СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.05.2025
#Dev#ИБ#Инфра

GhostSpy: Новый Android-троян с продвинутыми методами обхода защиты

GhostSpy: Новый Android-троян с продвинутыми методами обхода защиты

Источник: www.cyfirma.com

Недавно выявленная разновидность вредоносного ПО для Android, получившая название GhostSpy, представляет собой крайне опасный инструмент, обладающий высокими возможностями обхода защиты и мощным функционалом для наблюдения и удалённого контроля. Специалисты по кибербезопасности отмечают его изощренные методы работы и стойкость, которые делают его серьёзной угрозой как для рядовых пользователей, так и для корпоративного сектора.

Как работает GhostSpy: тонкости заражения и распространения

Вредоносная программа запускается через dropper, который использует Accessibility Services — сервисы специальных возможностей. Это позволяет GhostSpy загружать дополнительный APK-файл (update.apk), автоматически предоставляя себе необходимые разрешения. При этом программа обходит привычные шаги подтверждения со стороны пользователя, что гарантирует скрытность своего внедрения.

  • Установка постоянного соединения с инфраструктурой управления (C2).
  • Развертывание различных функций для слежки и удалённого доступа.
  • Скрытая фильтрация данных и выполнение управляющих команд.

Технические особенности и методы обхода защиты

Одной из ключевых технологий GhostSpy является способность обходить защиту от зеркального отображения экрана (screen mirroring) в банковских приложениях. Для этого вредонос использует метод реконструкции пользовательского интерфейса приложения, позволяя злоумышленникам получать конфиденциальные данные незаметно для пользователя.

Также программой реализованы:

  • Автоматическое взаимодействие с экраном для постоянного мониторинга действий и перехвата вводимых пользователем данных — в том числе паролей, данных банковских карт и кодов двухфакторной аутентификации (2FA).
  • Злоупотребление API для проведения несанкционированных финансовых операций.
  • Отслеживание физического местоположения устройства в режиме реального времени.
  • Возможность прослушивания с использованием микрофона и записи с камеры заражённого устройства.

Поддержание скрытого присутствия и противодействие удалению

Технический разбор показал, что dropper инициирует вводящий в заблуждение интерфейс, маскируясь под законное обновление приложения. После установки дополнительного APK тот берёт на себя контроль, предоставляя себе расширенные разрешения — якобы с согласия пользователя.

Кроме того, GhostSpy активно предотвращает удаление с устройства, используя обманчивые оверлеи. Эти всплывающие окна заставляют пользователя отказаться от попытки удаления вредоносного ПО. Также вредонос динамически предоставляет разрешения, имитируя действия пользователя на уровне UI, что значительно осложняет его обнаружение.

Инфраструктура и географические особенности распространения

Исследования выявили активное поддержание инфраструктуры C2, с множеством серверов и портов. Значительный масштаб работы GhostSpy свидетельствует о серьёзных ресурсах злоумышленников.

Интересен факт связи вредоносной программы с рекламой в социальных сетях:

  • наличие Telegram-канала;
  • активность на YouTube;
  • локализованная коммуникация на португальском языке.

Все эти факторы указывают на то, что основное внимание уделено бразильскому рынку, а распространение нацелено на пользователей с низким техническим уровнем, более уязвимым к тактике обмана и социальному инжинирингу.

Рекомендации по защите и обезвреживанию угрозы

Учитывая _сложность_, _столь широкие функциональные возможности_ и _способность противостоять удалению_, GhostSpy представляет собой существенную угрозу. Отдельные пользователи и организации должны принимать срочные меры защиты:

  • Использовать специализированные решения для защиты от мобильных угроз (Mobile Threat Defense).
  • Информировать пользователей о потенциальных рисках и признаках заражения.
  • Регулярно мониторить права доступа, особенно связанные со службами специальных возможностей и правами администратора.
  • Внедрять специальные методы обнаружения и реагирования на сложные вредоносные атаки.

_Эксперты по безопасности рекомендуют быть особенно внимательными к приложениям, запрашивающим широкие разрешения, а также контролировать активность служб Accessibility и софтверных оверлеев на устройствах._

Компаниям и частным пользователям жизненно важно не игнорировать угрозу GhostSpy, поскольку она способна привести к серьёзным финансовым потерям и компрометации конфиденциальных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: