Нажали на «отследить посылку»? Зря. Google раскрыла, как «Магический кот» обчищает карты за секунды

Google подала в суд на китайскоязычную группировку, которую компания считает ключевым двигателем гигантской волны фишинговых SMS в США в 2025 году. По версии Google, группа под названием Darcula продаёт инструменты, с которыми даже люди без серьёзных технических навыков могут массово рассылать сообщения от имени госслужб и крупных брендов, вести жертв на поддельные сайты и выманивать данные банковских карт.

В иске говорится, что Darcula торгует программным набором, позволяющим «пакетно» запускать SMS-кампании с подменой образа отправителя — например, выдавая себя за IRS или Почтовую службу США. Флагманский продукт группы называется Magic Cat: его описывают как удобный и интуитивный конструктор, который помогает быстро заспамить миллионы номеров ссылками на фейковые страницы, имитирующие сервисы и компании на Западе, а затем собрать введённые жертвами платёжные данные, в том числе номера кредитных карт.

Цель иска, объяснили в Google, — получить юридические основания, чтобы американские суды разрешили изъять и взять под контроль сайты и другую веб-инфраструктуру, на которой держатся операции Darcula. В жалобе компания просит временный запретительный приказ, который позволил бы легально перехватить управление этой инфраструктурой и отключить её, тем самым сорвав рассылки и работу мошеннических страниц.

Личности участников Darcula в основном неизвестны: по данным Google, они общаются преимущественно на упрощённом китайском. В качестве предполагаемого лидера в документе назван Юйчэн Чан, но связаться с ним не удалось. Также иск упоминает ещё 24 ответчиков, чьи имена не раскрываются, потому что Google не знает, кто именно стоит за ними. Компания утверждает, что Чан живёт в Китае, а другие участники находятся в Китае или в других странах.

Google подчёркивает, что подобные экосистемы кибермошенничества нередко процветают в юрисдикциях, которые неохотно взаимодействуют с американскими правоохранителями, из-за чего остановить атаки напрямую крайне сложно. Поэтому крупные техкомпании, включая Google и Microsoft, периодически используют суды как инструмент: через решения добиваются перехвата доменов и сайтов, связанных с преступной инфраструктурой, чтобы выключить её на уровне сети.

В течение этого года Darcula публично демонстрировала возможности своих инструментов: в видео в Telegram-канале группа показывала, как можно настраивать рассылки с сообщениями о якобы неоплаченных дорожных сборах E-ZPass. Сейчас этот Telegram-канал уже не работает, а получить комментарий от группы не удалось.

В заявлении вице-президента Google по судебным разбирательствам Кассандры Найт компания прямо говорит, что идёт в суд, чтобы «закрыть инфраструктуру» масштабной мошеннической операции. По оценке Google, именно она была ответственна за 80% всех фишинговых SMS за один из периодов ранее в этом году. Компания заявляет, что Darcula и связанные с ней участники могли похитить почти 900 тысяч номеров банковских карт, включая почти 40 тысяч — у американцев. Только с сентября по ноябрь Google получила более 5 тысяч жалоб от пользователей Google Messages — приложения по умолчанию для SMS на смартфонах Google Pixel — на сообщения, связанные со схемами Darcula.

Отдельно упоминается расследование норвежской вещательной компании NRK: она анализировала крупные массивы данных о Magic Cat, которые были получены исследователями кибербезопасности, и пришла к выводу, что за рассылками стояли более 600 операторов мошеннических кампаний. По данным NRK, при всей широте «масок» под западные компании и госструктуры, инструменты Magic Cat не позволяли выдавать рассылки за отправленные от имени Китая.

История вписывается в более широкую картину роста ущерба от кибермошенников в США: в ежегодном отчёте FBI Internet Crime Complaint Center говорится, что в прошлом году американцы сообщили о рекордных $16,6 млрд, похищенных киберпреступниками.