Киберпреступники разработали сложное многофункциональное вредоносное ПО для Android под названием GhostGrab, которое сочетает в себе скрытый майнинг криптовалюты и масштабный сбор финансовой информации. Этот гибридный угрозный агент представляет собой качественно новый этап в эволюции мобильных угроз, демонстрируя двойную стратегию монетизации атак.
Описание
По данным аналитиков CYFIRMA, GhostGrab функционирует как модульная система, способная одновременно проводить несанкционированный майнинг криптовалюты Monero и осуществлять перехват конфиденциальных банковских данных. Вредонос систематически собирает учетные данные для онлайн-банкинга, реквизиты дебетовых карт, включая номера, CVV-коды и PIN-коды, а также перехватывает SMS-сообщения с одноразовыми паролями.
Инфекция начинается с посещения злоумышленного домена kychelp[.]live, где JavaScript автоматически перенаправляет браузер жертвы на загрузку вредоносного APK-файла под названием "BOM FIXED DEPOSIT.apk". Этот файл выполняет роль дроппера - начального этапа заражения, который маскируется под обновление из официального магазина приложений.
Для обеспечения устойчивости и скрытности вредонос использует несколько продвинутых техник. Он скрывает значок приложения из лаунчера, использует фоновые сервисы с воспроизведением беззвучного аудиопотока, запрашивает исключения из оптимизации батареи и автоматически перезапускается при системных событиях, таких как загрузка устройства или изменения в подключении.
Особую опасность представляет фишинговая составляющая атаки. Вредонос размещает локализованные фишинговые страницы внутри ресурсов приложения, которые загружаются через WebView для имитации легитимных банковских процессов. Пользователей последовательно проводят через несколько этапов сбора информации: от персональных данных и номеров Aadhaar до реквизитов карт и банковских паролей.
Собранные данные передаются в базу данных Firebase Realtime Database, контролируемую злоумышленниками. Анализ инфраструктуры показал, что каждый запись структурирована по уникальному идентификатору устройства и содержит множественные отправки форм с конфиденциальной информацией в открытом тексте.
Компонент скрытого майнинга использует жестко заданный адрес кошелька Monero и выделенные пулы для майнинга на pool[.]uasecurity[.]org. Это создает дополнительную нагрузку на ресурсы устройства, приводя к быстрой разрядке батареи и снижению производительности.
Система командного управления реализована через Firebase Cloud Messaging, позволяя злоумышленникам удаленно отправлять команды, включая включение переадресации вызовов на контролируемые номера, отправку SMS-сообщений и настройку непрерывной пересылки входящих сообщений.
Модуль перехвата SMS демонстрирует особую изощренность. Вредонос не только читает историю сообщений, но и отслеживает входящие SMS в реальном времени, фильтруя их по банковским ключевым словам. Собранные сообщения вместе с детальным профилем устройства передаются на контролируемые злоумышленниками конечные точки.
Анализ внешней инфраструктуры выявил, что домен kychelp[.]live был зарегистрирован 9 июня 2025 года, что характерно для доменов, используемых в краткосрочных вредоносных кампаниях. Дополнительный домен uasecurity[.]org рекламирует услуги по "защите APK", предлагая обфускацию и укрепление Android-пакетов для затруднения статического анализа.
Эксперты отмечают, что GhostGrab представляет собой тревожную тенденцию конвергенции различных вредоносных функциональностей в единые многоцелевые нагрузки. Такой подход увеличивает эффективность и прибыльность киберпреступных кампаний, создавая комплексную угрозу как для финансовых активов пользователей, так и для целостности устройств.
Сложная модульная архитектура, злоупотребление расширенными разрешениями и использование легитимных облачных сервисов для скрытия вредоносной активности делают GhostGrab особенно опасным представителем нового поколения мобильных угроз. Специалисты по безопасности рекомендуют пользователям проявлять особую осторожность при установке приложений из неизвестных источников и тщательно проверять запрашиваемые разрешения.
Индикаторы компрометации
Domains
- access.uasecurity.org
- accessor.pages.dev
- kychelp.live
SHA256
- 29c60e17d43f7268431929836c1b72df60d3b7643ed177f858a9d9bbab207783
- eae2c1f80b6d57285952b6e3da558d4c588a9972ee45ebd31c725772fe15edb3
Crypto wallet Address
- 44DhRjPJrQeNDqomajQjBvdD39UiQvoeh67ABYSWMZWEWKCB3Tzhvtw2jB9KC3UARF1gsBuhvEoNEd2qSDz76BYEPYNuPKD
Yara
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | rule GhostGrab_Malware_Detection { meta: author = "CYFIRMA Research team" date = "2025-10-23" description = "Detects GhostGrab android malware based on domain/C2 and wallet address." sha256_1 = "29c60e17d43f7268431929836c1b72df60d3b7643ed177f858a9d9bbab207783" sha256_2 = "eae2c1f80b6d57285952b6e3da558d4c588a9972ee45ebd31c725772fe15edb3" strings: $s1 = "access.uasecurity.org" nocase $s2 = "Accessor.pages.dev" nocase $s3 = "kychelp.live" nocase $wallet = "44DhRjPJrQeNDqomajQjBvdD39UiQvoeh67ABYSWMZWEWKCB3Tzhvtw2jB9KC3UARF1gsBuhvEoNEd2qSDz76BYEPYNuPKD" ascii condition: any of ($s*) or $wallet } |
