Новый Android-шпион KidsProtect маскируется под родительский контроль

Екатерина Быстрова 04 Мая 2026 - 08:41

Домашние пользователи

...

Исследователи из Certo обнаружили новую шпионскую платформу для Android под названием KidsProtect. Формально она маскируется под приложение для родительского контроля, но на деле предлагает набор функций, куда больше похожий на инструмент для скрытой слежки.

Главная особенность KidsProtect не только в возможностях слежки, а в бизнес-модели.

Создатели предлагают покупателям подписку и опцию White label: сервис можно переименовать, оформить под собственный бренд и перепродавать как свой продукт. По сути, речь идёт о шпионском софте под ключ для тех, кто хочет запустить собственный сервис без серьёзных технических усилий.

После установки KidsProtect работает скрытно в фоне и управляется через веб-панель. Оператор может отслеживать GPS-локацию целевого устройства в реальном времени, читать СМС и уведомления из мессенджеров, включая WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), Telegram и Viber, записывать звонки, включать микрофон для прямой трансляции звука, получать доступ к камерам, контактам, фотографиям и другим данным. Также заявлены кейлоггер и мониторинг экрана.

Для закрепления на устройстве приложение использует разрешения, включая Accessibility Service (специальные возможности Android). Эта функция изначально создана для помощи людям с ограниченными возможностями, но в руках шпионского приложения позволяет читать содержимое экрана, отслеживать действия пользователя и перехватывать вводимые данные.

KidsProtect также старается усложнить удаление. Приложение маскируется под «WiFi Service», регистрируется как администратор устройства, запускается после перезагрузки и всячески препятствует деинсталляции. Пользователям при установке предлагают отключить Google Play Protect, что само по себе должно быть тревожным сигналом.

Стоимость доступа начинается примерно с 60 долларов, а за дополнительную плату покупатель может получить возможность создать собственный шпионский сервис.

По мнению исследователей, такая модель особенно опасна для рынка сталкерского софта. Даже если отдельные сервисы закрываются после судебных решений или давления регуляторов, платформы вроде KidsProtect позволяют быстро запускать новые проекты на той же технической базе.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Мая 2026 - 09:00

Linux Бэкдоры Руткиты Трояны Домашние пользователи Корпорации

Linux-руткит для разработчиков: Quasar крадёт ключи и токены

Исследователи из Trend Micro обнаружили ранее неизвестный Linux-вредонос Quasar Linux (QLNX). По словам экспертов, зловред нацелен на системы разработчиков и DevOps-среды, а также сочетает в себе функции руткита, бэкдора и способен перехватывать учётные данные.

Главная опасность QLNX в том, что он бьёт не просто по отдельным рабочим станциям, а по окружениям, где живут ключи, токены и доступы к инфраструктуре разработки.

Операторов интересуют npm, PyPI, GitHub, AWS, Docker и Kubernetes, что может открыть прямой путь к атакам на цепочки поставок софта.

По данным Trend Micro, после попадания в систему QLNX старается закрепиться максимально незаметно. Он работает в памяти, удаляет исходный бинарный файл с диска, чистит логи, подменяет имена процессов и убирает следы из переменных окружения, которые могли бы помочь при расследовании.

Для устойчивости имплант использует сразу несколько механизмов закрепления: LD_PRELOAD, systemd, crontab, init.d-скрипты, XDG autostart и внедрение в .bashrc. Если один способ не сработает или процесс завершат, у вредоносной программы остаются другие варианты вернуться.

Отдельно исследователи выделяют руткит-составляющую QLNX. Она работает на двух уровнях: через userland LD_PRELOAD и через eBPF-компонент на уровне ядра. Это позволяет скрывать процессы, файлы, сетевые порты и другие следы активности. Причём часть компонентов QLNX динамически компилирует прямо на заражённой машине с помощью gcc.

Функциональность у вредоноса внушительная. Он может открывать удалённую оболочку, управлять файлами и процессами, перехватывать учётные данные, собирать SSH-ключи, данные браузеров, облачные и developer-конфиги, содержимое /etc/shadow и буфера обмена. Есть также кейлоггер, снятие скриншотов, мониторинг файловой системы, SOCKS-прокси, TCP-туннелирование, сканирование портов и инструменты для перемещения по сети через SSH.

Trend Micro пока не раскрывает данные о конкретных атаках и не связывает QLNX с определённой группировкой. Масштаб распространения тоже остаётся неясным. На момент публикации зловред детектировали только четыре защитных продукты, поэтому риск незаметного присутствия в инфраструктуре выглядит вполне реальным.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!