Праздник деклараций. Мошенники устроили распродажу данных в разгар налогового сезона
NewsMakerБанковские счета стали открытыми входами для чужаков.
В Индонезии выявили масштабную мошенническую кампанию, замаскированную под официальный налоговый сервис Coretax. Злоумышленники использовали поддельные мобильные приложения и выстроили инфраструктуру, которая позволила атаковать не только налогоплательщиков, но и пользователей десятков других цифровых сервисов. По оценке специалистов компании Group-IB, общий финансовый ущерб в стране мог достигать от 1,5 до 2 млн долларов.
Coretax — это официальный веб-сервис налоговой службы Индонезии, доступный только через сайт. Мобильного приложения у платформы нет. Тем не менее с июля 2025 года в сети начали распространяться APK-файлы с названием «Coretax». В январе 2026 года, в разгар налогового сезона, активность резко выросла. Кампания была синхронизирована с периодом подачи деклараций и ориентировалась примерно на 67 млн налоговых резидентов.
Атака строилась поэтапно. Сначала жертве писали в WhatsApp от имени налогового ведомства и присылали ссылку на загрузку приложения. После установки устройство на время «зависало», а вредоносная программа собирала данные и загружала дополнительные модули. Затем следовал звонок — мошенник, представляясь сотрудником службы, требовал срочно оплатить «задолженность». Во время разговора троян записывал экран , перехватывал логины, одноразовые коды и другие банковские данные. После этого злоумышленники получали удалённый доступ к смартфону и переводили деньги через сеть подставных счетов.
Анализ показал, что за кампанией стоит кластер GoldFactory. Вредоносная инфраструктура использовала несколько семейств Android-троянов . Среди них — Gigabud.RAT и MMRat, а также ранее не описанная группа образцов, получившая название Taotie. Всего выявили 228 новых модификаций. Оба основных трояна способны записывать экран, злоупотреблять сервисами специальных возможностей и обходить многофакторную аутентификацию, что позволяет проводить переводы прямо с заражённого устройства.
В Индонезии выявили масштабную мошенническую кампанию, замаскированную под официальный налоговый сервис Coretax. Злоумышленники использовали поддельные мобильные приложения и выстроили инфраструктуру, которая позволила атаковать не только налогоплательщиков, но и пользователей десятков других цифровых сервисов. По оценке специалистов компании Group-IB, общий финансовый ущерб в стране мог достигать от 1,5 до 2 млн долларов.
Coretax — это официальный веб-сервис налоговой службы Индонезии, доступный только через сайт. Мобильного приложения у платформы нет. Тем не менее с июля 2025 года в сети начали распространяться APK-файлы с названием «Coretax». В январе 2026 года, в разгар налогового сезона, активность резко выросла. Кампания была синхронизирована с периодом подачи деклараций и ориентировалась примерно на 67 млн налоговых резидентов.
Атака строилась поэтапно. Сначала жертве писали в WhatsApp от имени налогового ведомства и присылали ссылку на загрузку приложения. После установки устройство на время «зависало», а вредоносная программа собирала данные и загружала дополнительные модули. Затем следовал звонок — мошенник, представляясь сотрудником службы, требовал срочно оплатить «задолженность». Во время разговора троян записывал экран , перехватывал логины, одноразовые коды и другие банковские данные. После этого злоумышленники получали удалённый доступ к смартфону и переводили деньги через сеть подставных счетов.
Анализ показал, что за кампанией стоит кластер GoldFactory. Вредоносная инфраструктура использовала несколько семейств Android-троянов . Среди них — Gigabud.RAT и MMRat, а также ранее не описанная группа образцов, получившая название Taotie. Всего выявили 228 новых модификаций. Оба основных трояна способны записывать экран, злоупотреблять сервисами специальных возможностей и обходить многофакторную аутентификацию, что позволяет проводить переводы прямо с заражённого устройства.