводы по технологии авторизованных push-платежей (APP) (часто на счета «денежных мулов» ), которые банковские системы могут классифицировать как низкорисковые, поскольку с точки зрения устройства ничего подозрительного не наблюдается.

После этого преступники могут начать опустошать ваш счет или продавать виртуальные телефоны другим преступникам. По словам исследователей:

«На даркнет-биржах активно торгуются предварительно проверенные учетные записи-дропперы, созданные на облачных телефонах; стоимость учетных записей Revolut и Wise составляет 50–200 долларов за каждую, причем в эту сумму часто входит постоянный доступ к экземпляру облачного телефона».

Как оставаться в безопасности

Исследователи Group-IB рекомендуют конечным пользователям:

  • Ни в коем случае не проходите процедуру подтверждения учетной записи по указанию посторонних лиц. Помните, что банки и государственные учреждения никогда не просят клиентов подтверждать свои учетные записи через незнакомые приложения или удаленные среды.
  • Включите функции безопасности на уровне устройства. Используйте официальные приложения для мобильного банкинга, биометрическую аутентификацию и надежные настройки безопасности на уровне устройства.
  • Будьте осторожны с предложениями «легкого заработка», связанными с банковскими счетами. Это могут быть поддельные предложения о работе, в которых от вас требуют «подтвердить» банковские счета, запросы государственных служащих о подтверждении счетов или просьбы сотрудников банков перевести деньги на «безопасные» счета.
  • Если вы подозреваете, что стали жертвой атаки, немедленно свяжитесь со своим банком. Обновите пароли и включите многофакторную аутентификацию на всех учетных записях.

Мы хотели бы добавить:

  • По возможности включите банковские уведомления о входе в систему, изменении получателей платежей и транзакциях, чтобы сразу замечать необычную активность.
  • Используйте на своём устройстве Android современное антивирусное решение, работающее в режиме реального времени, чтобы обнаруживать и блокировать программы, предназначенные для кражи данных.
  • Если у вас возникли сомнения по поводу какого-либо сообщения, обратитесь к Malwarebytes Guard. Эта функция поможет вам определить, является ли сообщение мошенническим, и подскажет, как действовать дальше.

Мы не просто сообщаем о безопасности телефонов - мы ее обеспечиваем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes для iOS и Malwarebytes для Android, чтобы предотвратить угрозы на своих мобильных устройствах.

Об авторе

Питер Арнтц

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.

ПОСЛЕДНИЕ СТАТЬИ

Новости
Троянская версия Avast распространяет программу Venom Stealer

Поддельный сайт Avast имитирует проверку на вирусы и вместо этого устанавливает программу Venom Stealer

Март 27, 2026

Поддельное сканирование Avast сообщает, что ваш компьютер заражён, а затем устанавливает вредоносное ПО, которое похищает пароли, данные сеансов и криптовалютные кошельки.

Новости
Логотип Apple на фоне цепи

Infiniti Stealer: новый инфостилер для macOS, использующий ClickFix и Python/Nuitka

Март 26, 2026

Новый программа-шпион для macOS под названием NukeChain (ныне Infiniti Stealer) использует поддельные страницы с CAPTCHA, чтобы обманом заставить пользователей запускать вредоносные команды.

Новости
Обнаружен GlassWorm

Атака GlassWorm устанавливает поддельное расширение для браузера с целью слежения

Март 26, 2026

Он скрывается в инструментах разработчика, отслеживает активность и похищает данные, превращая единичный случай заражения в угрозу для всей цепочки поставок.

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы