Android-троян Arsink прячется в облаках Google и заражает тысячи устройств

Екатерина Быстрова 02 Февраля 2026 - 13:42

...

Android-троян Arsink прячется в облаках Google и заражает тысячи устройств

Исследователи обнаружили масштабную кампанию с использованием нового Android-трояна Arsink, открывающего удалённый доступ к девайсу жертвы. Вредонос не просто ворует данные, а фактически отдаёт заражённое устройство под полный контроль злоумышленников. При этом он умело прячется за легитимными сервисами Google и популярными мессенджерами.

По данным аналитиков, Arsink активно использует доверенную облачную инфраструктуру для управления и вывода данных.

В одних сборках вредонос загружает фото, аудио и другие крупные файлы через Google Apps Script прямо в Google Drive. В других — опирается на Firebase Realtime Database и Firebase Storage, иногда дополняя схему телеграм-ботами для быстрой эксфильтрации. Такой подход позволяет маскировать C2-трафик под обычную работу облачных сервисов.

Масштабы кампании впечатляют. За время наблюдений специалисты зафиксировали 1 216 уникальных APK-хешей, что говорит о постоянной пересборке вредоносных приложений и высокой «текучке» версий. Из них 774 образца содержали логику загрузки данных через Google Apps Script, а всего было обнаружено 317 уникальных Firebase-ендпоинтов, использовавшихся как C2 или хранилища. Анализ инфраструктуры позволил восстановить около 45 тыс. уникальных IP-адресов жертв.

Распространяется Arsink в основном через социальную инженерию. Вредоносные APK распространяют в телеграм-каналах, Discord-сообществах и через прямые ссылки на файлообменники вроде MediaFire. В качестве приманки используются поддельные версии приложений более чем 50 известных брендов — от Google, YouTube и WhatsApp до Instagram, Facebook (WhatsApp, Instagram, Facebook принадлежат корпорации Meta, признанной экстремисткой и запрещённой в России) и TikTok.

Чаще всего это версии «mod», «pro» или «premium», которые обещают расширенные функции, но на деле почти не имеют полезной функциональности.

После установки такие приложения быстро запрашивают опасные разрешения и практически незаметно уходят работать в фоне. Исследователи выделили несколько операционных вариантов Arsink: версии с Firebase и Apps Script, варианты с прямой отправкой данных в Telegram, а также дропперы, которые извлекают вторичный APK прямо из ресурсов приложения.

Возможности трояна весьма широки. Он собирает идентификаторы устройства, внешний IP-адрес, приблизительное местоположение, адреса Google-аккаунтов, СМС-сообщения, журналы вызовов и контакты. Помимо этого Arsink может записывать звук с микрофона, перечислять фото и файлы во внешнем хранилище, управлять файлами, инициировать звонки, включать фонарик, вибрацию, выводить сообщения и даже стирать данные на карте памяти.

В Google подчеркнули, что известные версии Arsink не распространяются через Google Play, а Play Protect может блокировать подозрительные приложения, включая установленные из сторонних источников.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 29 Июня 2026 - 12:33

Android Трояны Домашние пользователи

Android-троян Rokarolla маскируется под Google Play Protect

Пока пользователи думают, что устанавливают защиту, мошенники устанавливают троян. Исследователи обнаружили новый Android-вредонос Rokarolla, который распространяется через поддельные сайты, маскируясь под Google Play Protect, Google Chrome, TikTok и другие популярные приложения.

На первый взгляд схема банальна — жертву уговаривают скачать APK с фейкового сайта.

После установки Rokarolla просит предоставить права Accessibility Service, доступ к СМС, уведомлениям и другим важным функциям. Если пользователь соглашается, смартфон фактически переходит под управление злоумышленников.

По данным исследователей, троян нацелен как минимум на 217 банковских и криптовалютных приложений. При запуске одного из них вредонос показывает фальшивую страницу входа, практически неотличимую от настоящей. Все введенные логины, пароли и платежные данные сразу отправляются на серверы операторов.

Но этим возможности Rokarolla не ограничиваются. Он умеет перехватывать СМС с одноразовыми кодами, отправлять сообщения от имени пользователя, блокировать телефонные звонки, подменять содержимое буфера обмена — например, криптокошельки, — а также вести кейлоггинг, делать скриншоты, извлекать текст с экрана и даже собирать контакты WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России).

Для управления заражённым устройством используется развитая инфраструктура командных серверов. Исследователи насчитали не менее 137 удалённых команд, позволяющих обновлять настройки атаки, запускать новые фишинговые страницы, управлять устройством и собирать данные.

Чтобы оставаться незаметным, Rokarolla пытается отключить Google Play Protect, скрывает свой значок, подавляет уведомления и использует обманные оверлеи, мешающие пользователю заметить подозрительную активность.

Эксперты отмечают, что современные банковские трояны постепенно превращаются в универсальные платформы для цифрового мошенничества. Лучшей защитой по-прежнему остается отказ от установки приложений из сторонних источников, использование только Google Play, включенный Play Protect и максимально осторожное отношение к запросам на выдачу прав Accessibility.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!