Минцифры будет собирать данные о фишинге и утечках из Twitter и Telegram

Минцифры будет собирать данные о фишинге и утечках из Twitter и Telegram

Минцифры будет собирать данные о фишинге и утечках из Twitter и Telegram

Подведомственный Минцифры НИИ «Интеграл» провел аукцион с целью заключить контракт на доработку и модернизацию системы мониторинга фишинговых сайтов и сливе ПДн в интернет. Исполнитель уже определен — единственная заявка поступила от ООО «Рубитех» и она соответствует выдвинутым требованиям.

Тендер был объявлен 29 ноября. Стартовая цена закупки — около 170,7 млн руб., срок окончания работ — 30 сентября 2023 года. Согласно ТЗ, поставщик должен создать несколько новых компонентов ИС и усовершенствовать существующие.

Созданная с инициативы Минцифры система мониторинга фишинговых сайтов и утечки персональных данных собирает, обрабатывает и хранит сведения о такой активности. В задачи ИС также входит обеспечение взаимодействия заинтересованных сторон.

Согласно условиям контракта, для повышения производительности поиска и выявления признаков фишинга должна быть обеспечена возможность подключения новых источников данных. В частности, предполагается расширить список открытых источников до 260 позиций, куда должны в обязательном порядке войти публикации IoC (индикаторов компрометации) в Twitter, репозитории GitHub, Telegram-каналы и публичные анонимайзеры (прокси-сервисы, VPN, Tor).

Фильтрация подозрительных доменов должна осуществляться по следующим признакам:

  • все русскоязычные ресурсы вне зависимости от доменной зоны верхнего уровня;
  • все ресурсы в зонах ответственности (ru, su, рф, рус, москва, дети и т. п.) вне зависимости от языка содержимого сайта;
  • все ресурсы, размещенные на территории РФ вне зависимости от языка сайта и TLD-зоны.

Обновление данных должно осуществляться раз в сутки, при этом количество вновь выявленных фишинговых сайтов и утечек ПДн должны быть не менее 5% от общего количества за предыдущие сутки.

Совершенствование компонента взаимодействия предполагает разработку форматов данных, протоколов и регламентов обмена между ИС и смежными системами. Модуль также должен обеспечивать ведение журналов учета запросов и ответов.

Для подсистемы личных кабинетов планируется разработать справочники инцидентов и нормативно-правовых актов, касающихся фишинга. Предполагается также доработать пользовательский интерфейс ИС и компонент визуализации и отчетности.

Новые разработки в рамках данного контракта:

  • компонент личного кабинета оператора (ЛКО) «Инкубатор» с такими возможностями, как ведение списка ресурсов для мониторинга, определение состояния ресурса по изменению хеш-суммы, сравнение скриншотов страниц старой и новой версий, информирование об изменениях;
  • компонент формирования электронной подписи для обмена информацией об инцидентах через подсистему личных кабинетов с помощью веб-плагинов;
  • компонент анализа графических образов, с возможностью распознавание текста на изображениях;
  • компонент семантического анализа текстов, размещенных на веб-страницах, с возможностью выявления каналов распространения и первоисточников противоправного и опасного контента, а также оперативного редактирования базы знаний.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru