Эксперты разобрали Android-шпион ResidentBat от КГБ Беларуси

Екатерина Быстрова 26 Февраля 2026 - 14:28

Домашние пользователи

...

Белорусский КГБ якобы использует собственный Android-шпион под названием ResidentBat, чтобы превращать изъятые смартфоны в постоянные средства слежки за журналистами и представителями гражданского общества. Теперь специалисты проанализировали работу упомянутого вредоноса.

В отличие от коммерческих шпионских программ, которые заражают устройства через уязвимости или фишинговые ссылки, ResidentBat устанавливается только при физическом доступе к телефону.

По данным исследователей, силовики включают режим отладки по USB, загружают APK через Android Debug Bridge (ADB), вручную выдают приложению расширенные разрешения и отключают Google Play Protect.

Такой подход ограничивает масштаб атак, но делает их точечными: в зоне риска журналисты, активисты и сотрудники НКО.

ResidentBat был впервые описан в декабре 2025 года в рамках совместного расследования RSF и RESIDENT.NGO. По оценке экспертов, инструмент используется как минимум с 2021 года, на что указывают анализ кода и временные метки старых образцов.

После установки зловред превращает смартфон в полноценную платформу для слежки. Он может собирать СМС, журналы звонков, записи с микрофона, скриншоты, содержимое мессенджеров и файлы, хранящиеся на устройстве. Управление осуществляется через серверы управления (C2): операторы отправляют команды, получают данные и обновляют конфигурацию.

Особенно опасной функцией является возможность удалённого сброса устройства к заводским настройкам через API DevicePolicyManager.wipeData. Это позволяет уничтожить данные или скрыть следы вмешательства.

Исследователи Censys описали характерные признаки сетевой инфраструктуры ResidentBat. Известные C2-серверы используют HTTPS на нестандартных портах (в диапазоне 7000–7257, иногда 4022), самоподписанные TLS-сертификаты с CN=server и повторяющиеся сетевые «отпечатки». По состоянию на февраль 2026 года было зафиксировано как минимум 10 связанных хостов: в Нидерландах, Германии, Швейцарии и России.

Поскольку заражение требует физического доступа, эксперты рекомендуют уделять особое внимание защите устройства: отключать USB-отладку, запрещать установку приложений из сторонних источников и использовать режим расширенной защиты Android (Advanced Protection Mode). Также стоит обращать внимание на подозрительные приложения с широкими системными правами и признаки отключения Google Play Protect.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 26 Февраля 2026 - 15:16

Android Трояны Домашние пользователи

Новый Android-троян Oblivion обходит защиту и 2FA, захватывает смартфон

На форумах даркнета появился новый Android-зловред под названием Oblivion, исследователи считают его одним из самых опасных RAT последнего времени. В отличие от множества «пересобранных» и сырых троянов, этот инструмент позиционируется как полностью новая разработка, которую тестировали несколько месяцев перед релизом.

Oblivion продаётся по подписке: $300 в месяц или до $2200 за пожизненный доступ. Исходный код покупателям не передают, авторы сохраняют контроль над инфраструктурой. Атакуются устройства на Android 8-16, то есть практически все актуальные девайсы.

Анализом занялись специалисты Certo. По их данным, зловред активно рекламируется на киберпреступном форуме, с видеодемонстрацией и подробным описанием функций. Причём для управления им не нужны глубокие технические знания — всё максимально автоматизировано.

В комплект входит веб-инструмент для сборки APK. Оператор может замаскировать вредоносное приложение под что угодно, например под «Google Services». Есть и так называемый билдер дроппера: он создаёт фальшивые всплывающие окна «обновления системы», которые почти не отличить от настоящих уведомлений Google Play.

Главная «фишка» Oblivion — автоматический обход разрешений. Троян способен самостоятельно активировать доступ к службе специальных возможностей (Accessibility Service), не требуя действий от пользователя. Именно через этот механизм большинство банковских зловредов получают полный контроль над устройством.

Oblivion умеет обходить защитные механизмы популярных оболочек: MIUI (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor), OxygenOS (OnePlus). На Android 15 и 16, как утверждается, он даже «глушит» системные диалоги разрешений.

Для управления используется VNC, но с расширением HVNC — «скрытым» режимом. Пользователь видит на экране фальшивое сообщение «System updating…», а в это время злоумышленник получает полноценный удалённый доступ.

Чтобы обойти защиту банковских и криптоприложений от скриншотов, используется отдельный модуль «Screen Reader», который считывает содержимое напрямую. Зловред собирает СМС, коды 2FA, уведомления, нажатия клавиш, список приложений и файлы. Более того, он может автоматически разблокировать устройство, используя перехваченные данные.

Удалить Oblivion тоже непросто: встроены механизмы защиты от деинсталляции и отзыва разрешений. Инфраструктура рассчитана более чем на 1000 одновременных сессий и использует сети вроде Tor.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!