На Android обнаружен новый троян-загрузчик с двадцатью тремя резервными серверами управления

Специалисты, проводившие анализ, столкнулись с неожиданным препятствием на начальном этапе. Злоумышленники намеренно повредили файл манифеста приложения AndroidManifest.xml, из-за чего стандартные инструменты статического анализа, такие как JADX, не смогли корректно разобрать структуру программы. Чтобы обойти эту ловушку, пришлось вручную восстанавливать ресурсные таблицы, извлекать байт-код и декомпилировать его. Выяснилось, что логика приложения написана на предварительно скомпилированном JavaScript-байткоде Hermes, характерном для платформы React Native. Для перевода этого байткода обратно в читаемый исходный код эксперты использовали утилиту hermes-dec в среде Windows.

Полученный файл насчитывал почти 259 тысяч строк кода объёмом около девяти с половиной мегабайт. Чтобы ускорить анализ, исследователи применили большую языковую модель, которая помогла отсеять безопасные фрагменты стандартной среды React Native и выделить подозрительные участки. Такой подход позволил выявить ключевые механизмы вредоносной программы.

Главная находка - массив из двадцати трёх доменов, закодированных в Base64 и жёстко прописанных в коде приложения начиная со строки 210363. Эти домены служат резервными командно-контрольными серверами. Программа последовательно перебирает их, пытаясь установить соединение по протоколу HTTPS. Среди зафиксированных адресов есть как уже знакомые по предыдущим расследованиям (например, mobiledetect.app, mobidetect.art), так и новые варианты вроде mobidetects.live, который на момент анализа был активен. Все запросы отправляются на скрытый путь /check.php, который в исходном коде замаскирован под Base64-строку.

Приложение не просто подключается к серверу, но и активно скрывает свой трафик от систем сетевой фильтрации. Для этого оно добавляет в заголовок User-Agent пользовательскую метку /OS.Gatu v3.0. Это позволяет маскировать запросы под легитимный трафик. Кроме того, программа собирает детальную информацию об устройстве: MAC-адрес, уникальный идентификатор UUID, отпечаток операционной системы. Но самое опасное - она проверяет, не запущена ли она в эмуляторе или изолированной среде (песочнице). Если обнаруживается виртуальная среда, работа приостанавливается, чтобы не раскрыть свои функции аналитикам.

Когда связь с сервером управления устанавливается, он отправляет ответ, содержащий структуру данных под названием stape. Получив её, приложение выполняет последовательность действий. Сначала оно автоматически делает фоновые GET-запросы ко всем ссылкам, переданным в stape, затем собирает ответы этих серверов и отправляет их обратной связью через POST-запрос к командно-контрольному центру. Наконец, из ответа извлекается ссылка на финальный вредоносный файл (dlUrl), после чего запускается таймер на одну секунду, и приложение инициирует загрузку этого файла через стандартный браузер или системный обработчик APK. Таким образом злоумышленники могут доставлять на устройство жертвы любое дополнительное вредоносное обеспечение: банковских троянов, программы-вымогатели, шпионские модули.

Отчёт о проведённом анализе опубликован в открытом репозитории и содержит подробное описание всех обнаруженных техник. Важно отметить, что вредоносное приложение использует фреймворк React Native, что упрощает разработчикам киберпреступность адаптацию кода под разные платформы. Несмотря на то что угроза пока обнаружена только для Android, сама архитектура загрузчика не исключает появления версий для iOS, хотя для этого потребуется преодолеть дополнительные ограничения App Store.

Для рядового пользователя эта новость означает, что даже безобидное на вид приложение из сторонних источников может оказаться точкой входа для целой цепочки атак. Злоумышленники не просто хотят украсть данные - они создают инфраструктуру для точечной доставки вредоносного кода на конкретные устройства. Наличие двадцати трёх резервных доменов свидетельствует о серьёзных ресурсах и целях группы, стоящей за этой кампанией. Такое количество запасных адресов делает блокировку угрозы традиционными методами списков запрещённых доменов малоэффективной: как только один сервер будет выведен из строя, программа переключится на следующий.

Специалисты по информационной безопасности рекомендуют компаниям и обычным пользователям усилить контроль за устанавливаемыми приложениями, особенно если они скачиваются не из официального магазина Google Play. Следует обращать внимание на разрешения, которые запрашивает программа, а также на её поведение в фоне. Аномальное потребление трафика, подозрительные запросы к неизвестным доменам и внезапное появление уведомлений о загрузке файлов могут быть признаками работы загрузчика. Корпоративным системам стоит внедрить продвинутую фильтрацию DNS и HTTPS-трафика, а также инструменты для выявления аномалий в работе мобильных устройств.

Этот случай в очередной раз демонстрирует, что борьба с киберугрозами перешла на новый уровень. Злоумышленники постоянно совершенствуют методы обхода автоматического анализа, прибегая к манипуляции файловой структурой и использованию сложных сред выполнения. Только комплексный подход, сочетающий автоматизированные средства и ручную экспертизу с привлечением искусственного интеллекта, позволяет своевременно обнаруживать и нейтрализовывать такие угрозы, прежде чем они нанесут ущерб.

Domains

• mobidetect.art
• mobidetect.cc
• mobidetect.click
• mobidetect.ink
• mobidetect.live
• mobidetect.pro
• mobidetect.shop
• mobidetect.site
• mobidetect.space
• mobidetect.store
• mobidetect.vip
• mobidetect.wiki
• mobidetect.xyz
• mobidetects.art
• mobidetects.cc
• mobidetects.info
• mobidetects.ink
• mobidetects.live
• mobidetects.pro
• mobidetects.store
• mobidetects.top
• mobidetects.xyz
• mobiledetect.app