Glitch SPY: Android-троян под видом аренды жилья

Исследователи кибербезопасности раскрыли технические детали нового Android-трояна Glitch SPY, который маскируется под польский сервис аренды и предоставляет операторам почти полный контроль над устройством жертвы. Вредоносная программа, классифицируемая как троян удаленного доступа (RAT), нацелена на пользователей в Польше и польскую диаспору, используя мошеннический сайт-приманку для распространения APK-файла. Попав на смартфон, Glitch SPY демонстрирует широкий арсенал шпионских и финансовых инструментов — от перехвата криптовалютных переводов до прямого наблюдения через камеру и микрофон.

Вектор атаки: от арендного приложения к полной компрометации

Кампания начинается с установки, казалось бы, безобидного приложения для аренды. На деле APK-файл работает как dropper: он загружает и разворачивает основную полезную нагрузку Glitch SPY под видом предоставления заявленных функций. Ключевой элемент успеха — агрессивное использование Android Accessibility Service. После запуска вредонос автоматически запрашивает и получает специальные возможности, что позволяет ему без участия пользователя выдавать себе критические разрешения и выполнять широкий спектр вредоносных действий.

Арсенал Glitch SPY: более 70 команд в реальном времени

Связь с командным центром (C&C) поддерживается через постоянное соединение по каналу WebSocket. В распоряжении операторов находится свыше 70 команд, которые обеспечивают глубокое вторжение в личное пространство жертвы и функции удаленного управления. Среди ключевых возможностей:

  • Live screen streaming — потоковая передача происходящего на экране в реальном времени;
  • Keylogging — перехват нажатий клавиш, включая учетные данные и сообщения;
  • SMS theft и доступ к контактам и журналам вызовов;
  • удаленное управление камерой и микрофоном для несанкционированной записи;
  • эксфильтрация данных из приложений, связанных с банкингом и аутентификацией;
  • манипуляции с файловой системой и запуск произвольных команд на устройстве.

Отдельного внимания заслуживает модуль crypto-clipper. Вредонос отслеживает буфер обмена и, обнаружив скопированный адрес криптовалютного кошелька, мгновенно подменяет его на принадлежащий злоумышленникам. Механизм поддерживает несколько форматов блокчейна, что делает его адоптивным к различным типам кошельков и повышает шансы на успешную кражу средств.

Инфраструктура и кастомизация атак

Glitch SPY технически оснащен модулем Builder, который позволяет настраивать Android-payloads под конкретные кампании: задавать имена приложений, идентификаторы пакетов и подменять иконки. Это указывает на то, что перед нами не разовая операция, а гибкая инфраструктура, рассчитанная на множество эпизодов. Разнообразие сценариев подкрепляется способностью трояна взаимодействовать с активным экраном — злоумышленники буквально наблюдают за действиями пользователя в моменте, выуживая конфиденциальную информацию, отображаемую в банковских клиентах и средствах двухфакторной аутентификации.

Выводы: доверие как главный инструмент взлома

Glitch SPY олицетворяет тревожный тренд, при котором мобильные угрозы объединяют функции слежки, удаленного контроля и финансового мошенничества в единой платформе. Маскировка под легитимный сервис позволяет эксплуатировать доверие пользователей, а умелое применение Accessibility Service практически сводит на нет защитные механизмы Android. Основная группа риска — люди, которые неосознанно предоставляют повышенные разрешения сомнительным программам. Учитывая наличие инструмента для массовой кастомизации, мы, вероятно, увидим новые версии этого вредоноса, адаптированные под другие регионы и сервисы, что требует повышенной бдительности и строгой гигиены установки приложений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: