СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.10.2025
#ИБ

GhostGrab: Android‑вредоносное ПО крадет банковские данные

GhostGrab: Androidвредоносное ПО крадет банковские данные

Источник: www.cyfirma.com

GhostGrab — это усовершенствованное семейство вредоносных ПО для Android, представляющее значительную угрозу: оно сочетает в себе кражу конфиденциальной банковской информации и эксплуатацию ресурсов устройств для финансового мошенничества. Отчет описывает цепочку заражения, механизм закрепления и тактики социальной инженерии, которые делают GhostGrab опасным и устойчивым на заражённых устройствах.

Как происходит заражение

Атака начинается с вредоносного домена kychelp.live, который использует JavaScript‑перенаправление для загрузки вредоносного APK‑файла с именем BOM FIXED DEPOSIT.apk. Загруженный файл функционирует как dropper и имитирует интерфейс обновления в Google Play Store, чтобы обманом заставить пользователя установить приложение и предоставить ему необходимые разрешения.

Домен kychelp.live был недавно зарегистрирован — характерная черта доменов, используемых в вредоносных кампаниях.

Функциональные возможности и злоупотребление разрешениями

После установки dropper разворачивает скрытые полезные нагрузки, которые злоупотребляют широким набором разрешений, перечисленных в AndroidManifest.xml, чтобы обеспечить сбор данных и устойчивое присутствие на устройстве. Среди собираемых данных — банковские учетные данные (идентификаторы пользователей, пароли, данные дебетовых карт), личная информация (включая номера Aadhaar) и история SMS, в том числе одноразовые пароли (OTP) и банковские оповещения.

Механизмы закрепления и скрытности

Один из распространённых методов закрепления, применяемых GhostGrab — использование MediaPlayer вместе со службами foreground. Вредоносное ПО создаёт постоянный процесс, воспроизводя неслышимый звуковой цикл, и отображает постоянное уведомление фронтальной службы, что препятствует выгрузке приложения в фоне и затрудняет его удаление стандартными средствами системы.

Социальная инженерия: ложные формы KYC

После получения разрешений вредоносное ПО открывает интерфейс банковской тематики, имитирующий формы «Знай своего клиента» (KYC), чтобы выманить у жертв конфиденциальные данные. Это подчёркивает сочетание технических возможностей GhostGrab с продуманными методами социальной инженерии.

Инфраструктура распространения и особенности

  • Исходный домен: kychelp.live (новая регистрация).
  • Dropper‑APK: BOM FIXED DEPOSIT.apk.
  • Механизм загрузки: JavaScript‑перенаправление и установка через имитацию Google Play Store.
  • Командно‑управляющая инфраструктура: наблюдаемая активность, связанная с трафиком Firebase Command and Control (C2).

Двойная монетизация и риск для бизнеса

Отчет подчёркивает стратегию двойной монетизации GhostGrab: злоумышленники одновременно нацелены на финансы пользователей (кража банковских данных и OTP) и на ресурсы устройств (постоянное использование вычислительной мощности/трафика). Модульная архитектура и злоупотребление правами обеспечивают длительное присутствие и усложняют обнаружение и удаление.

Рекомендации по снижению рисков

Практические советы для пользователей и организаций:

  • Загружайте приложения исключительно из официальных источников, таких как Google Play Store. Избегайте установки APK с непроверенных доменов.
  • Проверяйте недавние регистрации доменов и подозрительную активность при переходе по ссылкам из SMS/писем.
  • Ограничьте предоставление критичных разрешений приложениям и регулярно проверяйте список установленных приложений и разрешений.
  • Организациям: внедрите сетевые средства защиты для блокировки известных вредоносных доменов (включая kychelp.live) и мониторинга аномалий в трафике, связанных с Firebase C2.
  • Используйте правила YARA и другие сигнатуры, основанные на известных показателях компрометации (IoC), чтобы облегчить обнаружение GhostGrab.

Индикаторы компрометации и методы обнаружения

Обнаружение может быть упрощено за счёт мониторинга следующих признаков:

  • Необычные установки APK, полученные не из официальных магазинов.
  • Связь с недавно зарегистрированными доменами, в частности kychelp.live.
  • Фоновая активность с постоянным уведомлением и длительным воспроизведением аудио (неслышимый цикл через MediaPlayer).
  • Аномалии в трафике, связанные с Firebase и признаками C2‑коммуникации.
  • Правила YARA, основанные на известных артефактах инфраструктуры и сигнатурах вредоносного кода.

Вывод

GhostGrab демонстрирует эволюцию мобильных угроз: сочетание технически сложных механизмов закрепления и модульной архитектуры с эффективными приёмами социальной инженерии делает его серьёзной угрозой для пользователей и организаций. Повышенная бдительность, строгая практика установки приложений и сетевые защиты — ключевые меры для снижения рисков, связанных с этим семейством вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: