ResidentBat: шпионское ПО белорусского КГБ таргетирует журналистов

Международная правозащитная организация «Репортёры без границ» (RSF, признана в России нежелательной организацией) совместно с аналитиками RESIDENT[.]NGO опубликовала результаты расследования о новой шпионской кампании, направленной против представителей гражданского общества в Беларуси. Обнаруженный вредоносный инструмент, получивший название ResidentBat, предположительно используется для скрытого наблюдения за владельцами Android-смартфонов. Эксперты с высокой степенью уверенности связывают эту кампанию с белорусским КГБ.

Описание

Поводом для расследования стал инцидент в третьем квартале 2025 года. Журналиста из Беларуси вызвали на допрос в местное управление КГБ. Во время беседы сотрудники несколько раз просили его разблокировать личный смартфон. По словам журналиста, офицер мог подсмотреть PIN-код. После этого устройство на некоторое время поместили в сейф. Впоследствии на телефоне появилось предупреждение о нежелательном приложении. Журналист удалил его и обратился за помощью к экспертам.

Специалисты RESIDENT.NGO и RSF Digital Security Lab провели цифровую экспертизу. Они обнаружили, что во время визита в КГБ на устройство были установлены два вредоносных приложения. Одно из них, замаскированное под Adobe Reader, оставалось активным. Этот сложный шпионский модуль аналитики и назвали ResidentBat. Вредоносная программа использовала нетипичный для подобных атак вектор заражения. Вместо удалённой эксплуатации уязвимостей злоумышленники получили физический доступ к устройству. Эксперты предполагают, что сотрудники КГБ, подсмотрев пароль, включили на телефоне режим разработчика и отладку по USB. Затем шпионское ПО было установлено вручную, вероятно, с помощью ПК и команд ADB.

ResidentBat обладает широким набором функций для тотальной слежки. Модульная архитектура превращает смартфон жертвы в полноценное устройство наблюдения. Зловредное ПО может получать доступ к SMS, истории звонков, внутреннему и внешнему хранилищу, камере и микрофону. Особую опасность представляет злоупотребление службой специальных возможностей Android (Accessibility Service). Эта функция позволяет вредоносной программе «читать» содержимое экрана. Следовательно, ResidentBat может перехватывать сообщения из популярных мессенджеров, включая Telegram, Signal и WhatsApp (последний принадлежит корпорации Meta, признанной в России экстремистской организацией). Таким образом, шпионское ПО обходит сквозное шифрование, фиксируя данные в момент их отображения пользователю. Кроме того, программа может отслеживать буфер обмена, браузерные закладки и даже удалённо выполнить сброс устройства к заводским настройкам для уничтожения следов.

Собранные данные передаются на командные серверы (C2). Передача может происходить немедленно или в фоновом режиме, например, ночью, когда телефон заряжается и подключен к Wi-Fi. Это зависит от конкретной конфигурации экземпляра программы. Анализ цифровых сертификатов и инфраструктуры указывает на то, что подобная активность велась как минимум с марта 2021 года. Следовательно, ResidentBat является частью долгосрочной кампании наблюдения, а не разовой операцией.

Эксперты подчёркивают, что стандартные антивирусные решения часто не справляются с обнаружением подобных целевых угроз. В описанном случае угрозу заметил встроенный механизм защиты Android уже после возврата устройства. Поэтому RSF и RESIDENT.NGO выпустили практические рекомендации для лиц, посещающих зоны повышенного риска, такие как отделения полиции или спецслужб. Во-первых, по возможности не следует брать с собой основное устройство. Лучше использовать временный телефон с минимальным набором данных. Во-вторых, критически важно использовать аппараты с актуальными обновлениями безопасности. Устаревшие операционные системы часто содержат известные уязвимости, которыми активно пользуются цифровые криминалистические инструменты. В-третьих, если устройство изымали из поля зрения даже на несколько минут, следует считать его скомпрометированным. Нельзя использовать его для конфиденциальной переписки до проведения профессиональной экспертизы или полного сброса.

Для пользователей Android исследователи также предложили ряд методов самостоятельной проверки. Стоит проверить, не отключён ли Google Play Protect без ведома владельца. Необходимо убедиться, что в настройках запрещена установка приложений из неизвестных источников. Также рекомендуется тщательно изучить список приложений, имеющих доступ к службе специальных возможностей, микрофону, камере и правам администратора устройства. Наличие там незнакомых или подозрительных программ может указывать на заражение. Однако авторы отчёта предупреждают, что эти проверки не дают стопроцентной гарантии. Сложное шпионское ПО умеет скрывать своё присутствие. При серьёзных подозрениях на компрометацию следует обращаться к профессиональным специалистам по цифровой криминалистике. Полная техническая детализация, включая индикаторы компрометации (IoC), доступна в официальном отчёте RSF.