Новый Android-троянец Lazarus Stealer атакует клиентов российских банков через фишинговые наложения и перехват SMS

Мощь Lazarus Stealer заключается в сочетании агрессивных тактик: он запрашивает критически опасные разрешения, манипулирует настройками устройства по умолчанию, перехватывает SMS, включая одноразовые пароли, и накладывает фишинговые интерфейсы поверх легитимных банковских приложений. Программа работает в фоновом режиме, оставаясь невидимой для пользователя - её иконка скрыта из меню, а активность исключена из списка недавних приложений.

Вредонос функционален только после получения статуса приложения для SMS по умолчанию. Это позволяет ему не только читать и отправлять сообщения, но и блокировать уведомления, а также удалять SMS, скрывая следы мошенничества. Дополнительно троянец запрашивает разрешения на наложение поверх других окон (Draw Over Other Apps) и доступ к статистике использования (Usage Access), что необходимо для отслеживания активности приложений и подмены интерфейсов.

Как только жертва запускает целевое банковское приложение, Lazarus Stealer инициирует механизм оверлея - поверх законного интерфейса появляется фишинговая форма, визуально неотличимая от оригинальной. Пользователю предлагается ввести данные карты, PIN или пароль для «подтверждения операции» или «проверки безопасности». Введённые данные немедленно перехватываются и передаются на сервер злоумышленника.

Другой ключевой компонент - перехват SMS. Троянец регистрирует приемник с максимальным приоритетом, что позволяет ему первым получать уведомления о входящих сообщениях, опережая штатные мессенджеры. Это критично для кражи OTP-кодов, используемых для подтверждения транзакций. Все перехваченные сообщения также отправляются на контролируемый злоумышленником сервер.

Инфраструктура управления и сбора данных базируется на IP-адресе 193.151.108.33 и порту 1133, с дополнительными панелями управления на других адресах того же пула. Связь с сервером осуществляется через HTTP-запросы, при этом трафик передаётся в открытом виде - конфигурация usesCleartextTraffic="true" в манифесте позволяет не шифровать данные, упрощая перехват.

Динамизм угрозы подчёркивается механизмом WebView - каждый экземпляр троянца может загружать уникальный URL с сервера в зависимости от версии APK. Это позволяет операторам гибко менять фишинговый контент и адаптировать его под конкретные банки или обновления приложений.

Расследование цифрового следа указывает на русскоязычного разработчика. В коде обнаружены ссылки на Telegram-аккаунты, а панели управления и сообщения в коде содержат текст на русском языке. Угроза активно продвигалась на специализированных форумах и в теневых чатах, однако активность в некоторых связанных группах снизилась к началу 2025 года.

Lazarus Stealer представляет собой серьёзную и технически продвинутую угрозу для пользователей мобильных банковских приложений в России. Его способность скрытно работать, обходить стандартные средства защиты и динамически адаптироваться под цели делает его особенно опасным. Эксперты рекомендуют устанавливать приложения только из официальных магазинов, внимательно проверять запрашиваемые разрешения и использовать двухфакторную аутентификацию в рамках отдельного защищённого канала. Осведомлённость и осторожность остаются ключевыми элементами защиты от подобных атак.

IPv4

• 176.65.137.53
• 193.151.108.203
• 193.151.108.207
• 193.151.108.243
• 193.151.108.33
• 193.151.108.49
• 213.21.237.206

Domains

• venom-lazarus.life

MD5

• 746e5d04c376a06077e86d00453947b8

SHA256

• a19400371168a45aefad4e9972b98a011c1b63534585e7fafac1f7dc42104577