Троян Oscorp использует Android Accessibility для слежки и кражи паролей

Татьяна Никитина 29 Января 2021 - 15:56

Домашние пользователи

Умышленные утечки информации

Кража данных

...

Троян Oscorp использует Android Accessibility для слежки и кражи паролей

Новый Android-зловред пытается заставить жертву включить службы специальных возможностей (Accessibility Service), чтобы получить доступ к информации, отображаемой на экране. Дополнительные привилегии также позволяют ему вести запись при воспроизведении аудио- и видеоматериалов.

Эксперты итальянской Группы быстрого реагирования на киберинциденты (CERT-AGID) присвоили новобранцу кодовое имя Oscorp. Им удалось установить, что вредоносный APK-файл раздается под видом некой защитной программы из домена supportoapp[.]com.

При установке зловред запрашивает разрешения на доступ к службам Accessibility и статистике по использованию приложений. Получая отказ, он повторно открывает меню настроек, и делает это каждые восемь секунд до тех пор, пока не получит искомые привилегии.

Обосновавшись в системе, Oscorp собирает информацию о своем окружении (установленные приложения, модель устройства, оператор мобильной связи и т. п.) и подключается к C2-серверу для получения дополнительных команд.

Анализ показал, что новый троян способен регистрировать ввод с клавиатуры, инициировать телефонные вызовы и отправку SMS, удалять приложения, вести запись аудио и видео с использованием WebRTC, воровать текстовые сообщения, коды 2FA из Google Authenticator и криптовалюту — путем переадресации платежей, совершаемых через приложение Blockchain Wallet. Вредонос также умеет налагать фишинговый экран поверх окон некоторых приложений и перехватывать данные, вводимые в фальшивую форму.

Всю собранную информацию Oscorp отсылает на свой командный сервер.

Согласно VirusTotal, новоявленный зловред пока распознается как троян-дженерик — банкер или шпион.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Яков Шпунт 24 Марта 2026 - 09:02

Домашние пользователи Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Российские пользователи Telegram столкнулись с частым сбросом сессий

Пользователи Telegram в России начали сталкиваться с новой проблемой: мессенджер периодически перестаёт отправлять сообщения и требует повторной авторизации. Предположительно, причиной могут быть средства подмены сетевых адресов. Основной признак сбоя — системное уведомление об ошибке авторизации.

«Ошибка авторизации. Воспользуйтесь кнопкой “Выйти“, чтобы выйти из системы, а затем войдите снова, указав свой номер телефона. Приносим извинения за неудобства».

О появлении такой проблемы сообщил портал «Код Дурова». На данный момент известно уже о нескольких подобных случаях.

После появления ошибки отправка любых сообщений блокируется до тех пор, пока пользователь заново не войдёт в аккаунт. При этом, как отмечается, все столкнувшиеся со сбоем пользовались только официальными клиентами Telegram.

Наиболее вероятной причиной называют использование сервисов подмены сетевых адресов, причём IP-адреса в таких случаях могли часто меняться.

«Я включила VPN, как и обычно, а спустя пару минут после того, как писала сообщение, появилась плашка о сбое авторизации. Потом я хотела отправить это сообщение, но Telegram выдал ошибку. Пришлось выйти из аккаунта через настройки и повторно авторизоваться», — рассказала одна из пользователей, столкнувшихся с проблемой.

Официальных комментариев от администрации Telegram по поводу этой ситуации пока не поступало.

Роскомнадзор начал замедлять Telegram с 10 февраля. При этом пользователи массово не уходят с платформы, хотя часть аудитории всё же продолжает искать альтернативы — порой довольно экзотические.