Новый облик Zanubis: Android-троян притворяется банком и ставит ловушки

Екатерина Быстрова 29 Мая 2025 - 08:58

...

Новый облик Zanubis: Android-троян притворяется банком и ставит ловушки

Помните троян Zanubis, который появился в 2022 году и тогда казался «очередной малварью для Android»? Сейчас он выглядит совсем иначе. За последние три года он превратился в одну из самых сложных угроз для клиентов банков.

Впервые Zanubis появился на радарах в августе 2022 года. Тогда он маскировался под безобидное Android-приложение (например, PDF-читалку), крал банковские логины через поддельные окна входа и отслеживал активные приложения.

Всё это — благодаря доступу к специальным возможностям операционной системы (Accessibility Settings). Простой, но эффективный способ незаметно украсть данные.

Версия 2023: серьёзный апгрейд

В 2023 году злоумышленники вывели Zanubis на новый уровень. Он начал притворяться официальным приложением перуанской налоговой службы, использовал обфусцированный код (через Obfuscapk), маскировался ещё хитрее и подсовывал пользователю фейковые инструкции «как включить нужные разрешения». На деле — просто давал себе все права.

Помимо кражи логинов, троян умеет:

перехватывать СМС (включая коды 2FA),
записывать экран,
блокировать попытки отключить себя,
и даже симулировать обновление Android, чтобы заблокировать пользователя и делать что хочет в фоне.

Версия 2024: ещё глубже в тень

Весной 2024 года появились новые версии с шифрованием строк (AES + PBKDF2), чтобы затруднить анализ кода. Каналы связи с C2-сервером тоже стали зашифрованными. Добавилась функция кражи ПИН-кодов, паролей и графических ключей — троян отслеживал ввод на экране и передавал данные на сервер.

Список целей расширился: теперь в него входили криптокошельки и виртуальные карты.

Кампания 2025 года: акцент на банки и скрытая установка

В начале 2025 года, по данным специалистов «Лаборатории Касперского», Zanubis начал распространяться под видом приложений энергетической компании и банка. Приманки выглядели как счета и инструкции якобы от сотрудников банка.

Главное нововведение — установка в фоновом режиме без уведомлений. Пользователь видит логотип и сообщение «идёт проверка», а в это время троян сам себя устанавливает.

Кроме того, разработчики сузили круг целей. Из списка убрали криптосервисы, оставив только банки и финансовые учреждения — то есть наиболее «доходную» аудиторию.

Кто за этим стоит

Все признаки указывают на то, что группа разработчиков находится в Перу. Локализованный испанский, ориентация на местные учреждения, заражения в регионе — всё говорит об этом. Это локальная, но хорошо организованная кампания.

Что делать

Zanubis — пример того, как быстро может развиваться мобильная угроза. Он продолжает обновляться, менять маскировку и распространяться новыми способами. Чтобы не попасть в ловушку:

не давайте подозрительным приложениям доступ к сервисам доступности,
не устанавливайте APK-файлы из мессенджеров и писем,
проверяйте, действительно ли перед вами официальное приложение.

Zanubis — не мимолётный эксперимент, а активная и развивающаяся угроза. Игнорировать её уже нельзя. Kaspersky приводит список индикаторов компрометации (IoC) свежей версии трояна:

81f91f201d861e4da765bae8e708c0d0
 fd43666006938b7c77b990b2b4531b9a
 8949f492001bb0ca9212f85953a6dcda
 45d07497ac7fe550b8b394978652caa9
 03c1e2d713c480ec7dc39f9c4fad39ec
 660d4eeb022ee1de93b157e2aa8fe1dc
 8820ab362b7bae6610363d6657c9f788
 323d97c876f173628442ff4d1aaa8c98
 b3f0223e99b7b66a71c2e9b3a0574b12
 7ae448b067d652f800b0e36b1edea69f
 0a922d6347087f3317900628f191d069
 0ac15547240ca763a884e15ad3759cf1
 1b9c49e531f2ad7b54d40395252cbc20
 216edf4fc0e7a40279e79ff4a5faf4f6
 5c11e88d1b68a84675af001fd4360068
 628b27234e68d44e01ea7a93a39f2ad3
 687fdfa9417cfac88b314deb421cd436
 6b0d14fb1ddd04ac26fb201651eb5070
 79e96f11974f0cd6f5de0e7c7392b679
 84bc219286283ca41b7d229f83fd6fdc
 90221365f08640ddcab86a9cd38173ce
 90279863b305ef951ab344af5246b766
 93553897e9e898c0c1e30838325ecfbd
 940f3a03661682097a4e7a7990490f61
 97003f4dcf81273ae882b6cd1f2839ef
 a28d13c6661ca852893b5f2e6a068b55
 b33f1a3c8e245f4ffc269e22919d5f76
 bcbfec6f1da388ca05ec3be2349f47c7
 e9b0bae8a8724a78d57bec24796320c0
 fa2b090426691e08b18917d3bbaf87ce

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 10:22

Windows Эксплойты Уязвимости программ Уязвимость нулевого дня Домашние пользователи Корпорации Microsoft

Февральские патчи Microsoft устранили 6 уже используемых уязвимостей

Microsoft выпустила февральский пакет патчей. В рамках этого Patch Tuesday разработчики закрыли 58 уязвимостей, включая шесть активно эксплуатируемых 0-day и ещё три публично раскрытых дыры. Пять уязвимостей получили статус критических.

Среди исправленных проблем — 25 возможностей повышения привилегий, 12 проблем удалённого выполнения кода, а также ошибки обхода защитных механизмов, раскрытия информации, отказа в обслуживании и подмены (спуфинг).

Наиболее серьёзная часть обновления — шесть уязвимостей нулевого дня, которые уже использовались злоумышленниками. Три из них были также публично раскрыты до выхода исправлений.

Среди наиболее опасных:

CVE-2026-21510 — обход защитных механизмов Windows Shell. Эксплуатация возможна через специально подготовленную ссылку или файл-ярлык. Уязвимость позволяет обойти SmartScreen и системные предупреждения, потенциально отключая механизм Mark of the Web.
CVE-2026-21513 — обход защиты в MSHTML Framework. Деталей атаки Microsoft не раскрывает, но уязвимость позволяла обойти встроенные механизмы безопасности.
CVE-2026-21514 — обход защит в Microsoft Word. Для эксплуатации нужно убедить пользователя открыть вредоносный файл Office. Ошибка позволяла обходить OLE-митигирующие механизмы в Microsoft 365 и Office.
CVE-2026-21519 — повышение привилегий в Desktop Window Manager. Успешная эксплуатация давала атакующему права SYSTEM.
CVE-2026-21525 — отказ в обслуживании в Windows Remote Access Connection Manager. Эксплойт ранее был обнаружен специалистами ACROS Security.
CVE-2026-21533 — повышение привилегий в службах Remote Desktop. По данным CrowdStrike, эксплойт позволял модифицировать конфигурацию службы и добавлять нового пользователя в группу администраторов.

Microsoft не уточняет, использовались ли отдельные уязвимости в рамках одной кампании.

Обновление Secure Boot

Помимо устранения уязвимостей, Microsoft начала развёртывание новых сертификатов Secure Boot взамен сертификатов 2011 года, срок действия которых истекает летом 2026 года. Распространение будет поэтапным: устройства получат обновлённые сертификаты только после подтверждения стабильной установки обновлений.

Февральский пакет стал одним из наиболее заметных в этом году именно из-за количества активно эксплуатируемых 0-day — шесть одновременно закрытых «живых» уязвимостей встречаются не так часто. Полный список пропатченных дыр приводим ниже:

Затронутый компонент	CVE-идентификатор	CVE-наименование	Степень риска
.NET	CVE-2026-21218	.NET Spoofing Vulnerability	Важная
Azure Arc	CVE-2026-24302	Azure Arc Elevation of Privilege Vulnerability	Критическая
Azure Compute Gallery	CVE-2026-23655	Microsoft ACI Confidential Containers Information Disclosure Vulnerability	Критическая
Azure Compute Gallery	CVE-2026-21522	Microsoft ACI Confidential Containers Elevation of Privilege Vulnerability	Критическая
Azure DevOps Server	CVE-2026-21512	Azure DevOps Server Cross-Site Scripting Vulnerability	Важная
Azure Front Door (AFD)	CVE-2026-24300	Azure Front Door Elevation of Privilege Vulnerability	Критическая
Azure Function	CVE-2026-21532	Azure Function Information Disclosure Vulnerability	Критическая
Azure HDInsights	CVE-2026-21529	Azure HDInsight Spoofing Vulnerability	Важная
Azure IoT SDK	CVE-2026-21528	Azure IoT Explorer Information Disclosure Vulnerability	Важная
Azure Local	CVE-2026-21228	Azure Local Remote Code Execution Vulnerability	Важная
Azure SDK	CVE-2026-21531	Azure SDK for Python Remote Code Execution Vulnerability	Важная
Desktop Window Manager	CVE-2026-21519	Desktop Window Manager Elevation of Privilege Vulnerability	Важная
Github Copilot	CVE-2026-21516	GitHub Copilot for Jetbrains Remote Code Execution Vulnerability	Важная
GitHub Copilot and Visual Studio	CVE-2026-21523	GitHub Copilot and Visual Studio Code Remote Code Execution Vulnerability	Важная
GitHub Copilot and Visual Studio	CVE-2026-21256	GitHub Copilot and Visual Studio Remote Code Execution Vulnerability	Важная
GitHub Copilot and Visual Studio	CVE-2026-21257	GitHub Copilot and Visual Studio Elevation of Privilege Vulnerability	Важная
GitHub Copilot and Visual Studio Code	CVE-2026-21518	GitHub Copilot and Visual Studio Code Security Feature Bypass Vulnerability	Важная
Mailslot File System	CVE-2026-21253	Mailslot File System Elevation of Privilege Vulnerability	Важная
Microsoft Defender for Linux	CVE-2026-21537	Microsoft Defender for Endpoint Linux Extension Remote Code Execution Vulnerability	Важная
Microsoft Edge (Chromium-based)	CVE-2026-1861	Chromium: CVE-2026-1861 Heap buffer overflow in libvpx	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2026-1862	Chromium: CVE-2026-1862 Type Confusion in V8	Неизвестно
Microsoft Edge for Android	CVE-2026-0391	Microsoft Edge (Chromium-based) for Android Spoofing Vulnerability	Средняя
Microsoft Exchange Server	CVE-2026-21527	Microsoft Exchange Server Spoofing Vulnerability	Важная
Microsoft Graphics Component	CVE-2026-21246	Windows Graphics Component Elevation of Privilege Vulnerability	Важная
Microsoft Graphics Component	CVE-2026-21235	Windows Graphics Component Elevation of Privilege Vulnerability	Важная
Microsoft Office Excel	CVE-2026-21261	Microsoft Excel Information Disclosure Vulnerability	Важная
Microsoft Office Excel	CVE-2026-21258	Microsoft Excel Information Disclosure Vulnerability	Важная
Microsoft Office Excel	CVE-2026-21259	Microsoft Excel Elevation of Privilege Vulnerability	Важная
Microsoft Office Outlook	CVE-2026-21260	Microsoft Outlook Spoofing Vulnerability	Важная
Microsoft Office Outlook	CVE-2026-21511	Microsoft Outlook Spoofing Vulnerability	Важная
Microsoft Office Word	CVE-2026-21514	Microsoft Word Security Feature Bypass Vulnerability	Важная
MSHTML Framework	CVE-2026-21513	MSHTML Framework Security Feature Bypass Vulnerability	Важная
Power BI	CVE-2026-21229	Power BI Remote Code Execution Vulnerability	Важная
Role: Windows Hyper-V	CVE-2026-21244	Windows Hyper-V Remote Code Execution Vulnerability	Важная
Role: Windows Hyper-V	CVE-2026-21255	Windows Hyper-V Security Feature Bypass Vulnerability	Важная
Role: Windows Hyper-V	CVE-2026-21248	Windows Hyper-V Remote Code Execution Vulnerability	Важная
Role: Windows Hyper-V	CVE-2026-21247	Windows Hyper-V Remote Code Execution Vulnerability	Важная
Windows Ancillary Function Driver for WinSock	CVE-2026-21236	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Важная
Windows Ancillary Function Driver for WinSock	CVE-2026-21241	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Важная
Windows Ancillary Function Driver for WinSock	CVE-2026-21238	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Важная
Windows App for Mac	CVE-2026-21517	Windows App for Mac Installer Elevation of Privilege Vulnerability	Важная
Windows Cluster Client Failover	CVE-2026-21251	Cluster Client Failover (CCF) Elevation of Privilege Vulnerability	Важная
Windows Connected Devices Platform Service	CVE-2026-21234	Windows Connected Devices Platform Service Elevation of Privilege Vulnerability	Важная
Windows GDI+	CVE-2026-20846	GDI+ Denial of Service Vulnerability	Важная
Windows HTTP.sys	CVE-2026-21240	Windows HTTP.sys Elevation of Privilege Vulnerability	Важная
Windows HTTP.sys	CVE-2026-21250	Windows HTTP.sys Elevation of Privilege Vulnerability	Важная
Windows HTTP.sys	CVE-2026-21232	Windows HTTP.sys Elevation of Privilege Vulnerability	Важная
Windows Kernel	CVE-2026-21231	Windows Kernel Elevation of Privilege Vulnerability	Важная
Windows Kernel	CVE-2026-21222	Windows Kernel Information Disclosure Vulnerability	Важная
Windows Kernel	CVE-2026-21239	Windows Kernel Elevation of Privilege Vulnerability	Важная
Windows Kernel	CVE-2026-21245	Windows Kernel Elevation of Privilege Vulnerability	Важная
Windows LDAP - Lightweight Directory Access Protocol	CVE-2026-21243	Windows Lightweight Directory Access Protocol (LDAP) Denial of Service Vulnerability	Важная
Windows Notepad App	CVE-2026-20841	Windows Notepad App Remote Code Execution Vulnerability	Важная
Windows NTLM	CVE-2026-21249	Windows NTLM Spoofing Vulnerability	Важная
Windows Remote Access Connection Manager	CVE-2026-21525	Windows Remote Access Connection Manager Denial of Service Vulnerability	Средняя
Windows Remote Desktop	CVE-2026-21533	Windows Remote Desktop Services Elevation of Privilege Vulnerability	Важная
Windows Shell	CVE-2026-21510	Windows Shell Security Feature Bypass Vulnerability	Важная
Windows Storage	CVE-2026-21508	Windows Storage Elevation of Privilege Vulnerability	Важная
Windows Subsystem for Linux	CVE-2026-21237	Windows Subsystem for Linux Elevation of Privilege Vulnerability	Важная
Windows Subsystem for Linux	CVE-2026-21242	Windows Subsystem for Linux Elevation of Privilege Vulnerability	Важная
Windows Win32K - GRFX	CVE-2023-2804	Red Hat, Inc. CVE-2023-2804: Heap Based Overflow libjpeg-turbo	Важная