Новый троян "Citadel" создает собственную социальную сеть

Ксения Ренселаева 23 Января 2012 - 21:31

...

Специалисты в области информационной безопасности предупреждают о появлении новой модифицированной версии нашумевшего банковского трояна ZeuS. Помимо нового функционала, авторы ботнета предлагают поклонникам полнофункциональный двухсторонний сервис – т.н. "software-as-a-service", с помощью которого каждый сможет принять участие в разработке любого модуля или функции для любимого инструмента.

В описании нового трояна, получившего название Citadel, для всех пользователей вредоноса будет предложен полнофункциональный сервис - Citadel CRM Store. Он будет организован по принципу социальной сети, а доступ к нему можно получить через веб-портал, созданный самим же трояном.

С его помощью каждый член сообщества сможет принять участие в разработке нового функционала или приложения к ботнету, общаясь с разработчиками. Можно будет отправлять уведомления о найденных ошибках в службу технической поддержки, которая обещает незамедлительно предоставить ответ на запрос. Кроме того, участники могут комментировать и обсуждать новые идеи, что поможет в развитии продукта – и это далеко не все возможности.

По словам эксперта в области информационной безопасности и независимого журналиста Брайана Кребса, данный экземпляр трояна, активно рекламируется на закрытых форумах, где собираются поклонники ZeuS, и, судя по оптимистическим комментариям, это вполне может стать реальностью. "Если данный сервис получит популярность, то результатом активного взаимодействия потребителей и создателей может стать поистине инновационный продукт" - считает г-н Кребс.

Отдельно стоит сказать, что создатели добавили новый вредоносный функционал. Как заявляют разработчики, в Citadel исправлены все имеющиеся в ранних версиях ZeuS изъяны, включая модуль по сбору данных при работе в Google Chrome. Помимо этого они добавили возможность записи и передачи видео при активности пользователя-жертвы. И это еще не все. В случае если троян определит, что на атакованном компьютере используется клавиатура с русской или украинской раскладкой, он самостоятельно деактивируется. Это сделано для того, чтобы минимизировать риск для авторов быть обнаруженными.

По мнению Алексея Демина, управляющего корпоративными продажами G Data Software в России и СНГ, вряд ли кто-то будет спорить с тем, что идея "open-source" доказала свою состоятельность и право на жизнь. "Социальные сети и социальная кооперация, увы, объединяют, в том числе и преступников. Однако в таком объединении есть и слабые места: они более-менее открыты. Это значит, что антивирусные лаборатории тоже могут получить доступ к исходным кодам. Идут обычные цифровые войны и локальные конфликты. Использование соцсетей в этих войнах было вопросом времени. Что касается поддержки зловредов, то здесь тоже все логично: чем выше коммерческая составляющая любого дела, тем выше необходимость в сервисе. Все это обусловлено конкуренцией", - считает он.

" />

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 19 Февраля 2026 - 14:59

Android Трояны Домашние пользователи

Новый Android-троян Massiv маскируется под IPTV и крадёт деньги

Исследователи ThreatFabric рассказали о новом Android-трояне под названием Massiv, который используется для полного удалённого захвата устройства с последующим хищением денег. Зловред маскируется под безобидные IPTV-приложения. Схема простая: пользователю через СМС-фишинг предлагают установить приложение для онлайн-ТВ.

После запуска «плеер» просит поставить «важное обновление» и разрешить установку из сторонних источников. На деле вместе с этим на устройство попадает троян.

По данным ThreatFabric, Massiv уже замечен в ряде целевых кампаний. Несмотря на ограниченный масштаб, риск для пользователей мобильного банкинга серьёзный: операторы получают возможность полностью управлять заражённым смартфоном и проводить финансовые операции от имени жертвы.

Троян умеет многое: перехватывать СМС, записывать нажатия клавиш, транслировать экран через MediaProjection API, показывать фейковые оверлеи поверх банковских приложений и красть логины, пароли и данные карт.

В одном из случаев злоумышленники атаковали пользователей португальского госприложения gov.pt, связанного с цифровой идентификацией (Chave Móvel Digital). Поддельный экран запрашивал номер телефона и ПИН-код, вероятно, для обхода процедур KYC.

ThreatFabric зафиксировала случаи, когда на основе украденных данных мошенники открывали банковские счета на имя жертв — для отмывания денег или оформления кредитов без их ведома.

Massiv также работает как полноценный инструмент удалённого управления. Он может выводить чёрный экран поверх интерфейса, отключать звук и вибрацию, выполнять клики и свайпы, менять содержимое буфера обмена, скачивать и устанавливать APK-файлы, а также открывать настройки оптимизации аккумулятора и Play Protect, чтобы обойти защиту.

Если приложение защищено от записи экрана, троян использует так называемый «UI-tree mode». Он анализирует структуру интерфейса через Accessibility Services, формирует JSON-описание элементов экрана (текст, координаты, кликабельность) и передаёт данные оператору, который затем отдаёт команды для дальнейших действий.

Интересно, что реальные IPTV-приложения не заражены. Дроппер просто открывает WebView с настоящим IPTV-сайтом, создавая видимость работы сервиса, пока зловред уже активен в системе. Среди обнаруженных артефактов есть приложения с именами IPTV24 и даже «Google Play».

По оценке ThreatFabric, Massiv пока не продаётся официально, но признаки коммерциализации уже есть. В коде обнаружены API-ключи для взаимодействия с серверной частью. Это может говорить о планах по масштабированию.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!