В сфере мобильных угроз появился высокотехнологичный вредонос, сочетающий в себе функции банковского троянца и удалённого доступа. Он демонстрирует целенаправленный интерес к пользователям российских финансовых сервисов, используя сложные методы маскировки и контроля, что представляет серьёзную угрозу для конфиденциальности и средств граждан. Этот троянец способен не только перехватывать одноразовые пароли и данные банковских приложений, но и в реальном времени передавать злоумышленнику полный контроль над устройством, имитируя работу VNC-клиента.
Описание
Анализ показывает, что вредонос запрашивает чрезвычайно широкий набор разрешений, что сразу должно насторожить пользователя. Среди них - доступ к SMS, журналу вызовов, контактам, возможность отображения поверх других окон, автозапуск при загрузке и обход оптимизации батареи. Однако ключевой тактикой является попытка стать приложением для SMS по умолчанию. В случае успеха Android автоматически предоставляет множество других критически важных разрешений, что даёт троянцу полный контроль над текстовыми сообщениями, включая перехват кодов подтверждения (OTP) для двухфакторной аутентификации.
Техническая изощрённость угрозы проявляется в многослойной системе сокрытия. Критическая логика, включая адреса командного сервера и данные для работы с облачным сервисом Firebase, вынесена в нативную библиотеку "sysruntime.so". Эта библиотека скомпилирована для различных архитектур процессоров, что обеспечивает широкий охват устройств. Важные строки внутри неё зашифрованы с помощью кастомной XOR-рутины с использованием скользящего ключа и нелинейного доступа к памяти, что значительно затрудняет статический анализ. Исследователям пришлось восстановить полную карту памяти секции ".rodata" для корректного воспроизведения алгоритма дешифровки. В результате был раскрыт IP-адрес управляющего сервера - 193.233.112[.]229, а также ключи API для Firebase, как сообщили аналитики.
Функционал сбора данных у троянца исчерпывающий. Он систематически выгружает на сервер злоумышленника SMS, историю звонков, контакты, содержимое буфера обмена, список установленных приложений и уведомления. Особое внимание уделяется банковским приложениям: троянец содержит зашифрованный список из 33 пакетов российских банков, 14 маркетплейсов, 9 государственных сервисов и 6 криптовалютных кошельков. Эти строки дешифруются на лету для идентификации целевых программ на устройстве жертвы. Более того, используя службы специальных возможностей (Accessibility Service) и API MediaProjection, вредонос организует VNC-подобный удалённый доступ через WebSocket, позволяя оператору в реальном времени видеть экран устройства и взаимодействовать с ним, что особенно опасно при вводе платёжных реквизитов.
Закрепление в системе (persistence) реализовано с избыточностью, характерной для продвинутых угроз. Троянец активируется при загрузке, поддерживает постоянную фоновую службу, использует триггеры вроде разблокировки экрана или подключения к сети, планирует точные будильники (exact alarms) и активно злоупотребляет сервисом специальных возможностей для самозащиты и восстановления активности. Он также скрывает свой значок из меню приложений, заменяя категорию LAUNCHER на INFO, что делает его невидимым для неискушённого пользователя.
Все эти признаки указывают на финансовую мотивацию группировки, создавшей троянец, и её чёткую ориентацию на русскоязычный сегмент. Использование домена taxi.ru в WebView, целевой список приложений и, вероятно, каналы распространения через переупакованные популярные программы накладываются на локализованную социальную инженерию. Наличие поля «worker key» в коде может свидетельствовать о работе по модели Malware-as-a-Service, когда одна инфраструктура используется несколькими партнёрами (аффилиатами) для отслеживания своих жертв.
Для специалистов по информационной безопасности и обычных пользователей этот случай служит очередным напоминанием о критической важности проверки источника устанавливаемых приложений и внимательного изучения запрашиваемых разрешений. Ни одно легитимное приложение не должно требовать полного доступа к SMS и контактам для своей основной функции, а также пытаться стать системным обработчиком сообщений. Организациям стоит усилить мониторинг сетевой активности на предмет соединений с подозрительными IP-адресами, а также рассмотреть внедрение решений класса EDR (Endpoint Detection and Response) для мобильных устройств, способных детектировать аномальное поведение, такое как создание скриншотов через MediaProjection или фоновую передачу больших объёмов пользовательских данных. Бдительность и соблюдение базовых правил кибергигиены остаются наиболее эффективной защитой от даже самых технически продвинутых угроз.
Индикаторы компрометации
IPv4
- 193.233.112.229
SHA256
- 67d5d8283346f850eb560f10424ea5a9ccdca5e6769fbbbf659a3e308987cafd
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | rule TaxiSpy_Android_Banking_RAT { meta: author = “Cyfirma_Research” description = “Detects TaxiSpy Android Banking RAT targeting Russian users” date = “2026-03-02” platform = “Android” hash = “67d5d8283346f850eb560f10424ea5a9ccdca5e6769fbbbf659a3e308987cafd” strings: $apk_package = “ru.y34tuy.t8595” ascii $c2_ip = “193.233.112.229” ascii $worker_key = “9bc096a5f4ec7ba133d743cbaf4b8a2e” ascii $firebase_xor = { 3A 7F B2 1D E9 54 C8 6B } $c2_xor = { B2 1F CC E3 6A 7E 71 F4 0A C0 1D 78 7B 4B 1B 15 2A 2F 24 20 33 1C } condition: uint32(0) == 0x504B0304 and // APK ZIP magic any of ($apk_package, $c2_ip, $worker_key) or any of ($firebase_xor, $c2_xor) } |
