Исследователи почти одновременно описали сразу несколько новых семейств вредоносных программ для Android, которые умеют красть данные, перехватывать платежи, подменять экраны банковских приложений и фактически брать смартфон под удалённый контроль.
В свежих отчётах фигурируют как минимум PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, Oblivion RAT и SURXRAT. Причём часть из них уже продаётся как готовый сервис для киберпреступников — почти по модели SaaS, только с совсем другой аудиторией.
Одна из самых заметных новинок — PixRevolution, Android-троян, нацеленный на платёжную систему Pix. По данным Zimperium, он не просто крадёт данные, а вмешивается в перевод в реальном времени: следит за экраном жертвы, ждёт момента отправки денег и подменяет ключ получателя на адрес злоумышленника.
Для пользователя всё выглядит почти буднично, приложение на секунду показывает что-то вроде «подождите», а потом сообщает, что перевод успешно завершён. Только деньги в итоге уходят совсем не туда.
Не менее любопытно выглядит BeatBanker, о котором мы рассказывали на днях. Этот зловред совмещает сразу две роли: банковский троян и скрытый майнер Monero. Его особенность — очень странный механизм живучести: троян крутит по кругу почти неслышимый аудиофайл, чтобы система не выгружала его процессы.
Параллельно он может подменять экраны Binance и Trust Wallet и незаметно менять адрес получателя при криптовалютных переводах. В более свежих вариантах кампании вместо банковского модуля уже используется BTMOB RAT, то есть история становится всё больше про полный удалённый контроль над смартфоном.
Есть и история с явным региональным акцентом: TaxiSpy RAT, который, по данным CYFIRMA и Zimperium, ориентирован в первую очередь на российские банковские приложения.
Он задействует Accessibility Services и MediaProjection API, собирает СМС, контакты, журналы звонков, буфер обмена, уведомления и даже нажатия клавиш, а поверх целевых приложений умеет показывать фальшивые формы для кражи учётных данных. Исследователи отдельно отмечают, что это уже не просто «банковский троян», а гибрид трояна и полноценного RAT с расширенными возможностями слежки и удалённого управления.
Параллельно на площадках дарквеба активно продвигаются и более «товарные» решения. Например, Mirax рекламируется как MaaS с наложением окон поверх банковских приложений, сбором СМС и клавиатурного ввода, а Oblivion RAT продаётся как подписка с обещаниями обхода защит на устройствах крупных производителей.
По описанию исследователей, особый интерес там вызывает автоматическая выдача разрешений почти без участия жертвы. Даже начинающий злоумышленник получает инструмент, который заметно упрощает атаку.
Отдельно выделяется SURXRAT, который распространяется через экосистему Telegram и уже экспериментирует с очень странными вещами — например, с условной загрузкой гигантского LLM-модуля объёмом более 23 ГБ из внешних репозиториев, включая Hugging Face.
Звучит почти абсурдно для мобильного зловреда, но исследователи считают, что это может быть либо попыткой замедлить устройство и замаскировать вредоносную активность под обычные лаги, либо ранними экспериментами с ИИ-функциями для социальной инженерии и автоматизации атак. У некоторых образцов SURXRAT также есть блокировщик дисплея.
