Новый Android-троян KidsProtect продаётся по франшизе: каждый может запустить собственный шпионский сервис

Специалисты компании Certo обнаружили на открытых форумах рекламу программы, которая даёт оператору почти полный скрытый контроль над смартфоном жертвы. KidsProtect позиционируется как решение для родительского контроля, но на деле является трояном удалённого доступа (RAT) для Android. После установки на целевое устройство программа работает полностью в фоновом режиме, не выдавая своего присутствия.

С помощью веб-панели управления злоумышленник может тайно записывать телефонные разговоры, транслировать аудио с микрофона в реальном времени, отслеживать координаты GPS, читать SMS-сообщения и уведомления из мессенджеров, включая WhatsApp и Viber, перехватывать нажатия клавиш, получать доступ к контактам и фотографиям, а также удалённо активировать фронтальную и тыловую камеры. Стоимость подписки начинается от 60 долларов. Отдельно предлагается опция white-label - продажа готового продукта под собственной маркой. Покупатель может переименовать инструмент, добавить свой логотип и продавать его как собственный сервис.

Маскировка под родительский контроль - давно известный приём в сфере сталкерского ПО. Название KidsProtect и соответствующий маркетинговый текст создают иллюзию легитимности. Сайт программы обещает родителям спокойствие и заверяет о шифровании данных. Однако эксперты обратили внимание, что рекламное объявление было размещено на хакерском форуме, где обсуждаются взломы и вредоносные инструменты. Разработчик, судя по профилю, говорит на греческом языке и открыто называет программу стабильной и скрытной. Главной особенностью он указывает невозможное анти-удаление: приложение может быть деинсталлировано только через панель управления оператора, что не позволяет жертве избавиться от слежки.

Технический анализ APK-файла, установочного пакета Android, подтвердил заявленные возможности и выявил дополнительные. Программа запрашивает обширный набор разрешений, включая доступ к фоновому местоположению, записи аудио, камере, SMS, журналу звонков, контактам, статистике использования и внешнему хранилищу. Особого внимания заслуживает запрос разрешения Accessibility Service, сервиса специальных возможностей. Эта системная функция изначально разработана для помощи людям с ограничениями, но крайне часто используется вредоносным ПО. После её активации KidsProtect может читать содержимое любого приложения на экране, перехватывать вводимые пароли и отслеживать активность на устройстве.

Разработчики также приняли меры для скрытия присутствия трояна. На домашнем экране приложение отображается под безобидным именем WiFi Service или WiFiService Installer. Соответствующие компоненты названы WiFiService Assistant и WiFiService Monitor. Имя пакета - com.example.parentguard - использует шаблонный идентификатор com.example, который обычно встречается только в учебных примерах. Это наводит на мысль, что разработчик намеренно избегал оставления следов, ведущих к реальной компании.

Сайт инструмента прямо рекомендует отключить Google Play Protect - встроенный в Android сканер вредоносных программ. Без этого установка APK была бы заблокирована. Программа также запрашивает разрешения SYSTEM_ALERT_WINDOW и REQUEST_IGNORE_BATTERY_OPTIMIZATIONS, что позволяет ей рисовать поверх других окон и предотвращать остановку системой для экономии энергии. Компонент BootReceiver гарантирует автоматический перезапуск после перезагрузки устройства.

Самый тревожный аспект KidsProtect - модель франшизы. Разработчик предлагает полностью готовый к продаже продукт. Покупатель может нанести свой бренд, установить собственные цены и подключить процесс оплаты. В объявлении это прямо названо возможностью открыть свой бизнес. В условиях, когда крупные игроки рынка сталкерского ПО закрываются по решению суда, белая этикетка позволяет новым операторам запускать сервисы в течение нескольких часов. Им не приходится вкладываться в разработку и иметь техническую экспертизу. Это серьёзно усложняет правоохранительную борьбу. Блокировка одной компании малоэффективна, если технология мгновенно переупаковывается под новым брендом.

Таким образом, KidsProtect - это полноценное сталкерское ПО, предназначенное для скрытого тотального наблюдения за человеком без его согласия. Его маскировка под родительский контроль, безобидное имя в системе и веб-интерфейс - лишь косметические элементы, не меняющие сути. Открытая продажа такого инструмента на форумах, включая бесплатные пробные версии и франчайзинговую модель, показывает, что рынок программ-шпионов продолжает расширяться. Правовые и коммерческие препятствия пока не могут остановить эту адаптивную экосистему.

Package name

• com.example.parentguard

SHA256

• 17817d9e29920493bb20ed626c3026e3c29eb6f1d56ef9462c306066ce2ad171
• 1b1d9b260deec0c612ec67579fd36fec7722b2b8446ab32284a08f44f4ea64da
• 9864db6b5800d9e03b747c46fdef988e035cadde83077a41c5610d5d89f753a0
• f0d01b28ddfdbefe0697994a6b30f2b8a4e39ef1ad6c9427b921b2ccd945a8c5
• f4e9733d93ce35ecd3c83f18addf77f8ff49444d09847eaeef9c8e87837d0165