Обнаружено новое поколение вредоносных программ для Android: угрозы FvncBot, SeedSnatcher и усовершенствованный ClayRat
Дата: 09.12.2025Просмотров: 2767
Обнаружено новое поколение вредоносных программ для Android: угрозы FvncBot, SeedSnatcher и усовершенствованный ClayRat
Эксперты в области кибербезопасности раскрыли подробности о двух новых семействах вредоносных программ для Android, получивших имена FvncBot и SeedSnatcher, а также сообщили о появлении модернизированного варианта трояна CayRalt. Информация поступила от исследовательских групп Intel 471, CYFIRMA и Zimperium соответственно.
Эти зловредные приложения представляют серьезную угрозу для владельцев мобильных устройств на базе Android, поскольку обладают способностью похищать конфиденциальные данные, перехватывать банковские транзакции и даже захватывать полный контроль над устройствами.
♻ Что известно о новом семействе FvncBot?
FvncBot маскируется под приложение безопасности якобы от польского банка mBank, направленное против мошенничества. Примечательно, что данное семейство написано с нуля и не заимствует исходный код других известных банковских троянов, таких как ERMAC, чьи коды ранее утекали в открытый доступ.
Заражение начинается следующим образом: жертву убеждают установить компонент Google Play для якобы усиления защиты и устойчивости приложения. На самом деле злоумышленники получают разрешение на доступ к специальным службам доступности Android, обходя ограничения последних версий операционной системы.
Далее вредоносное ПО получает повышенные привилегии, запрашивая доступ к службам доступности, используя их для связи с командным центром через протокол HTTP. Оно регистрирует зараженное устройство на удалённом сервере и принимает дальнейшие инструкции посредством сервиса Firebase Cloud Messaging (FCM).
♻ Среди ключевых функциональных возможностей FvncBot:
• Организация удалённого управления устройством через WebSocket соединение, позволяя удалённому оператору выполнять клики, свайпы и прокрутку экрана жертвы.
• Перехват действий пользователя с помощью службы Accessibility Services, что даёт возможность украсть введённую на устройстве информацию.
• Создание ложных окон поверх оригинальных приложений, предназначенных для кражи паролей и персональных данных.
• Получение списка установленных приложений и собирание сведений о телефоне и местоположении устройства.
• Отправка перехваченных сообщений и чувствительных данных операторам через скрытую связь с управляющим сервером.
Исследователи отмечают, что источником заражения чаще всего становятся сторонние магазины приложений и методы социальной инженерии, такие как фишинговые рассылки.
♻ Чем опасен троян SeedSnatcher?
SeedSnatcher распространяется под видом легитимного криптовалютного кошелька через мессенджер Telegram. Основная цель данного трояна — похищение приватных ключей криптовалютных кошельков, необходимых для восстановления активов в случае потери доступа.
Приложение способно красть одноразовые коды подтверждения (2FA), необходимые для входа в аккаунты жертв, перехватывать входящие СМС-сообщения и собирать контакты, журналы звонков, фотографии и личные данные.
Согласно результатам исследований группы CYFIRMA, операторы SeedSnatcher либо находятся в Китае, либо являются китайоговорящими пользователями, основываясь на используемых ими инструкциях и интерфейсе администрирования на китайском языке.
Троян использует продвинутые техники сокрытия следов активности, включая динамическое загрузочное ядро классов, скрытые инъекции контента в WebView и целочисленный метод отправки управляющих команд.
♻ Какие опасности таит в себе новая версия ClayRat?
Zimperium сообщила о модернизации трояна ClayRat, наделившего его дополнительными возможностями для эксплуатации уязвимых сервисов Android и служб уведомлений. Новая версия ClayRat научилась злоупотреблять службами доступности и штатными правами доступа к SMS-сообщениям, что превращает его в гораздо более опасную угрозу.
♻ Среди новшеств ClayRat:
• Захват устройства путём автоматической разблокировки PIN-кодов, паттернов и паролей.
• Запись происходящего на экране и сбор истории уведомлений.
• Экранизация фальшивых всплывающих окон, имитирующих обновление системы, что затрудняет обнаружение атаки.
• Генерация поддельных интерактивных уведомлений для сбора вводимых жертвой данных.
Распространение осуществляется через фейковые домены, имитирующие сервисы YouTube и обещающие премиальные возможности для проигрывания музыки в фоне и поддержки HDR-качества видео. Кроме того, найдены подделки российских приложений такси и парковочных сервисов.
Новая версия ClayRat представляет значительную опасность, так как усложнила процедуру удаления вредоносного ПО вручную или перезагрузки устройства.
♻ Итог
Все перечисленные вредоносные программы подчёркивают важность осторожности при установке незнакомых приложений и рекомендаций избегать загрузки программ из ненадежных источников. Современные средства защиты от угроз на Android должны учитывать потенциальные риски и предупреждать пользователей о возможных атаках через службы доступности и уведомления.
Продолжают появляться новые способы уклонения от обнаружения антивирусных решений, а механизмы взлома, направленные на эксплуатацию специальных служб Android, требуют повышенного внимания и тщательной проверки установленных приложений.
При возникновении подозрений на наличие вредоносного ПО рекомендуется немедленно обратиться к специалистам по информационной безопасности для предотвращения дальнейших последствий.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Кодек AV1 активно внедряется в стриминге Netflix: доля достигает трети видеоконтента, впереди новые горизонты с AV2
Кодек AV1 активно внедряется в стриминге Netflix: доля достигает трети видеоконтента, впереди новые горизонты с AV2
Кодек AV1 стремительно набирает обороты с момента своего появления в 2018 году, став настоящим прорывом в области потокового мультимедиа. Его активное внедрение привело к значительной экономии трафика и улучшению визуальных характеристик передаваемого контента. Уже сегодня AV1 успешно применяется ведущими цифровыми сервисами, в частности компанией Netflix, которая рассчитывает расширить его применение и внедрить будущие версии в ближайшие проекты.
Обновления Windows разрушают стабильность системы: что ждёт корпоративных пользователей?
Обновления Windows разрушают стабильность системы: что ждёт корпоративных пользователей?
Корпорация Microsoft продолжает сталкиваться с проблемами качества своих продуктов, особенно в части выпуска обновлений. Несмотря на существование программы предварительного тестирования Windows Insider, призванной выявить баги перед публичным релизом, недавние изменения демонстрируют обратный эффект, ставя под угрозу работоспособность операционной системы для бизнеса.
Раскрыта предварительная производительность нового процессора Intel Panther Lake и графики Xe3 в тестах ноутбука Dell Pro Precision
Раскрыта предварительная производительность нового процессора Intel Panther Lake и графики Xe3 в тестах ноутбука Dell Pro Precision
В конце прошлого года компания Dell провела масштабную смену названия своих серий ПК, стремясь сделать номенклатуру более понятной и удобной для понимания пользователями. Но новая утечка показала, насколько запутанной стала стратегия именования продукта всего спустя год после начала нововведений. Одновременно она раскрыла ранние характеристики будущего поколения процессоров Intel Panther Lake и встроенной графики Xe3.