Найти в Дзене
Secure Defence - Ваша кибербезопасность
38 подписчиков

Ваш Android сам обновился до Oblivion? Вирус, который выносит банки в ноль

3
10 мин
🚨 Представьте: вы сидите с чашкой кофе, смотрите YouTube, и вдруг телефон показывает «Установка обновлений системы…». Ну, думаете, Гугл опять что-то патчит. Ставите на зарядку и откладываете. А через час с вашей карты уходит 380 тысяч рублей в «нирвану». И знаете что? Это не хакер-вуайерист за клавиатуром в капюшоне. Это просто робот. Коллеги, я последние пару месяцев наблюдаю за одной дичью на даркнет-форумах, и, честно говоря, меня это конкретно напрягает. То, что раньше было уделом «кибер-спецназа» с месяцами подготовки, сегодня продаётся как подписка на Netflix. 15 баксов — и ты уже «кибер-преступник» со степенью бакалавра по взлому бабушек. Сегодня разберем вирус, который уже назвали «Oblivion» (Забвение). И название, скажу я вам, очень точное. Потому что в забвение улетают ваши деньги, ваши данные, а иногда и ваша репутация. Да потому что схемы "здравствуйте, это служба безопасности банка" уже поднадоели. Люди умнеют. А вот подсунуть фейковое обновление прямо в экран смартфона
Оглавление
Технические особенности Oblivion
Технические особенности Oblivion

🚨 Представьте: вы сидите с чашкой кофе, смотрите YouTube, и вдруг телефон показывает «Установка обновлений системы…». Ну, думаете, Гугл опять что-то патчит. Ставите на зарядку и откладываете. А через час с вашей карты уходит 380 тысяч рублей в «нирвану». И знаете что? Это не хакер-вуайерист за клавиатуром в капюшоне. Это просто робот.

Бездушный конструктор под названием Oblivion.

Коллеги, я последние пару месяцев наблюдаю за одной дичью на даркнет-форумах, и, честно говоря, меня это конкретно напрягает. То, что раньше было уделом «кибер-спецназа» с месяцами подготовки, сегодня продаётся как подписка на Netflix. 15 баксов — и ты уже «кибер-преступник» со степенью бакалавра по взлому бабушек. Сегодня разберем вирус, который уже назвали «Oblivion» (Забвение). И название, скажу я вам, очень точное. Потому что в забвение улетают ваши деньги, ваши данные, а иногда и ваша репутация.

Почему эта тема сейчас бьет все рекорды в России?

Да потому что схемы "здравствуйте, это служба безопасности банка" уже поднадоели. Люди умнеют. А вот подсунуть фейковое обновление прямо в экран смартфона — это, согласитесь, уровень дьявольской хитрости. И под удар попадаем не только мы с вами, но и наши компании, где корпоративная почта висит на тех же Android-смартфонах.

Так что пристегнитесь. Будет жестко, технично, но без зауми. Расскажу, как мы в SOC сейчас детектим эту заразу, почему Android 16 не панацея, и как не стать кормом для новой цифровой фауны.

Откуда взялся Oblivion и почему о нём заговорили только в 2026?

Если говорить честно, то сам по себе Android — платформа достаточно зрелая. Google за последние годы наворотил кучу защит: там и Scoped Storage (когда приложения сидят в своих песочницах), и разрешения на таймере, и ужесточение работы со службой специальных возможностей (Accessibility Service). Казалось бы, живи и радуйся.

Но, как это обычно бывает, дьявол кроется в деталях. Или, в нашем случае, в соц-инженерии, помноженной на автоматизацию.

В конце 2025 — начале 2026 года на одном известном хакерском форуме (не буду давать ссылки, чтобы не делать рекламу) появился тред. Парень с ником типа OblivionDev выложил пост: «Хватит мучиться с байпасами, я всё сделал за вас». И выложил в открытую продажу (по подписке!) конструктор вредоносов. Не просто троян, а целый RAT (Remote Access Trojan) с панелью управления.

Что любопытно, он сразу заточил его под наши реалии. Интерфейс на русском, техподдержка в Телеге, обучающие ролики на YouTube (которые, кстати, быстро забанили, но зеркала уже разошлись по чатам).

По моему опыту, появление таких RAT-троянов в открытом доступе всегда маркирует смену эпохи. Если раньше это были "трояны для мальчиков-хакеров", которые тупо воровали пароли от игр, то сейчас это — промышленные комбайны.

По данным наших партнеров из Certo (они спецы по мобильной безопасности, кстати, рекомендую почитать их оригинальный отчет), Oblivion бьет практически по всем версиям Android — с 8-й по свежую 16-ю. То есть если у вас не кнопочная Nokia 3310, вы в зоне риска.

Анатомия атаки: как ваш телефон сам себя убивает

Давайте сразу к технике. Засучим рукава. Потому что просто список "не ставьте левые приложения" — это для домохозяек. Нам, как спецам, нужно понимать механику.

Представьте ситуацию. Вы ищете в браузере (или даже в официальном магазине, но там модерация тоже иногда просыпается) программу для прослушки музыки или, скажем, "Новогодний курс доллара" (святое). Сайт-однодневка, красивая верстка, кнопка "Скачать с официального сервера".

Вы качаете APK-файл. Запускаете. И тут телефон выдает: "Требуется обновление Google Play Services".

Выглядит это свято. Иконка гугловская, текст ровный, кнопки красивые. Вы жмете "Обновить".

Магия обхода: что происходит под капотом?

Тут как раз и вступает в игру главная "фишка" Oblivion — автоматический кликер на стероидах.

В обычной жизни Android, когда приложение просит доступ к службе специальных возможностей (Accessibility), он выводит диалог: "Разрешить управлять устройством?". Это красный флаг. Oblivion же, как пишут аналитики, использует технику подавления системных диалогов. Он не спрашивает, он просто берет.

Как это работает технически? Вредонос запускает интенты, перехватывает фокус окон и эмулирует нажатия. Пока пользователь видит красивую анимацию "Идет обновление...", в невидимой VNC-сессии (Virtual Network Computing — протокол удаленного доступа) злоумышленник уже сидит в телефоне. Это как если бы кто-то смотрел ваше кино на другом экране, а вы даже не знаете, что к вам подключились.

И вот тут начинается самое интересное.

Получив доступ к службе специальных возможностей, троян получает не просто доступ, а божественный режим.

  • Кейлоггинг: Все, что вы печатаете, улетает на сервер. Пароли от Госуслуг, переписка в WhatsApp, интимные фото (да, это тоже товар).
  • Перехват 2FA: СМС с кодами подтверждения читаются и мгновенно пересылаются атакующему. Двухфакторка? А она больше не работает, если вторая фактор — это СМС.
  • Снятие средств: Самое страшное. Oblivion умеет открывать банковское приложение, вводить логин/пароль (он же их записал), подтверждать операцию и удалять уведомление о списании. Вы узнаете о том, что стали беднее, только когда зайдете проверить баланс.

А что там с Android 16?

Многие эксперты говорили, что Android 16 станет непробиваемой стеной, потому что там Google наконец-то прикрутил жесткие ограничения на использование Accessibility. И да, частично они правы. Но...

По заявлениям продавца (и это подтверждается на практике), они нашли обходное решение. Вредонос использует комбинацию из устаревших API и новых багов в веб-компонентах. Как человек, который видел исходники, скажу так: это не какой-то 0-day (неизвестная ранее уязвимость) космического масштаба, а скорее элегантная эксплуатация "дыр" в связке Android + Chrome WebView. Так что обновление до Android 16 — это хорошо, но не панацея.

10 правил цифровой гигиены 2026 (или как выжить в эпоху Oblivion)

Ладно, страху нагнал достаточно. Давайте к практике. Я собрал для вас чек-лист, который мы теперь внедряем во всех компаниях, где проходят наши аудиты по 152-ФЗ и защите КИИ. Это не скучные списки из методичек, а реальный боевой опыт.

  1. Отключите установку из неизвестных источников... глобально. И не просто отключите, а поставьте галку "Запретить установку из любых источников, кроме Play Market" и заблокируйте смену паролем. Если сотруднику реально нужно приложение не из стора, пусть придет к вам, админам. Мы проверим, подпишем, положим в корпоративный каталог.
  2. Включите двухфакторку, но не по СМС. Это правило уже набило оскомину, но повторю еще раз. Oblivion убивает СМС-подтверждение. Используйте TOTP (Google Authenticator, Microsoft Authenticator) или аппаратные ключи (YubiKey). Привяжите аккаунт к физическому токену. Да, это геморрой. Но потерять 500 тысяч — больший геморрой.
  3. Следите за Accessibility Service. Зайдите в настройки -> Спец. возможности и посмотрите, какие приложения там висят. Если вы видите там приложение "Фонарик" или "Калькулятор", это стоп-кран. Немедленно вырубайте и удаляйте. Легитимные приложения крайне редко запрашивают этот доступ.
  4. Антивирус есть, но на него не надейся. Поставьте что-то типа Malwarebytes или Dr.Web для Android. Они ловят поведенку. Но помните: на каждый новый вирус антивирусная компания тратит время на анализ. Вы можете стать первым.
  5. Обновляйте софт, но руками. Та самая ситуация, когда фейковое обновление маскируется под системное. Если телефон говорит "Системное обновление", не жмите "ОК" сразу. Зайдите в настройки -> О телефоне -> Обновление ПО и проверьте вручную. Если там ничего нет, а уведомление висит — 100% развод.
  6. Wi-Fi в публичных местах = смерть. Используйте VPN. Желательно, корпоративный. Если VPN платный и нормальный — еще лучше. Даже если вас не взломают, трафик могут перехватить и подменить ссылку на скачивание APK прямо "на лету".
  7. Проверяйте разрешения приложений. Ставьте новую игрушку, а она просит доступ к контактам и СМС? Удаляйте сразу. Исключение — если это банк или мессенджер. И даже там можно покопаться и отключить лишнее.
  8. Регулярные бэкапы. Это на случай, если придется делать "хард резет". Вредонос может заблокировать удаление, и проще сбросить телефон до заводских настроек. Главное, чтобы при восстановлении из облака вы не накатили заразу обратно. Бэкап должен быть чистым.
  9. Смотрите, кто звонит. Еще одна фишка Oblivion — он может инициировать звонки на платные номера. Если увидели в детализации звонок на короткий номер ночью, пока вы спали, — повод насторожиться.
  10. Корпоративная политика BYOD (Bring Your Own Device). Если сотрудники используют личные телефоны для работы, заставьте их установить корпоративный профиль (Android for Work или Samsung Knox). Тогда рабочие данные будут в изолированном контейнере, и даже при заражении личной части, злоумышленник не сразу доберется до корпоративной почты.

А что там с российскими реалиями? 152-ФЗ и уголовка

Тут, коллеги, момент тонкий. Если вы CISO (Chief Information Security Officer) или просто ответственный за обработку персональных данных в компании, и у вас сотрудник потерял деньги из-за вируса на служебном телефоне, это полбеды.

Беда начинается, если на этом телефоне хранились персональные данные клиентов. По 152-ФЗ утечка персональных данных из-за ненадлежащей защиты грозит оборотными штрафами. А если это данные из госинформсистем — могут и уголовку пришить (ст. 274 УК РФ). И аргумент "это виноват Oblivion, это же хакеры" в суде не прокатит. Скажут: "А почему вы не настроили политики безопасности, не запретили установку из сторонних источников?".

Поэтому, кстати, мы сейчас активно пихаем клиентам MDM-решения (Mobile Device Management). Типа: вы покупаете телефон сотруднику, он ваш. Вы ставите софт, вы контролируете, что ставится. Жестко? Да. Но безопасно.

Как понять, что ваш телефон уже зомбирован?

Вот несколько признаков, которые я советую проверять у себя и у коллег:

  • Аномальный трафик: Телефон греется, батарейка садится за 3 часа, хотя вы им не пользуетесь. Это вредонос гоняет данные на C&C-сервер (Command and Control — сервер управления).
  • Странные иконки: Появилось приложение с иконкой, похожей на стандартную системную, но с немного другим названием. Или приложение, которое вы не ставили.
  • Замедление работы: Телефон тупит, интерфейс лагает. Особенно при открытии банковских приложений.
  • СМС-спам: Друзьям приходят странные сообщения от вашего номера. Это троян рассылает себя дальше по вашей адресной книге.

10 главных вопросов про Oblivion (FAQ для тех, кто дочитал)

  1. Может ли Oblivion заразить iPhone?
    Нет, это чисто Android-история. Но расслабляться рано: под iOS сейчас активно плодятся профили-шпионы, которые ставятся через MDM и подписанные сертификаты. Так что "яблочники" тоже в зоне риска, хоть и меньшего.
  2. Поможет ли сброс до заводских настроек?
    Да, в 99% случаев. Но есть нюанс: если у вас включено автоматическое восстановление из облачного бэкапа Google, вы можете накатить заразу обратно. Сбрасывайте и настраивайте как новый телефон.
  3. Как вирус попадает в телефон, если я не ставлю левые APK?
    Через фишинговые ссылки в СМС, через поддельные сайты, через рекламу в браузере, через зараженные Bluetooth-соединения (редко, но бывает). Или через официальный маркет, если разработчику удалось проскочить модерацию.
  4. Платят ли злоумышленники налоги с подписки на Oblivion?
    Ха-ха, вряд ли. Там все завязано на крипту. Разработчик получает оплату в Monero и, скорее всего, сидит где-то в стране с не очень строгими законами об экстрадиции.
  5. Что делать, если я уже поймал заразу?
    Отключить интернет (Wi-Fi и мобильные данные), выключить телефон, вынуть симку. Бежать к специалистам. Не пытаться удалить самостоятельно, если не уверены — троян может заблокировать удаление.
  6. Реагируют ли банки на такие угрозы?
    Сейчас активно внедряют поведенческую аналитику в мобильных приложениях. Если система видит, что сессия открыта с телефона, но при этом нажатия происходят слишком быстро или скролл идеально ровный — сессию могут заблокировать до подтверждения по звонку.
  7. Защищает ли Google Play Protect?
    Частично. Но Oblivion как раз и создан, чтобы его обходить. Он может маскироваться под легитимные апдейты.
  8. Почему вирус назвали Oblivion?
    Скорее всего, отсылка к игре The Elder Scrolls. Или просто красивое слово, означающее "забвение". Для денег на счету — самое то.
  9. Есть ли вакцина?
    Специфической "таблетки" нет. Только общая гигиена и антивирусы с проактивной защитой.
  10. Может ли сотрудник подхватить вирус на работе и заразить всю сеть?
    Теоретически да, если телефон подключен к рабочему ПК по USB и включена отладка. Тогда троян может попытаться перепрыгнуть на комп. Поэтому на работе запрещаем подключение личных девайсов к рабочим станциям.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]