Новый Android-троянец Oblivion RAT обманывает пользователей и аналитические инструменты, угрожая корпоративным системам

Согласно недавнему исследованию, опубликованному компанией iVerify, Oblivion RAT представляет собой продвинутый Android-троянец, распространяемый по модели подписки. Этот сервис предоставляет покупателям готовый инструментарий, включая веб-сборщик APK-файлов и генератор программ-дропперов. Последние создают многоэтапные фишинговые приманки, тщательно спроектированные для социальной инженерии. Основная цель - обманом заставить жертву самостоятельно предоставить вредоносному приложению критические разрешения операционной системы.

Модель заражения состоит из двух этапов и нацелена на преодоление естественной подозрительности пользователя. Сначала жертва попадает на идеально скопированную страницу обновления Google Play или настройки системной службы специальных возможностей (Accessibility Service) Android. Убедившись в легитимности интерфейса, пользователь вручную активирует службу, что становится для троянца зелёным светом. После этого имплант программным способом присваивает себе все необходимые опасные разрешения - доступ к SMS, прослушивание уведомлений, права администратора устройства. При этом он перехватывает и скрывает системные диалоговые окна, оставаясь полностью невидимым для конечного пользователя.

Однако обман пользователя - лишь часть стратегии. Oblivion RAT применяет и хитрые методы противодействия анализу. В частности, он использует трюк с "фальшивым ZIP-шифрованием". Манипулируя битовыми флагами в структуре APK-файла, троянец заставляет стандартные инструменты статического анализа, такие как jadx или apktool, аварийно завершать работу с ложным сообщением о том, что файлы зашифрованы. Это значительно затрудняет и замедляет исследование образца специалистами по безопасности. После успешного запуска троянец предоставляет операторам полный спектр функций удалённого контроля, включая управление через VNC, кейлоггинг (перехват нажатий клавиш) и так называемую "Оценку состоятельности". Эта функция автоматически сканирует установленные на устройстве приложения, относя их к категориям финансовых и криптовалютных сервисов, чтобы приоритезировать атаки на наиболее "ценные" цели.

Специалисты Zimperium zLabs, исследовав эту кампанию, подтвердили, что их технология динамического обнаружения на устройстве обеспечивает стопроцентную защиту от этой угрозы "нулевого дня". Более того, расширенная телеметрия компании выявила 45 дополнительных новых образцов Oblivion RAT, не описанных в первоначальном отчёте. Эти вновь обнаруженные варианты демонстрируют крайне низкий уровень детектирования традиционными сигнатурными антивирусными движками, что указывает на активные действия операторов по диверсификации сборок для уклонения от обнаружения.

Хотя Oblivion RAT позиционируется как инструмент для компрометации отдельных пользователей, его возможности представляют серьёзную опасность для корпоративных сред. Инструмент, способный перехватывать коды двухфакторной аутентификации через SMS, фиксировать каждое нажатие клавиши и предоставлять удалённый доступ в реальном времени, может быть легко использован для обхода корпоративных средств защиты и получения несанкционированного доступа к чувствительным бизнес-приложениям. Угроза усугубляется тем, что перехват одноразовых паролей, отправляемых по SMS, ставит под удар даже системы, защищённые 2FA.

Появление таких угроз, как Oblivion RAT, знаменует собой важный сдвиг в ландшафте мобильной безопасности. Когда вредоносные программы производятся и обновляются по модели "услуги" с автоматизированными сборщиками, организациям становится невозможно полагаться исключительно на статические сигнатуры, которые всегда отстают от актуальных образцов. Единственным эффективным способом противостоять быстро адаптирующимся угрозам, созданным для того, чтобы "исчезать" в момент анализа, становится поведенческое динамическое обнаружение непосредственно на устройстве. Этот подход анализирует действия приложения в реальном времени, а не ищет известные шаблоны в коде, что критически важно для защиты от современных сложных троянцев.

SHA256

• 02f6c9180d89a302f4e2556567198889bede00b74703e53c0bee9672f893c9cf
• 038ddeb937e70aa8e1321f55c5d43b18f4cea9dd6abe63f43141ec22ccbe9825
• 06ca5b56842e43c869f47af7c6080b3e4165b8ccb839f80601121ba8b3a2b226
• 092f5121aae301aa3533badb9c67237ab7a7bc873e32e04da283f72f6821a268
• 0eff179267c9a28fe296e02fe47fbdbf2783eb06d9f38bc6dc900f3e6b9d776f
• 151f70a24f87020d45a23890acb88b076859ecd9dfd7b3f692b427644f9bf48e
• 17b0819110f6a4553d0921c8957331cf1bdbc5d254450639c6e79f1f1663cedf
• 19b2e5df6a36579726efad2c4d90c959bb032adfe1831117d11d2b5167ab5672
• 1a1adc4e48946e1e320f8e2a2a997071bf768536782bd06ad559e778b02dbbf4
• 29fb50304146e38fdcbfeb2c01214efb0b68d217e4a3c71a2d8b9efcbcc748db
• 39a7cce07ca539353fc804adac0e0a80463fd8f23e1b262570463d207a5e2bda
• 3bff1e94220f840496bb2cd7693ebb56b5b7ede9009b4acb0819bd45d14483dc
• 4064f42a30b85220545e4a43672e374ba879b36b3d79c4a5e2324a3ca1f6df8a
• 44259e4e7fa558cca2deab7c70ca09af9ad9294afc4cf127cb719adb1e579d7a
• 44626f8babfba5456b0548e277ff395a90483e869fb3bc04a43157d3064fce21
• 47902db37be9068b93769ab7a0420a3e058c1719c3b2c50ea5854ba0f06c4519
• 50183f261f0685c68b3a11c710b3505afa7a93a360437aeea0412adf73055eba
• 567bd084e869e6356933b273ece96d0df8561d08c6d5f8240ec87b3de237a9ea
• 57bc2541107091c2e0c8d00e636cf47fb9416ff5337a10cd7c4d81e7ad425008
• 5bd6a3adbb19992a21fa50fda23faa29e521a64d107b30cb270b866ded288c9e
• 6013bda31de1d7ecde15a6312832aa74f954687ebd9e26b339b0a7c5e4254136
• 6e111d4d857a03647ebb5247ac383b829e5203c98964ba83864b4cd19f9dec2f
• 73413fc93654bf5fee07694d6c95287fddf090626a347e39a9c70a12b9d8af8e
• 75f4f9356e0ccc4f5b5c61c93d8987754f0b2c7931ca4cae4420529ca55c8471
• 76c4fc582b87786d533f60a8ebba53a481b9439cbdf7562c9376eb918774f04a
• 9461a5f0ba048fe963f8ee232492ca97ae624ffac5b62ae98ae0c398feb26dea
• 95ba12441993dfaff6bdf552f9d645adddb2b7ea8135c7ac5b2a9dc210aaa479
• 96b5ad9e281e2cf284b0f7fdf4da890fe3e858580a41d4df5f5870ee02e8b491
• 9c0cbe48f001cf10f5b2015f56e3973d897fccb3ebb16aebc5979900fb1dfae2
• a61a686ab3a081d7361ea635395bdb520dfcd65611c494605b9ae0131cf5cd9d
• b5188e3757a267ecb276ac4ec9d01dab81d92db6660f271bb46e15690ed48bfb
• b82ca6450f9e7d8c4d7b5e009f8c22ef0856b3a625eb7eada8d78e065d7b4122
• be650ce6712eb2131d2e43f617c248e5dee341c9e2a8886f8fa315af000affab
• cb22c6df3615f539f8c2ea4e8f46eabcb0580988f402325a951dace87048de04
• d0a79f28baec2beaae749a8d64dcc4d1a79cde6982a72ede58945a843b563955
• d0f55440c9e699e016ca8d164ea89fbecaf35ac4b3be2b1398982fd17450248f
• d689b8d5aae80df6af055a5da8cb656ca16aa12e5ca006b6bec0e4bc3ec5836f
• d9ab6003ee34111a478df1e7d5bd7e5045f7ba88f7d377c4335a3b93a14a1cb0
• e278c53a40f3327ee09c4c4c0331c4e08a40c54ec6e2a19d9727add603c01003
• e7bfd7755359a3d506cb03e9200991f30dee09b455b2cdbb580ca86ba042abdd
• e9e9f8e30e77101e4dbbb5274f9346c3e90e5e4ee461313b76cea5b9b553844a
• ed88a00f5d37a340d2fe3e64f00cf870926a2cefa45b9e521f54d53f70d3916e
• f3d104774ba2672a5d5f284104bbd8098cc978e421ed5d07f26b1f21aafd9862
• f5293d8f974dbce3dd070b2d92cf717f108cf92d830c267dd9c3c214262d3991
• f5927413b58281ce40d1364efb671e47011b6b79dc5a6a26fbb051deb0675866