В сфере цифровой безопасности на первый план всё чаще выходят не массовые, а целенаправленные угрозы, где качество поражения важнее количества. Яркий пример - инструмент под названием ResidentBat. Этот вредоносный комплекс был создан для таргетированной слежки за журналистами и активистами. В отличие от большинства мобильных угроз, распространяющихся через фишинговые ссылки или взломанные магазины приложений, ResidentBat требует так называемого «ручного» внедрения. Это принципиально меняет модель угрозы и методы защиты от неё.
Описание
Факты и контекст операции
Первые следы разработки вредоноса, по данным анализа кодовой базы, относятся к 2021 году. Его уникальность заключается в модели распространения, которая исключает массовое заражение. Для установки резидентной программы-шпиона злоумышленнику необходим физический доступ к целевому устройству на Android. Далее используется отладка через ADB (стандартный инструмент разработчика) для установки вредоносного APK-файла. Оператор вручную отключает защиту Google Play Protect и выдаёт приложению все необходимые разрешения. Такая тактика делает внедрение возможным, например, при задержании, на границе или через компрометацию цепочки поставок самих устройств. Центр управления используется не для распространения, а исключительно для приёма похищенных данных, отправки команд, обновлений конфигурации и удалённого управления.
Технические возможности и методы работы
После успешной установки ResidentBat предоставляет своим операторам широкий спектр шпионских возможностей. Вредоносная программа может перехватывать SMS-сообщения и историю звонков, получать доступ к данным из зашифрованных мессенджеров, осуществлять запись с микрофона и захват экрана в реальном времени или по требованию. Кроме того, она способна извлекать любые файлы с устройства, выполнять удалённые команды и даже полностью стирать данные (функция wipeData) по сигналу с сервера. Конфигурация доставляется в формате JSON и включает параметры, такие как адрес сервера, периодичность выгрузки данных и флаг немедленной отправки информации.
Инфраструктура и возможности обнаружения
Сетевые серверы управления ResidentBat обладают рядом характерных признаков, позволяющих обнаруживать их на уровне интернета. Они работают по протоколу HTTPS (TLS) на портах в диапазоне 7000-7257, а также иногда на порту 4022. Ключевой маркер - использование самоподписанных TLS-сертификатов с общим именем (Common Name, CN) «server» и сроком действия обычно три года. Ещё один уникальный идентификатор - SHA-256 хэш баннера (banner_hash), который остаётся постоянным. Серверы активно замаскированы: на любой HTTP-запрос они возвращают ответ «200 OK» с пустым телом, что затрудняет их обнаружение через анализ веб-трафика. Для аутентификации, вероятно, используется клиентский сертификат, встроенный в APK, и белый список разрешённых устройств на стороне сервера.
Любопытно, что одни и те же самоподписанные сертификаты часто используются на нескольких разных серверах, что позволяет специалистам по безопасности кластеризовать связанную инфраструктуру. По данным платформы Censys на февраль 2026 года, активные хосты ResidentBat обнаруживались в Нидерландах, Германии, Швейцарии и России, преимущественно на платформах виртуальных хостингов (VPS).
Последствия и практические рекомендации по защите
ResidentBat представляет собой комплексную угрозу, сочетающую в себе тотальный перехват коммуникаций и полный контроль над устройством. Для целевых групп - журналистов, правозащитников, политических активистов - последствия компрометации могут быть катастрофическими: от утечки конфиденциальных источников и личных данных до физической опасности. Поскольку ключевым вектором атаки является физический доступ, меры защиты должны быть сосредоточены на этом этапе.
- Для пользователей из групп риска критически важно полностью отключать режим отладки по USB (ADB) в настройках разработчика Android, когда он не нужен для рабочих задач.
- Следует избегать установки приложений из неизвестных источников. Наиболее эффективной мерой может стать активация режима повышенной защиты Android (Advanced Protection), который, среди прочего, блокирует установку APK-файлов не из официального магазина Google Play. Регулярная проверка списка выданных разрешений приложениям и состояния Google Play Protect также может помочь выявить несанкционированные изменения.
С точки зрения сетевой безопасности, организациям и интернет-провайдерам рекомендуется настраивать системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS) на детектирование исходящих TLS-соединений к серверам с самоподписанными сертификатами CN=server на нестандартных портах (7000-7257, 4022). Использование платформ для киберразведки, таких как Censys, позволяет проактивно выявлять и добавлять в чёрные списки IP-адреса и отпечатки сертификатов, связанные с угрозой ResidentBat. Постоянный мониторинг сетевого трафика на предмет этих индикаторов компрометации (IoC) - необходимая практика для защиты корпоративных и персональных устройств в условиях современных целевых кибератак.
Индикаторы компрометации
Cert subject dn
- CN=server
Banner hash SHA256
- 6f6676d369e99d61ce152e1e2b2eb6f5e26a4331f4008b5d6fe567edefdbeaca"