GhostGrab: новый Android-троян одновременно майнит и крадёт банковские данные
Исследователи CYFIRMA описали новую семью Android-малвари под названием GhostGrab - модульный «стелс-стилер», который сочетает скрытый майнинг Monero и полномасштабное похищение финансовых данных, включая банковские учётные записи, данные карт и одноразовые пароли из SMS. Это сочетание делает каждое заражение максимально прибыльным для злоумышленников: параллельно с кражей денег они используют ресурсы устройства для майнинга.
Технически кампания начинается с домена kychelp[.]live, откуда жертве подсовывают dropper в виде APK с обманным интерфейсом «обновления». Dropper устанавливает фоновые сервисы, регистрируется в Firebase для получения команд и загружает два ключевых компонента: скрытый майнер (libmine-arm64.so) с жёстко прописанным кошельком Monero и банковский модуль со расширенным набором прав. Мальварь прячет иконку приложения, использует «тихое» воспроизведение аудио и разрешения для отказа системы в завершении процесса, что повышает её устойчивость и затрудняет удаление.
Для похищения данных GhostGrab применяет встроенные WebView-страницы, имитирующие KYC-формы и входы в банки, и напрямую отправляет заполненные формы в публичную Firebase Realtime Database, где записи хранятся в открытом виде, привязанные к уникальному идентификатору устройства. Малварь также перехватывает и экспортирует весь SMS-архив, фильтрует сообщения по банковским ключевым словам, может отправлять и пересылать SMS, а при получении команды включает переадресацию звонков через USSD-запрос: всё это позволяет атакующим украсть OTP и вывести средства без контакта с жертвой.
CYFIRMA фиксирует конкретные инфраструктурные индикаторы: используемые домены и Firebase-энты, названия загрузчиков (например, “BOM FIXED DEPOSIT.apk”), а также майнинг-пулы и жёстко закодированный Monero-адрес. По описанным артефактам видно, что злоумышленники ставят на скорость и масштаб: автоматическая подмена WebView, сбор SIM-и системной информации и механизм удалённого управления позволяют охватить множество устройств и обеспечить долговременную монетизацию каждой компрометации.
Теги:
похожие материалы
Украинские телефонные мошенники переключились с россиян на жителей Европы
Украинские колл-центры, занимавшиеся телефонным мошенничеством, начали смещать фокус с граждан России на жителей стран Европы и СНГ.
Мошенники начали подделывать голоса следователей с помощью ИИ
Следственное управление в Калининградской области предупредило о новой схеме дистанционных мошенничеств, в которой злоумышленники используют технологии искусственного интеллекта для подделки голосов и изображений публичных сотрудников Следственного комитета.
Respawn Entertainment предупредила о новой волне атак на игроков Apex Legends
Разработчики Apex Legends сообщили о зафиксированной волне кибератак, направленных на игроков и инфраструктуру онлайн-сервисов игры.
Виртуальные машины в облаке и резервное копирование в приоритете у петербургского бизнеса
Популярность облачных сервисов у компаний в Санкт-Петербурге и Ленинградской области стабильно росла в 2025 году.
ViPNet Prime получил сертификацию ФСБ России
Компания «ИнфоТеКС» информирует о получении сертификата ФСБ России на средство криптографической защиты информации ViPNet Prime Key Center из состава системы централизованного управления продуктами и решениями ИнфоТеКС ViPNet Prime.
Правительство России планирует усилить защиту граждан от кибермошенников новыми мерами
В российском правительстве обсуждаются дополнительные меры по усилению защиты населения от кибермошенничества.
Гарда в 3 раза увеличила скорость сканирования больших баз данных
Гарда выпустила крупное обновление системы маскирования данных «Гарда Data Masking».
В Telegram начали использовать нестандартные proxy-ссылки для обхода блокировок и автоматизации
В Telegram появились сообщения о распространении нового типа deep-ссылок proxy, которые позволяют пользователям и скриптам обходить ограничения доступа к мессенджеру и автоматически подключаться через прокси-серверы.
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.
«Лаборатория Касперского» расскажет школьникам на «Уроке цифры» про кибербезопасность в космосе
В этом учебном году «Урок цифры» от «Лаборатории Касперского» пройдёт в российских школах с 19 января по 8 февраля 2026 года.