Новая фотогалерея для Android крадёт СМС и коды из банковских сообщений

Екатерина Быстрова 10 Марта 2026 - 13:48

...

Новая фотогалерея для Android крадёт СМС и коды из банковских сообщений

Эксперты компании «Перспективный мониторинг» (входит в ГК «ИнфоТеКС») сообщили об обнаружении нового APK-файла семейства Pulsar SMS Stealer. По их данным, вредоносное приложение распространяется под видом фотогалереи с названием «Фотографии_2920» и на 10 марта 2026 года не детектируется антивирусами.

Злоумышленники рассылают APK-файл через мессенджеры, опираясь на социальную инженерию. Дальше всё строится на доверии и невнимательности пользователя.

Вместо безобидного приложения с фотографиями человек получает троян, задача которого — перехватывать СМС-сообщения, а вместе с ними и OTP/2FA-коды, чтобы потом использовать их для кражи доступа и финансового мошенничества. Такой тип мобильных атак давно считается опасным именно из-за охоты за одноразовыми кодами.

По описанию исследователей, приложение только притворяется фотогалереей, а на деле запрашивает опасные разрешения. Речь идёт о доступе к перехвату, чтению, отправке и удалению СМС, чтению IMEI, номера телефона и данных об операторе, получению номеров двух сим-карт, автозапуске после перезагрузки, постоянной фоновой работе и полной выгрузке архива СМС на командный сервер (C2).

Технически образец тоже оказался не самым примитивным. По данным «Перспективного мониторинга», APK использует многоступенчатую архитектуру: внешний classes.dex содержит сильно обфусцированный загрузчик, который извлекает и подгружает скрытую DEX-нагрузку из assets/NwyavbTt.csz через инъекцию ClassLoader.

Уже на втором этапе находится основная логика: связь с C2, перехват СМС, снятие цифрового отпечатка устройства и механизмы закрепления. Отдельно специалисты отмечают и серьёзную маскировку сетевого трафика.

В опубликованных материалах говорится, что heartbeat-пакеты передают на сервер полный статус устройства — от состояния экрана и уровня заряда до наличия СМС-разрешений, режима Doze и параметров оптимизации батареи. Также была показана конфигурация bootstrap, где эндпоинт /m/{build_id} возвращает настройки в PEM-подобной структуре, зашифрованной AES-256-GCM.

Старший специалист по исследованию киберугроз компании «Перспективный мониторинг» Александр Рудзик отметил, что маскировку зловредов под приложения, связанные с медиафайлами, уже можно считать устоявшейся схемой. Ранее, по его словам, подобный подход фиксировался у семейства Mamont, но в этот раз образец оказался новым именно с технической точки зрения: обнаружение и анализ усложнялись многоступенчатой обфускацией и комплексной маскировкой трафика.

Кроме того, отсутствие этого файла на общедоступных платформах, по оценке исследователей, может говорить о том, что вредоносная кампания только начинает разворачиваться против физических лиц в России.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Июня 2026 - 11:08

iOS Домашние пользователи Корпорации Apple

Из App Store пропали Дзен, VK Video и другие приложения VK

Из российского App Store пропала часть приложений холдинга VK. Как сообщает РБК, сейчас пользователи не могут скачать «Дзен», VK Video, VK Мессенджер, VK Музыку и VK Знакомства. При этом основные социальные сети компании пока остаются доступны.

Приложения «ВКонтакте» и «Одноклассники» по-прежнему можно найти и установить через App Store.

Что стало причиной исчезновения сервисов, пока неизвестно. На момент публикации ни Apple, ни VK официальных комментариев не дали.

Пока также неясно, идет ли речь о временном сбое, технических работах, удалении приложений из российского App Store или о каких-либо других причинах.

Для пользователей, у которых приложения уже установлены на iPhone, ситуация пока не означает автоматическое прекращение их работы. Однако скачать удалённые приложения заново или установить их на новое устройство сейчас невозможно.

Это уже не первый случай, когда приложения российских компаний исчезают из App Store. Ранее Apple неоднократно удаляла из российского каталога банковские приложения, VPN-клиенты и другие сервисы, после чего часть из них возвращалась под новыми названиями или в изменённом виде.

Остаётся ждать официальных разъяснений от Apple или VK, которые должны прояснить, что именно произошло с приложениями.

Update:

Пресс-служба VK предоставила официальный комментарий:

«VK никогда не находилась под санкциями и не фигурировала в санкционных списках, что подтверждают многочисленные заключения международных и американских юристов. Официальные заключения юристов и вся необходимая информация давно находится в распоряжении Apple.

Тем не менее, Apple без предупреждений в одностороннем порядке удалила приложения VK. Своими действиями Apple ограничивает российских пользователей в доступе к востребованным сервисам, которыми ежедневно пользуются десятки миллионов: соцсетям, мессенджерам, видеоплатформам, электронной почте и образовательным продуктам. Действия Apple приведут к тому, что пользователи не будут получать пуш-уведомления о сообщениях и важных событиях. Считаем данные действия Apple по отношению к российским пользователям ничем не мотивированными и неприемлемыми.

VK продолжает работать в интересах пользователей и предпринимает все необходимые действия для обеспечения комфортного и безопасного доступа к продуктам и сервисам. Все приложения VK, которые были ранее установлены на смартфонах и устройствах Apple, продолжат работать.

Приложения VK для пользователей Android доступны в полном объеме, включая обновления, уведомления и другие функции, — в RuStore, Google Play, Huawei AppGallery, Samsung Store, Xiaomi Store и на официальных сайтах продуктов».

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!