Android-шпион SpyLoan пробрался из Google Play на 8 млн смартфонов
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Android-шпион SpyLoan пробрался из Google Play на 8 млн смартфонов

Екатерина Быстрова 02 Декабря 2024 - 08:52
...
Android-шпион SpyLoan пробрался из Google Play на 8 млн смартфонов

Новый набор из 15 Android-вредоносов семейства SpyLoan на днях всплыл в официальном магазине Google Play. В общей сложности эти приложения попали более чем на 8 миллионов смартфонов.

Новую активность трояна зафиксировали специалисты компании McAfee, также поспособствовавшие удалению SpyLoan из Play Store.

Интересно, что несмотря на все усилия правоохранительных органов, направленные на борьбу с операторами SpyLoan, вредонос продолжает проникать в официальный магазин приложений для Android. Например, ровно год назад мы сообщали, что SpyLoan скачали более 12 миллионов пользователей.

Попав на смартфон, зловред пытается вытащить данные владельца: список всех контактов, информацию о девайсе, журнал вызовов, установленные приложения, события в календаре, сведения о сети Wi-Fi и метаданные изображений.

Кроме того, SpyLoan может получать данные геолокации и читать текстовые сообщения. В McAfee также отметили возможность вредоноса извлекать информацию о девайсе, ОС и датчиках.

 

Если жертва попадётся на крючок и получит кредит с помощью одного из таких приложений, её ждут высокие проценты и регулярный шантаж со стороны операторов. Последние будут использовать украденные фото и видео, а в некоторых случаях даже звонить родственникам.

Из общего списка исследователи приводят восемь наиболее популярных приложений семейства SpyLoan:

  • Préstamo Seguro-Rápido, Seguro - 1 000 000 загрузок,
  • Préstamo Rápido-Credit Easy - 1 000 000 загрузок,
  • ได้บาทง่ายๆ-สินเชื่อด่วน - 1 000 000 загрузок,
  • RupiahKilat-Dana cair - 1 000 000 загрузок,
  • ยืมอย่างมีความสุข – เงินกู้ - 1 000 000 загрузок,
  • เงินมีความสุข – สินเชื่อด่วน - 1 000 000 загрузок,
  • KreditKu-Uang Online - 500 000 загрузок,
  • Dana Kilat-Pinjaman kecil - 500 000 загрузок.

Следующая главная новость »
AM LiveЧем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Новый стилер крадёт сессии Telegram без паролей и СМС-кодов
Екатерина Быстрова 24 Апреля 2026 - 14:07
Трояны Домашние пользователи
Новый стилер крадёт сессии Telegram без паролей и СМС-кодов

Исследователи обнаружили новый экспериментальный стилер, который охотится не за паролями и cookies браузера, а за сессиями десктопной версии Telegram. Инструмент прятался в PowerShell-скрипте на Pastebin под видом исправленного обновления Windows.

Зловред ещё явно находится на стадии тестирования, поэтому аналитикам удалось проанализировать его «черновик» с открытыми токенами Telegram-бота, идентификатором чата и следами отладки.

Скрипт использует жёстко заданные учётные данные Telegram-бота и отправляет украденные данные через Telegram Bot API. Бот при этом назывался afhbhfsdvfh_bot, а в его описании значится «Telegram attacker» — не самый тонкий подход к маскировке.

После запуска скрипт собирает базовую информацию о системе: имя пользователя, хост и публичный IP-адрес через api.ipify[.]org. Эти данные он добавляет в подпись к архиву, чтобы оператор сразу понимал, откуда пришла добыча.

Главная цель — папки tdata у Telegram Desktop и Telegram Desktop Beta в AppData. Именно там хранятся долгоживущие ключи аутентификации MTProto. Если злоумышленник получает к ним доступ, он может перехватить сессию Telegram без пароля и СМС-кода.

Если такие папки находятся, скрипт завершает процесс Telegram.exe, чтобы снять блокировку файлов, упаковывает найденные данные в архив diag.zip во временной директории и отправляет его через метод sendDocument Telegram Bot API. Если основной способ отправки ломается, предусмотрен резервный вариант через WebClient: подпись с метаданными может потеряться, но сам архив всё равно уйдёт атакующему.

 

Исследователи нашли две версии скрипта. Первая содержала ошибку в механизме загрузки, а вторая уже корректно формировала запрос и добавляла базовую обработку ошибок. Кроме того, если Telegram на машине не найден, вторая версия всё равно отправляет уведомление оператору, фактически превращая каждый запуск в проверку доступности цели.

Признаков массового распространения пока не видно. Скрипт не обфусцирован, не содержит механизма закрепления в системе и не имеет полноценной схемы доставки. Более того, телеметрия по раскрытому токену не показала реальных отправок архивов diag.zip в период наблюдения. Всё это похоже скорее на лабораторные испытания, чем на активную кампанию.

AM LiveЧем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!
Фалькон Тех перенесла видеоаналитику для Москвы в VK Cloud
Новость
Фалькон Тех перенесла видеоаналитику для Москвы в VK Cloud
Фейковая «проверка Google» превращает браузер в прокси хакеров
Новость
Фейковая «проверка Google» превращает браузер в прокси хакер...
Иск против Google из-за Gemini: чат-бот поддержал бред и довёл до суицида
Новость
Иск против Google из-за Gemini: чат-бот поддержал бред и дов...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.