Android-вредоносы, содержащие скрытый модуль, установили 4,6 млн людей

Екатерина Быстрова 20 Декабря 2019 - 17:51

...

Android-вредоносы, содержащие скрытый модуль, установили 4,6 млн людей

Команда исследователей White Ops Threat Intelligence предупреждает о сотне Android-приложений, размещённых в официальном магазине Google Play Store. Эти программы, в которые внедрен вредоносный модуль, уже скачали более 4,6 миллионов пользователей.

В отчёте White Ops Threat Intelligence эксперты называют злонамеренный модуль «Soraka». Именно его код отвечает за отображение навязчивых рекламных объявлений.

Более того, Soraka может маскировать причину появления рекламы. Это затрудняет поиск и удаление виновника для среднестатистического пользователя.

«Сокрытие вредоносной активности — важная деталь. Злоумышленники в современных условиях действуют гораздо умнее, они стараются усложнить процесс анализа их деятельности», — объясняют специалисты.

Также команду White Ops Threat Intelligence беспокоит постоянное проникновение адваре в Google Play Store. Несмотря на все принятые меры, в официальный магазин регулярно попадают злонамеренные приложения.

Разработчики Soraka, судя по всему, сконцентрировались на сокрытии активности вредоносного модуля. Первостепенная задача в их глазах — избежать детектирования и анализа со стороны исследователей.

Эксперты White Ops также привели список приложений, содержащих Soraka:

com.cute.love.test.android
com.daily.wonderfull.moment
com.dailycostmaster.android
com.dangerous.writing.note
com.data.securite.data
com.days.daysmatter365.android
com.days.remind.calendar
com.detector.noise.tool
com.dodge.emoji.game
com.dog.bark.picture.puzzle
com.drink.water.remind.you
com.ezzz.fan.sleep.noise
com.fake.call.girlfriend.prank2019
com.fakecaller.android
com.fake.caller.plus
com.false.location
com.fancy.lovetest.android
com.fast.code.scanner.nmd
com.filemanagerkilopro.android
com.filemanagerupro.android
com.filemanageryo.android
com.filemanagerzeropro.android
com.find.difference.detective.little
com.find.you.lover.test
com.frame.easy.phone
com.frank.video.call.lite
com.free.code.scanner.nmd
com.free.lucky.prediction.test
com.funny.lie.truth.detector
com.funny.word.game.english
com.game.color.hunter
com.ice.survival.berg
com.idays.dayscounter.android
com.important.days.matter
com.instanomo.android
com.isleep.cycleclock.android
com.led.color.light.rolling
com.lite.fake.gps.location
com.lovetest.plus.android
com.love.yourself.women
com.lucky.charm.text
com.lucky.destiny.teller
com.magnifying.glass.tool
com.math.braingame.puzzle.riddle
com.math.iq.puzzle.riddle.braingame
com.math.puzzles.riddle.braingame
com.multiple.scanner.plus.nmd
com.my.big.days.counter
com.my.constellation.love.work
com.my.pocker.mobile.mirror
com.nanny.tool.data
com.nice.mobile.mirror.hd
com.nomophotoeditor.android
com.non.stop.writing
com.phone.lite.frame
com.phone.mirror.pro
com.pocker.pro.mobile.mirror
com.prank.call.fake.ring
com.phonecallmaker.android
com.pro.test.noise
com.puzzle.cute.dog.android
com.scan.code.tool
com.simple.days.counter
com.sleep.comfortable.sounds
com.sleep.in.rain
com.sleepassistantool.android
com.sleeptimer.android
com.smart.scanner.master.nmd
com.test.find.your.love
com.test.fortune.tester
com.test.lover.match
com.tiny.scanner.tool.nmd
com.wmmaster.android
com.word.fun.level.english
good.lucky.is.coming.hh
mobi.clock.android
my.lucky.goddness.today.test
newest.android.fake.location.changer
nmd.andriod.better.calculator.plus
nmd.andriod.mobile.calculator.master
nmd.android.best.fortune.explorer
nmd.android.better.fortune.signs
nmd.android.clam.white.noise
nmd.android.fake.incoming.call
nmd.android.good.luck.everyday
nmd.android.location.faker.master
nmd.android.multiple.fortune.test
nmd.android.scanner.master.plus
nmd.android.test.what.suitable
photo.editor.pro.magic
pic.art.photo.studio.picture
relax.ezzz.sleep.cradle
super.lucky.magican.newest
test.you.romantic.quize
well.sleep.guard.relax
your.best.lucky.master.test.new
com.ssdk.test
bedtime.reminder.lite.sleep
com.frank.video.call.lite.pro.prank
com.personal.fortune.text
com.daily.best.suit.you
com.false.call.trick
magicball.funnyapp.useful.crystal
yourdestinypredict.yourlifetest.amazingma gic

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Екатерина Быстрова 10 Января 2026 - 20:29

macOS Трояны GenAI (генеративный искусственный интеллект) Домашние пользователи

Для macOS появился первый зловред, написанный с помощью ИИ

Специалисты Mosyle обнаружили необычную и довольно тревожную вредоносную кампанию под macOS. И дело тут не только в том, что речь снова идёт о криптомайнере. По данным исследователей, это первый зафиксированный в «дикой природе» macOS-зловред, в коде которого явно прослеживаются следы генеративного ИИ.

На момент обнаружения вредонос не детектировался ни одним крупным антивирусным движком, что само по себе уже неприятно.

И это особенно интересно на фоне предупреждений Moonlock Lab годичной давности — тогда исследователи писали, что на подпольных форумах активно обсуждают использование LLM для написания macOS-зловредов. Теперь это перестало быть теорией.

Кампанию назвали SimpleStealth. Распространяется она через фейковый сайт, маскирующийся под популярное ИИ-приложение Grok. Злоумышленники зарегистрировали домен-двойник и предлагают скачать «официальный» установщик для macOS.

После запуска пользователь действительно видит полноценное приложение, которое выглядит и ведёт себя как настоящий Grok. Это классический приём: фейковая оболочка отвлекает внимание, пока вредонос спокойно работает в фоне и остаётся незамеченным как можно дольше.

При первом запуске SimpleStealth аккуратно обходит защитные функции системы. Приложение просит ввести пароль администратора — якобы для завершения настройки. На самом деле это позволяет снять карантинные ограничения macOS и подготовить запуск основной нагрузки.

С точки зрения пользователя всё выглядит нормально: интерфейс показывает привычный ИИ-контент, ничего подозрительного не происходит.

А внутри — криптомайнер Monero (XMR), который позиционируется как «конфиденциальный и неотслеживаемый». Он работает максимально осторожно:

запускается только если macOS-устройство бездействует больше минуты;
мгновенно останавливается при движении мыши или вводе с клавиатуры;
маскируется под системные процессы вроде kernel_task и launchd.

В итоге пользователь может долго не замечать ни повышенной нагрузки, ни утечки ресурсов.

Самая интересная деталь — код зловреда. По данным Mosyle, он буквально кричит о своём ИИ-происхождении: чрезмерно подробные комментарии, повторяющаяся логика, смесь английского и португальского — всё это типичные признаки генерации с помощью LLM.

Именно этот момент делает историю особенно тревожной. ИИ резко снижает порог входа для киберпреступников. Если раньше создание подобного зловреда требовало серьёзной квалификации, теперь достаточно интернета и правильно сформулированных запросов.

Рекомендация здесь стара как мир, но по-прежнему актуальна: не устанавливайте приложения с сомнительных сайтов. Загружайте софт только из App Store или с официальных страниц разработчиков, которым вы действительно доверяете.

Индикаторы компрометации приводим ниже:

Семейство вредоносов: SimpleStealth

Имя распространяемого файла: Grok.dmg

Целевая система: macOS

Связанный домен: xaillc[.]com

Адрес кошелька:

4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3

Хеши SHA-256:

553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (Grok wrapper)
2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)

Android-вредоносы, содержащие скрытый модуль, установили 4,6 млн людей

Читайте также