В августе 2025 года в Австралии были зафиксированы многочисленные случаи мошенничества, связанные с сообществами в Facebook*, предлагающими туристические программы для активных пенсионеров. Исследователи ThreatFabric проанализировали эту кампанию и обнаружили новое вредоносное программное обеспечение для Android - троянец Datzbro, обладающий функциями удаленного контроля устройства. Особую озабоченность вызывает то, что исходный код и панель управления злоумышленников были утечканы в открытый доступ, что делает угрозу глобальной.
Описание
Кампания по распространению вредоносного программного обеспечения отличалась точным целеполаганием - мошенники создавали в Facebook* сообщества для пожилых людей, предлагающие участие в групповых поездках, танцевальных мероприятиях и других социальных активностях. Исследователи выявили множество групп, наполненных контентом, созданным при помощи искусственного интеллекта, которые ориентировались не только на австралийских пользователей, но и на жителей Сингапура, Малайзии, Канады, Южной Африки и Великобритании. Несмотря на искусственное происхождение, публикации вызывали активный отклик у целевой аудитории.
После установления контакта злоумышленники через Messenger или WhatsApp предлагали жертвам перейти по ссылке для скачивания приложения, необходимого для регистрации на мероприятия. В некоторых случаях также требовалась оплата регистрационного взноса через фишинговые страницы. На поддельных сайтах размещалась кнопка загрузки приложения для Google Play, которая инициировала установку вредоносного APK-файла. Для обхода ограничений Android 13+ в некоторых случаях использовался дроппер Zombinder.
Троянец Datzbro демонстрирует широкий набор функций, характерных скорее для шпионского программного обеспечения: запись звука, захват изображения с камеры, доступ к файлам и фотографиям. Однако его возможности позволяют осуществлять финансовое мошенничество через удаленное управление, атаки с использованием черного наложения экрана и кейлоггинг. Особую опасность представляют функции кражи паролей, нацеленные на такие приложения, как Alipay и WeChat, а также на PIN-коды устройств.
Удаленное управление реализовано через службы доступности Android. Операторы могут запускать и останавливать трансляцию экрана, управлять устройством, включать черное наложение с произвольным текстом, блокировать и разблокировать экран. Режим схематического удаленного контроля позволяет злоумышленникам воссоздавать интерфейс устройства на своей стороне и эффективно взаимодействовать с ним даже при низком качестве видео или активном черном наложении.
Черное наложение экрана - современный тренд среди вредоносных программ - используется для сокрытия действий злоумышленника от жертвы. Текст наложения можно кастомизировать, а его прозрачность регулировать, при этом для оператора интерфейс остается частично прозрачным для удобства управления.
Анализ исходного кода показал наличие многочисленных отладочных строк на китайском языке, что указывает на происхождение разработчиков угрозы. Исследователи также обнаружили скомпилированную версию панели управления командного центра, которая представляет собой десктопное приложение на китайском языке, в отличие от веб-панелей, характерных для других троянцев. Утечка этой панели и конструктора вредоносного программного обеспечения в публичный доступ позволяет предположить, что Datzbro теперь свободно распространяется среди киберпреступников по всему миру.
Обнаружение Datzbro подчеркивает эволюцию мобильных угроз, использующих методы социальной инженерии. Используя интерес пожилых людей к социальной активности, злоумышленники получают возможность захватывать контроль над устройствами, похищать учетные данные и совершать финансовое мошенничество. Сочетание функций шпионского программного обеспечения и банковского троянца, использование контента, созданного искусственным интеллектом, и продвинутых технических приемов демонстрирует растущую изощренность мобильных мошеннических кампаний. Повышение осведомленности среди уязвимых групп населения, особенно пожилых пользователей, становится критически важным в условиях стирания границ между социальными scams и сложными мобильными вредоносными программами.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
SHA256
- 453b0a62e414e9b40185c63842546fc96e8e1ab3f77d3230b02988dd8834c555
- a57d70b2873d9a3672eda76733c5b2fb96dca502958064fab742cfc074bf0feb
- ed2313bfebe03ff29a7c802ddd471583cc8da76bf5cb9f418ae7d999d6a0b9fb
- fac119c569ba7dd19df9154f22f928cf3f0b0165bbe7d6b11a77215bdfc2a11a
