Android-троян Godfather наплодил почти 1200 двойников в 57 странах

Татьяна Никитина 27 Апреля 2024 - 08:50

...

Android-троян Godfather наплодил почти 1200 двойников в 57 странах

Операторы MaaS-сервисов (Malware-as-a-Service, вредонос как услуга) активно множат количество образцов троянов для Android, чтобы повысить процент заражений. В 2023 году в Zimperium зарегистрировали 1171 клон банкера Godfather, и это не предел.

Семплы мало чем отличаются друг от друга и, по всей видимости, генерируются автоматизированными средствами (с помощью скриптов или ИИ-помощников). Однако даже незначительные перемены способны ввести в заблуждение антивирус, который к тому же, по данным аналитиков, установлен лишь у четверти пользователей мобильных устройств.

Объявившийся пару лет назад Godfather умеет вести запись экрана, регистрировать нажатия клавиш, перехватывать звонки и СМС второго этапа аутентификации, инициировать банковские переводы. В конце прошлого года список его целей включал 237 банковских приложений, используемых в 57 странах, а украденную трояном информацию аффилиаты MaaS-сервиса выводили в девять стран — в основном европейских и в США.

В ходе интервью Dark Reading руководитель исследовательских работ Zimperium Нико Кьяравильо (Nico Chiaraviglio) рассказал, что в 2022 году им не удалось собрать и десятка образцов Godfather. Когда операторы MaaS-сервиса начали применять полиморфизм, чтобы помочь клиентам повысить эффективность атак, число таких находок возросло в сто раз.

Их примеру последовали создатели других известных банкеров для Android, но в меньших масштабах. В результате количество семплов Nexus в коллекции экспертов увеличилось до 498, Saderat — до 300, PixPirate — до 123. Кьяравильо также отслеживает еще одно плодовитое семейство, пока безымянное; его численность уже превысила 100 тысяч.

Типовой антивирусный сканер, по словам эксперта, не способен справиться с таким количеством зловредных родственников, обладающих уникальными сигнатурами. Здесь нужны адаптивные решения, работающие по правилам корреляции, или поведенческий анализ — лучше с привлечением ИИ.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 08:59

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Блокировка по фингерпринту: почему у россиян снова посыпались Xray, REALITY

В сообществе пользователей VPN вновь неспокойно. В начале июня многие россияне столкнулись с массовыми сбоями в работе популярных решений на базе Xray, VLESS и REALITY. Автор под ником hyperion_cs провёл на Хабре собственное исследование и заявил, что обнаружил новый алгоритм ограничений, который применяется как мобильными, так и домашними провайдерами.

По его версии, проблема связана не с блокировкой конкретных серверов или IP-адресов.

Гораздо интереснее другое: система анализирует параметры TLS-соединений, включая SNI, сетевую принадлежность сервера и так называемый фингерпринт клиента — набор признаков, по которым можно определить, под какой браузер маскируется соединение.

Как утверждает исследователь, под особое внимание попадают подключения к серверам в определённых подсетях и автономных системах. Причём речь идёт не только о зарубежных площадках, но и о крупных российских инфраструктурных провайдерах, включая Selectel, Яндекс Облако и Cloud.ru.

Согласно опубликованному анализу, если система фиксирует несколько параллельных TLS-подключений к одному ресурсу за короткий промежуток времени, соединения могут быть принудительно заморожены на две минуты. Если после этого клиент меняет свой сетевой отпечаток, срок ограничения якобы увеличивается уже до десяти минут.

Автор исследования отмечает, что такой подход напоминает известную среди специалистов сибирскую блокировку, но с более жёсткими параметрами и расширенным охватом.

Особое беспокойство вызывает то, что под ограничения потенциально могут попадать не только инструменты обхода блокировок, но и вполне легитимные веб-сайты, размещённые в российских дата-центрах. По мнению исследователя, это может негативно сказываться на доступности обычных интернет-ресурсов.

Для проверки своей гипотезы автор использовал инструмент dpi-ch из проекта dpi-checkers. По его словам, результаты тестирования показывают, что ограничения затрагивают часть популярных российских инфраструктурных площадок, а для зарубежных операторов по-прежнему применяются дополнительные механизмы фильтрации трафика.

Следует отметить, что опубликованное исследование представляет собой независимый технический анализ. Официальных комментариев со стороны операторов связи или регулирующих органов по поводу описанного механизма на момент публикации не поступало.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!