Шпионское ПО воссоздает пароли по изображению или отражению

Шпионское ПО воссоздает пароли по изображению или отражению

Когда кто-либо печатает текстовые сообщения, электронные письма или вводит регистрационные данные на виртуальной клавиатуре устройств iPhone или Android, на экране в небольших блоках появляются те символы, которые набираются в данный момент.



Эта функция, несомненно, помогает тем пользователям, которые испытывают проблемы при расшифровке маленьких букв на клавиатуре; но она может быть использована и для слежения за активностью пользователя.

Когда в телефон вводится конфиденциальная информация, наиболее параноидальные из нас тайком оглядываются, чтобы убедиться, что никто не может прочитать то, что они печатают. Но, согласно команде исследователей из Университета Северной Каролины в Чапел-Хилл, этого может быть недостаточно для защиты от шпионов.

Для того, чтобы доказать свою позицию, они разработали программу iSpy, которая может определить текст, который был введен пользователем, с помощью анализа видео, на котором запечатлен процесс ввода данных. И что хуже всего, программа может даже извлечь определенную информацию с экрана по принципу отражения в окне или в чьих-то очках, передает xakep.ru.

Для того, чтобы осуществить все это, шпиону не нужны телескопические линзы или профессиональное оборудование – камеры смартфона вполне хватит.

"Для осуществления процесса записи видео мы используем некоторые техники компьютерного зрения, определяя, в каждом кадре какие кнопки нажимаются в данный момент", - объяснили исследователи. "Такой визуальный детектор, вместе с языковой моделью, позволяет нам получать на удивление точные результаты".

Согласно New Scientist, шпион должен стоять достаточно близко к тому человеку, за которым установлена слежка, для того, чтобы снять на камеру процесс ввода данных – расстояние в три метра от цели достаточно, если нет прямого доступа к съемке экрана. Если этот процесс снимается на однообъективную зеркальную камеру, расстояние может увеличиться и до 60 метров от цели. В идеале, больше 90% букв будут идентифицированы правильно.

Этот процент уменьшается, когда шпион снимает лишь отражение, потому что изображение экрана меньше. Но с помощью однообъективной зеркальной камеры могут получиться неплохие результаты с расстояния в 12 метров.

Но можно и предотвратить подобного рода атаки. К примеру, вы можете отключить механизм визуализации набора или уменьшить яркость экрана.

"Сама возможность воссоздания текста, набранного на виртуальной клавиатуре с помощью отражений, дает повод задуматься над тем, что необходимо переосмыслить наше представление о приватности в современном обществе", - эту мысль пытаются донести до нас исследователи. "Шифрование и устройства безопасности бесполезны, если ваш сосед, якобы проверяющий почту с помощью смартфона, на самом деле снимает на видео то, что вы печатаете".

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru