Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

GhostSpy: Новый Android-троян с продвинутыми методами обхода защиты

3 мин
Недавно выявленная разновидность вредоносного ПО для Android, получившая название GhostSpy, представляет собой крайне опасный инструмент, обладающий высокими возможностями обхода защиты и мощным функционалом для наблюдения и удалённого контроля. Специалисты по кибербезопасности отмечают его изощренные методы работы и стойкость, которые делают его серьёзной угрозой как для рядовых пользователей, так и для корпоративного сектора. Вредоносная программа запускается через dropper, который использует Accessibility Services — сервисы специальных возможностей. Это позволяет GhostSpy загружать дополнительный APK-файл (update.apk), автоматически предоставляя себе необходимые разрешения. При этом программа обходит привычные шаги подтверждения со стороны пользователя, что гарантирует скрытность своего внедрения. Одной из ключевых технологий GhostSpy является способность обходить защиту от зеркального отображения экрана (screen mirroring) в банковских приложениях. Для этого вредонос использует мето
Оглавление
Источник: www.cyfirma.com
Источник: www.cyfirma.com

Недавно выявленная разновидность вредоносного ПО для Android, получившая название GhostSpy, представляет собой крайне опасный инструмент, обладающий высокими возможностями обхода защиты и мощным функционалом для наблюдения и удалённого контроля. Специалисты по кибербезопасности отмечают его изощренные методы работы и стойкость, которые делают его серьёзной угрозой как для рядовых пользователей, так и для корпоративного сектора.

Как работает GhostSpy: тонкости заражения и распространения

Вредоносная программа запускается через dropper, который использует Accessibility Services — сервисы специальных возможностей. Это позволяет GhostSpy загружать дополнительный APK-файл (update.apk), автоматически предоставляя себе необходимые разрешения. При этом программа обходит привычные шаги подтверждения со стороны пользователя, что гарантирует скрытность своего внедрения.

  • Установка постоянного соединения с инфраструктурой управления (C2).
  • Развертывание различных функций для слежки и удалённого доступа.
  • Скрытая фильтрация данных и выполнение управляющих команд.

Технические особенности и методы обхода защиты

Одной из ключевых технологий GhostSpy является способность обходить защиту от зеркального отображения экрана (screen mirroring) в банковских приложениях. Для этого вредонос использует метод реконструкции пользовательского интерфейса приложения, позволяя злоумышленникам получать конфиденциальные данные незаметно для пользователя.

Также программой реализованы:

  • Автоматическое взаимодействие с экраном для постоянного мониторинга действий и перехвата вводимых пользователем данных — в том числе паролей, данных банковских карт и кодов двухфакторной аутентификации (2FA).
  • Злоупотребление API для проведения несанкционированных финансовых операций.
  • Отслеживание физического местоположения устройства в режиме реального времени.
  • Возможность прослушивания с использованием микрофона и записи с камеры заражённого устройства.

Поддержание скрытого присутствия и противодействие удалению

Технический разбор показал, что dropper инициирует вводящий в заблуждение интерфейс, маскируясь под законное обновление приложения. После установки дополнительного APK тот берёт на себя контроль, предоставляя себе расширенные разрешения — якобы с согласия пользователя.

Кроме того, GhostSpy активно предотвращает удаление с устройства, используя обманчивые оверлеи. Эти всплывающие окна заставляют пользователя отказаться от попытки удаления вредоносного ПО. Также вредонос динамически предоставляет разрешения, имитируя действия пользователя на уровне UI, что значительно осложняет его обнаружение.

Инфраструктура и географические особенности распространения

Исследования выявили активное поддержание инфраструктуры C2, с множеством серверов и портов. Значительный масштаб работы GhostSpy свидетельствует о серьёзных ресурсах злоумышленников.

Интересен факт связи вредоносной программы с рекламой в социальных сетях:

  • наличие Telegram-канала;
  • активность на YouTube;
  • локализованная коммуникация на португальском языке.

Все эти факторы указывают на то, что основное внимание уделено бразильскому рынку, а распространение нацелено на пользователей с низким техническим уровнем, более уязвимым к тактике обмана и социальному инжинирингу.

Рекомендации по защите и обезвреживанию угрозы

Учитывая _сложность_, _столь широкие функциональные возможности_ и _способность противостоять удалению_, GhostSpy представляет собой существенную угрозу. Отдельные пользователи и организации должны принимать срочные меры защиты:

  • Использовать специализированные решения для защиты от мобильных угроз (Mobile Threat Defense).
  • Информировать пользователей о потенциальных рисках и признаках заражения.
  • Регулярно мониторить права доступа, особенно связанные со службами специальных возможностей и правами администратора.
  • Внедрять специальные методы обнаружения и реагирования на сложные вредоносные атаки.

_Эксперты по безопасности рекомендуют быть особенно внимательными к приложениям, запрашивающим широкие разрешения, а также контролировать активность служб Accessibility и софтверных оверлеев на устройствах._

Компаниям и частным пользователям жизненно важно не игнорировать угрозу GhostSpy, поскольку она способна привести к серьёзным финансовым потерям и компрометации конфиденциальных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GhostSpy: Новый Android-троян с продвинутыми методами обхода защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.