Новый Android-шпион Cifrat скрывается за фальшивыми обновлениями Booking

Цепочка заражения: от письма до полного контроля

Атака построена на многоуровневой схеме, где каждая следующая стадия раскрывается только после выполнения предыдущей. Всё начинается с фишингового письма, в котором жертву под предлогом проверки безопасности или обновления просят перейти по ссылке. Ссылка ведёт на поддельную страницу, стилизованную под официальный портал Booking.com, где пользователю предлагают скачать и установить APK-файл с названием "com.pulsebookmanager.helper.apk", маскирующийся под приложение Booking Pulse.

Однако эта видимая оболочка - лишь первое звено. После установки приложение не проявляет явно вредоносной активности, выступая в роли дроппера - программы-распространителя. Оно загружает нативную библиотеку, которая расшифровывает и устанавливает второй APK-пакет с идентификатором "io.cifnzm.utility67pu", замаскированный под "Сервисы Google Play". Но и это ещё не финал. Второй пакет содержит скрытый актив "FH.svg", который, будучи расшифрованным с помощью RC4-подобного алгоритма с ключом "mLYQ", представляет собой ZIP-архив с окончательными исполняемыми dex-файлами. Именно этот третий, скрытый слой и является полнофункциональным шпионским модулем.

Технический разбор: многослойная защита и широкий функционал

Анализ манифеста внешнего приложения сразу выявил его истинную роль. Запрос разрешения "REQUEST_INSTALL_PACKAGES" и явный поиск пакета "io.cifnzm.utility67pu" в секции "<queries>" указывают на предназначение для установки других приложений. Для обфускации критически важных строк, таких как домены и пути, используется нативный декодер, реализованный в библиотеке "l0a0cac5c.so". Эта же библиотека выполняет проверки на наличие отладки, например, ищет в памяти процесс "libjdwp.so". Второй этап расшифровывается с помощью 32-байтного XOR-ключа, который также извлекается через вызовы нативного кода.

Финальный payload - это мощный инструмент для шпионажа и удалённого управления, управляемый через две раздельные линии связи на базе WebSocket, подключённые к серверу управления "otptrade.world". Один канал ("control") используется для команд, второй ("data") - для передачи большого объёма информации: логов клавиатуры, кадров экрана, данных с камеры. Согласно отчёту экспертов CERT Polska, функционал троянца включает:

• Кейлоггинг и перехват учётных данных: Модуль отслеживает ввод с клавиатуры, специально фокусируясь на приложениях, связанных с банками, платежами и мессенджерами.
• HTML-инъекции и оверлеи: Злоумышленник может дистанционно запускать фишинговые окна, накладывающиеся поверх легитимных приложений для кражи логинов и паролей.
• Трансляция экрана и захват с камеры: После получения разрешения жертвы троянец может вести запись экрана и активировать камеру устройства.
• Перехват SMS: Вредоносная программа регистрирует широкий приёмник для чтения входящих сообщений, что критично для обхода двухфакторной аутентификации.
• Удалённые жесты и управление: Оператор может имитировать нажатия и свайпы на устройстве жертвы.
• SOCKS5-туннелирование: Эта функция позволяет злоумышленнику использовать скомпрометированное устройство в качестве прокси для скрытия собственного сетевого трафика, что усложняет его обнаружение.

Контекст и последствия для пользователей и бизнеса

Использование бренда Booking - не случайность, а тщательно продуманный выбор. Сервисы онлайн-бронирования популярны среди путешествующих бизнесменов, сотрудников компаний и просто активных пользователей, чьи устройства могут содержать как личную, так и корпоративную информацию. Успешное заражение такого устройства открывает путь к перехвату деловой переписки, доступу к корпоративным аккаунтам и системам, если на телефоне настроен доступ к электронной почте или VPN.

С технической точки зрения, атака демонстрирует растущую сложность мобильных угроз. Многостадийность, активное использование нативного кода для обфускации и анти-отладочных проверок, а также разделение каналов управления - всё это признаки работы профессиональных злоумышленников, возможно, связанных с киберпреступными группами или даже группами продвинутой постоянной угрозы (APT). Тот факт, что аналитики не смогли с уверенностью отнести этот образец к известным семействам вредоносных программ, лишь подчёркивает его уникальность и потенциальную опасность.

Рекомендации по защите

Основная мера предосторожности остаётся неизменной: устанавливать приложения следует только из официальных магазинов - Google Play или App Store. Любое предложение обновить приложение через сайт в браузере, особенно с загрузкой отдельного APK-файла, должно вызывать немедленные подозрения. Критически важным красным флагом является запрос приложением, установленным в обход магазина, разрешений на доступ к специальным возможностям (Accessibility Services), захват экрана, наложение поверх других окон или доступ к уведомлениям. Такие разрешения являются ключевыми для работы современных Android-шпионов, и их запрос от непроверенного приложения почти гарантированно свидетельствует о зловредной натуре программы. Для корпоративных пользователей дополнительным слоем защиты может стать использование решений для управления мобильными устройствами (MDM) и строгие политики, запрещающие установку приложений из неизвестных источников на рабочих смартфонах.

Domains

• otptrade.world

URLs

• https://aplication.digital/receiving/stats/
• https://booking.interaction.lat/starting/
• https://booking.interaction.lat/update/
• https://share.google/Yc9fcYQCgnKxNfRmH

WebSockets Secure

• wss://otptrade.world:8443/control?sessionId=
• wss://otptrade.world:8444/data?sessionId=

SHA256

• 0cf04d3a3a5a148f6f707cd2bc24b38179e0dc4252b4706f77a4d5498cf2c3e9
• 12713e00658fdfa9a6466d23d934a709ef8b549449877e94981029ec2e22cbc9
• 3243a74015df81c999e4d11124351519e5b0d9c99c03ccb12c207d9fa894a21e
• 4ad813a484038ad2a3e66121e276c969a1b78f9c0eca0d2acb296799ea128303
• c11685cb53e264a90cbc749d04740c639c4cfdee794ab98cf16ebd007ceded3b
• d408588683b4e66bfe0b5bb557999844fe52d1bfbda6836a48e15290082a5d42
• f9c176f04b7c4061480c037abd2e6aebb4b9b056952a29585c8b448b8ec81a0e