Новый Android-шпион GhostSpy крадёт данные и блокирует удаление
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Новый Android-шпион GhostSpy крадёт данные и блокирует удаление

Екатерина Быстрова 27 Мая 2025 - 08:59
...
Новый Android-шпион GhostSpy крадёт данные и блокирует удаление

Исследователи из CYFIRMA выявили нового, крайне продвинутого трояна для Android — GhostSpy. Это не просто опасное приложение, а полноценный шпионский комбайн, способный следить за пользователем, красть данные и полностью управлять устройством.

Как работает заражение

Атака начинается с вредоносного APK-файла, который маскируется под обычное приложение.

После запуска GhostSpy использует Android Accessibility Services и UI-автоматизацию, чтобы выдать себе все нужные разрешения. То есть никакого участия пользователя не требуется.

Что умеет GhostSpy

После установки троян превращается в мощный инструмент тотального контроля:

  • фиксирует всё, что набирается на клавиатуре, включая пароли и переписки;
  • записывает экран, даже если приложение защищает контент от скриншотов;
  • получает доступ к камере и микрофону;
  • отслеживает геолокацию в реальном времени;
  • может удалённо стереть данные или выполнять любые команды по запросу.

 

Почему удалить его почти невозможно

GhostSpy прописывается в администраторы устройства, использует подмену экранов, чтобы блокировать доступ к настройкам, и даже показывает фейковое предупреждение при попытке удаления — будто бы все данные будут потеряны. Без специальных знаний или инструментов избавиться от него практически невозможно.

Обходит защиту банковских приложений

Самое тревожное — троян обходит защиту от записи экрана, которая есть в банковских и других защищённых приложениях. GhostSpy анализирует интерфейс, «прощупывает» элементы на экране и восстанавливает то, что обычный скриншот не покажет. Так он крадёт ПИН-коды, данные карт и даже коды из приложений для двухфакторной аутентификации.

Кто за этим стоит

По данным CYFIRMA, за GhostSpy стоит бразильская группа. Это подтверждается Telegram-каналом @brazillionspy, YouTube-каналом с инструкциями по использованию трояна и фрагментами сообщений на португальском языке с бразильским телефонным кодом.

Как защититься

GhostSpy невозможно удалить стандартными средствами. Требуется ADB или специализированные инструменты. Поэтому лучший способ защиты — не допустить установки. Несколько рекомендаций:

  • не устанавливайте APK из неизвестных источников;
  • не выдавайте приложениям доступ к функциям для людей с ограниченными возможностями без крайней необходимости;
  • регулярно проверяйте, какие приложения обладают правами администратора.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники интегрировали ботов и платежные системы
Яков Шпунт 06 Октября 2025 - 13:20
Социальная инженерияМошенничествоОнлайн-мошенничество Домашние пользователи
Мошенники интегрировали ботов и платежные системы

Злоумышленники всё чаще используют интеграцию платёжных систем и телеграм-ботов в преступных целях. Это позволяет им упрощать создание форм для приёма платежей, генерации платёжных страниц и одноразовых кодов.

Как сообщили в пресс-службе МВД в ответ на запрос ТАСС, интерес мошенников к телеграм-ботам связан с простотой их создания и высокой популярностью самой платформы. Эти инструменты применяются в различных схемах, основанных на манипулятивных технологиях и социальной инженерии.

«Чаще всего используются функции, позволяющие принимать и обрабатывать сообщения по заданному алгоритму, интегрироваться с платёжными системами для получения денежных средств, а также создавать формы для ввода данных и одноразовых кодов», — отметили в МВД.

Первый фишинговый тулкит для создания вредоносных страниц появился ещё в 2023 году. Однако изначально его авторы нацеливались на пользователей из Европы.

В июле было выявлено как минимум шесть преступных группировок, специализировавшихся на криптоскаме. Они использовали телеграм-ботов для имитации интерфейсов трейдинговых платформ. По данным следствия, участники этих группировок похитили свыше 40 млн рублей.

В тот же период «Лаборатория Касперского» раскрыла ещё одну схему мошенничества — с поддельными маркетплейсами. Злоумышленники организовали фальшивую лотерею, участникам которой предлагалось оплатить доставку «выигрыша». Приём оплаты также осуществлялся через телеграм-ботов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
ИИ используют только 37% промпредприятий — лидирует автопром
Новость
ИИ используют только 37% промпредприятий — лидирует автопром
Arch Linux удалил три пакета из AUR, распространявших троян CHAOS
Новость
Arch Linux удалил три пакета из AUR, распространявших троян...
На PSD 2025 представят обновлённую киберплатформу Standoff 365
Новость
На PSD 2025 представят обновлённую киберплатформу Standoff 3...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.