Новое вредоносное ПО атакует пользователей Android — и это серьёзно

Внимание, пользователи Android! Вам стоит узнать о двух новых семействах вредоносных программ. Эксперты по кибербезопасности рассказывают о FvncBot и SeepSnatcher, а в темных уголках интернета они также заметили обновление ClayRat.

Новое вредоносное ПО для Android

Три вывода в области кибербезопасности предоставили компании Intel 471, CYFIRMA и Zimperium.

FvncBot: банковское вредоносное ПО

Начнем с FvncBot. Это вредоносная программа, которая выдает себя за приложение безопасности от mBank. Ее цель — пользователи мобильного банкинга. Злоумышленники не основывали этот вирус на других банковских троянах для Android с украденным исходным кодом. Они написали его полностью с нуля.

Что-то новое нацелено на пользователей Android

Вирус обладает различными функциями. К ним относятся кейлоггерство через специальные возможности Android, атаки с веб-инъекциями, трансляция экрана и даже скрытые виртуальные сетевые вычисления (HVNC). Злоумышленники используют этот набор для успешного финансового мошенничества.

Видео от DGL.RU

Программа защищена сервисом шифрования apk0day от Golden Crypt. Это опасное приложение действует как загрузчик и устанавливает вредоносное ПО.

После запуска приложение предлагает установить компонент Google Play для «обеспечения безопасности и стабильности работы». Этого не происходит. Вместо этого вирус внедряется в ваш телефон. Другие вредоносные приложения использовали такой подход для обхода ограничений специальных возможностей на Android 13 и более поздних версиях.

Вирус находится на ранней стадии разработки. Программа запрашивает разрешение на доступ к специальным возможностям. После этого она работает с повышенными привилегиями, подключается к внешнему серверу и регистрирует зараженное устройство. Затем она получает команды.

Вот некоторые из его функций:

• Удаленное управление устройством (пролистывание, нажатие, прокрутка)
• Доступ к списку установленных приложений
• Доступ к информации об устройстве и конфигурации бота
• Отображение полноэкранного оверлея для сбора и извлечения конфиденциальных данных
• Скрытие наложения
• Проверка статуса служб доступности
• Регистрация нажатий клавиш с помощью служб специальных возможностей
• Трансляция содержимого экрана

Если этого недостаточно, бот также проверяет экран и содержимое устройства. Он делает это даже в тех случаях, когда приложение запрещает скриншоты. На данный момент неизвестно, как именно распространяется этот вирус. Обычно пользователи получают банковские трояны для Android через фишинговые SMS-сообщения или сторонние магазины приложений.

SeedSnapcher: кража криптовалюты

SeedSnaptcher в настоящее время распространяется через Telegram под названием Coin. Его создали для кражи криптовалюты. Программа также перехватывает входящие SMS-сообщения и ворует коды двухфакторной аутентификации. Кроме того, она умеет захватывать учетные записи. Вирус похищает данные устройств, файлы, журналы вызовов, контакты и конфиденциальную информацию прямо с экрана.

Операторы SeedSnatcher находятся в Китае или говорят по-китайски. Инструкции на этом языке доступны в Telegram. Между тем появилась и улучшенная версия ClayRat.

ClayRat был обновлен

Также в сети появилась обновленная версия ClayRat. Апдейт позволяет вредоносному ПО злоупотреблять специальными возможностями и использовать разрешения на отправку SMS. В новой версии программа представляет более серьезную угрозу безопасности. Теперь она записывает нажатия клавиш, показывает оверлеи с имитацией экрана обновления системы для маскировки и создает поддельные уведомления.

Это позволяет полностью захватить управление устройством через злоупотребление специальными возможностями. Вирус автоматизирует разблокировку смартфона, запись экрана, сбор уведомлений и показ оверлеев.

Программа распространяется через 25 мошеннических фишинговых доменов. Они выдают себя за легальные веб-сайты вроде YouTube и рекламируют Pro-версию.

Как защитить себя от вредоносных программ

Безопасность на Android в основном сводится к нескольким простым привычкам. Во-первых, загружайте приложения только из Google Play Маркета или проверенных источников. Большинство случаев заражения происходит по случайным ссылкам, через поддельные приложения или загрузки из Telegram. Кроме того, никогда не устанавливайте ничего только из-за надписи во всплывающем окне о необходимости установки «для безопасности». Настоящие приложения так себя не ведут.

Регулярно обновляйте телефон, не переходите по ссылкам в странных SMS-сообщениях и соблюдайте осторожность с приложениями, которые требуют разрешения на доступ. Это главный трюк этих семейств вредоносных программ. Если что-то не так, просто отмените действие. И, конечно, использование приложений с двухфакторной аутентификацией вместо SMS делает все гораздо безопаснее.

Элементарная осторожность имеет значение

На мой взгляд, все это пугает. Все начинается с одного быстрого нажатия на неправильную ссылку. Хорошая новость заключается в пользе элементарной осторожности. Пока вы используете официальные магазины и не даете серьезных разрешений непроверенным приложениям, вы находитесь в гораздо большей безопасности, чем большинство людей. Честно говоря, именно загрузки из разряда «слишком хорошо, чтобы быть правдой» всегда подводят. Я предпочитаю избегать их и держать смартфон в чистоте.

Обзор vivo X300 Pro: один из лучших камерофонов 2025 года