СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.11.2025
#ИБ#Инфра

HyperRat: Android-троян для массовых фишинг-кампаний

На киберпреступных форумах обнаружен новый Android-троян удалённого доступа — HyperRat. По структуре и доступности он приближает мобильную преступность к модели malware-as-a-service, позволяя даже малоподготовленным злоумышленникам запускать масштабные кампании с минимальными техническими навыками.

Краткий обзор

HyperRat предлагает набор готовых инструментов и сервисов, таких как PhantomOS и Nebula, которые упрощают установку зловредных приложений и реализацию GPS-слежения. Продукт распространяется по подписке — цены заявлены на уровне нескольких сотен долларов, что делает его доступным для широкой аудитории преступников.

Ключевые возможности HyperRat

  • Панель управления (C2): удобный интерфейс для мониторинга заражённых устройств с отображением номеров телефонов, временных меток, IP-адресов и тегов устройств.
  • Расширенные разрешения: отображение и использование разрешений на чтение/запись журналов вызовов, совершение вызовов, отправку SMS и доступ в Internet.
  • Рекогносцировка приложений: перечисление установленных приложений на устройстве, что позволяет подбирать таргетированные фишинг-атаки.
  • Фишинг-оверлеи: менеджер внедрений позволяет создавать фальшивые страницы входа, сопоставляя легитимные имена пакетов приложений для перехвата аутентификации.
  • Массовая рассылка SMS: использование контактов из адресной книги жертвы, настраиваемые тексты и выбор слота для SIM-карты для масштабного распространения фишинговых сообщений.
  • Интеграция с Telegram: получение уведомлений и журналов через интерфейс бота, что облегчает операционную работу операторов.
  • Создание кастомных APK: генерация замаскированных APK с указанием URL для WebView, используемого для сокрытия зловредной активности под видом легитимных сервисов.

Как это работает на практике

Типичная схема эксплуатации HyperRat выглядит следующим образом:

  • Оператор собирает список потенциальных жертв и проверяет наличие целевых банковских приложений с помощью функции рекогносцировки.
  • Генерируется кастомный APK, замаскированный под доверенное приложение; в WebView указывается URL фальшивой страницы входа.
  • Приложение распространяется через фишинговые ссылки или массовые SMS, отправляемые с использованием контактов жертвы и выбранного SIM-слота.
  • После установки злоумышленник получает полный набор разрешений и возможность перехватывать данные, совершать операции от имени пользователя или перенаправлять его на поддельные страницы для кражи учётных данных.

«Панель C2 отображает телефонные номера, временные метки и IP-адреса — всё необходимое для масштабного управления и мониторинга заражённых устройств», — отмечает отчёт по анализу инструментария.

Операционные риски и последствия

Наличие такого инструментария в открытом доступе повышает риск следующих сценариев:

  • массовые фишинговые кампании, направленные на клиентов банков и платежных сервисов;
  • компрометация персональных данных и утечка контактных баз;
  • финансовые мошенничества через удалённый контроль устройства и перехват SMS с кодами подтверждения;
  • распространение новых вариантов вредоносного ПО через готовые кампании и подписки.

Рекомендации по защите

Эксперты по безопасности и пользователи могут снизить риски, следуя базовым мерам защиты:

  • обновлять ОС и приложения — уязвимости закрываются патчами;
  • не устанавливать приложения из неизвестных источников и отключить Unknown sources в настройках;
  • контролировать и ограничивать разрешения для приложений (особенно доступ к SMS, контактам, звонкам и геолокации);
  • включить многофакторную аутентификацию (MFA) в банковских и критичных сервисах;
  • использовать решения Mobile Threat Defense (MTD) и EDR, способные обнаруживать подозрительное поведение приложений и сетевые аномалии;
  • операторам связи и банкам — мониторить массовые отправки SMS и аномальную активность аккаунтов, оперативно блокировать подозрительные номера и домены C2;
  • при подозрении на заражение — удалить подозрительные приложения, сменить пароли, уведомить банк и при необходимости выполнить сброс устройства к заводским настройкам.

Вывод

HyperRat демонстрирует рост коммерциализации мобильной киберпреступности: инструментарий объединяет в себе функционал для рекогносцировки, фишинга, массовой рассылки и удалённого управления, делая сложные атаки доступными для начинающих операторов. Это усиливает угрозу для обычных пользователей и предприятий, требуя повышенного внимания со стороны поставщиков мобильной безопасности, банков и телеком-операторов.

Бдительность пользователей и проактивные меры защиты остаются ключевыми факторами снижения риска распространения подобных инструментов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: