СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.12.2025
#ИБ

ResidentBat: шпионское Android‑ПО белорусского КГБ — угроза конфиденциальности

Кратко: исследователи обнаружили семейство шпионских программ ResidentBat, которое, как сообщается, используется белорусским КГБ и нацелено преимущественно на устройства Android. Программа не эксплуатирует системные уязвимости для эскалации привилегий, а устанавливается в виде обычного APK-файла с необычно большим набором разрешений, что делает её ближе по модели к stalkerware, чем к традиционным эксплойт-ориентированным шпилам.

ResidentBat — это недавно выявленное семейство шпионских программ, используемых белорусским КГБ и нацеленных в первую очередь на устройства Android.

Что известно о возможностях и методах установки

ResidentBat тайно собирает широкий спектр данных с инфицированного устройства: телефонные звонки, SMS, а также зашифрованные чаты и другие конфиденциальные данные. Ключевой момент — сбор достигается с помощью физического доступа к устройству, а не через удалённые эксплойты.

Особенности установки и поведения:

  • Установка реализуется как стандартный APK-пакет.
  • Приложение запрашивает _38 разрешений_, среди которых — конфиденциальные разрешения, включая разрешения во время выполнения.
  • Технический анализ показывает, что ResidentBat не использует уязвимости для выхода из sandbox Android-приложений.
  • Архитектура включает компоненты, объявленные в файле AndroidManifest — действия, сервисы и другие элементы, способные получать доступ к конфиденциальным данным.

Почему это вызывает тревогу

Несмотря на отсутствие сложной эксплуатации системных багов, такой подход снижает затраты разработки и упрощает распространение ПО — достаточно физического доступа и разрешений пользователя. В результате возникает ситуация, когда вредоносная функциональность доступна без использования традиционных эксплойтов, что делает угрозу более доступной для злоумышленников и правоохранительных структур.

Задокументированный инцидент (Q3 2025)

В третьем квартале 2025 года задокументирован случай, когда сотрудники КГБ допросили журналиста. По сообщениям, журналист попросил положить свой телефон в запертый отсек; последующее извлечение устройства привело к подозрениям на наличие шпионского ПО.

Ключевые наблюдения при последующем судебно-медицинском анализе:

  • Сертификат приложения имел необычную характеристику — действителен только в будущем, однако это не помешало установке.
  • На устройстве обнаружены новые ключи ADB, что указывает на возможную подделку или манипуляцию с устройством во время инцидента.

Командование и контроль (C2)

ResidentBat использует механизмы C2 для удалённой связи с операторами. В отчёте указаны конкретные конфигурации серверов, предназначенные для этой цели, однако дополнительные технические детали в целях безопасности эксплуатации не разглашаются.

Индикаторы компрометации и инструменты обнаружения

Исследователи выпустили индикаторы компрометации (IOCs) и рекомендации по обнаружению, включая поддержку в Mobile Verification Toolkit (MVT). MVT предназначен для поиска следов шпионского ПО и помогает пользователям оценить степень риска заражения.

Рекомендации для граждан и правозащитников

Авторы отчёта и эксперты по безопасности рекомендуют упреждающие меры для минимизации риска несанкционированного доступа и установки шпионских программ:

  • Сохранять PIN-коды и пароли устройств в памяти пользователя, не передавать доступ посторонним.
  • Использовать устройства и прошивки, которые позволяют отключать боковую загрузку приложений (sideloading).
  • Проверять устройство с помощью MVT и обращать внимание на индикаторы компрометации.
  • По возможности хранить критичные устройства в контролируемых условиях и избегать передачи их третьим лицам.

Выводы

Обнаружение множества образцов ResidentBat подчёркивает необходимость постоянного мониторинга и бдительности в цифровом пространстве. Даже при отсутствии эксплуатации сложных уязвимостей злоумышленники и спецслужбы могут достигать глубокой слежки через сочетание физического доступа, широких разрешений и целевых установок. Для уязвимых групп — журналистов, правозащитников и активистов — важно применять технические и организационные меры защиты и регулярно проверять устройства на признаки компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: