Новый мобильный троян маскируется под приложение для бронирования квартир и получает полный контроль над смартфоном жертвы
Исследователи из Cyble зафиксировали новую вредоносную Android-платформу - Glitch SPY. Распространяется через поддельный сайт аренды жилья, предлагая скачать «приложение для связи с арендодателями». Вместо сервиса бронирования пользователь получает шпионский троян с более чем 70 командами в арсенале.
Как работает заражение
Схема продумана под реальное пользовательское поведение. Жертва попадает на фейковый сайт, похожий на легитимный агрегатор недвижимости, и видит привычную кнопку «Скачать приложение». Дальше в дело вступает загрузчик Brokewell Android Loader - он показывает убедительный интерфейс сервиса аренды, убеждает разрешить установку из сторонних источников и тихо разворачивает на устройстве Glitch SPY.
Ключевой рычаг - Accessibility Service, встроенный механизм Android для людей с ограниченными возможностями. Получив эти права, троян превращается в полноценного оператора смартфона: читает экран, нажимает кнопки, подтверждает разрешения, взаимодействует с экраном блокировки. Устройство жертвы фактически переходит под внешнее управление - незаметно и без какого-либо шума.
Что умеет Glitch SPY
Функциональность впечатляет своей широтой. Это не просто стилер - полноценная платформа удалённого доступа с набором инструментов, характерным скорее для корпоративного шпионажа, чем для рядового мобильного вредоноса.
- Трансляция экрана в реальном времени и скриншоты
- Кейлоггинг, перехват СМС и кража контактов
- Отслеживание геолокации
- Запись с камеры и микрофона
- Управление файлами и выполнение шелл-команд
- Встроенный клиппер - подмена адресов криптокошельков Bitcoin, Ethereum, TRON и ряда других сетей
- Скрытый браузер на базе WebView для мошеннических операций с IP-адреса жертвы
Клиппер - отдельная история. Стоит пользователю скопировать адрес кошелька, вредонос мгновенно подменяет его на кошелёк злоумышленников. Перевод уходит, деньги - в чужой карман. Жертва зачастую замечает пропажу уже после необратимой транзакции.
Инфраструктура и масштаб угрозы
Обнаруженные админ-панели с фирменным брендингом Glitch SPY указывают: перед нами не разовый инструмент, а билдер-платформа. Операторы могут гибко настраивать каждый экземпляр - менять название приложения, иконку, пакет, страницу распространения и уведомления в Telegram. Это снижает порог входа для новых злоумышленников и существенно осложняет детектирование по сигнатурам.
Скрытый WebView-браузер делает атаки особенно коварными. Мошеннические действия выполняются с реального IP жертвы и её активными сессиями - антифрод-системы банков воспринимают такие операции как легитимные. Классическая защита здесь практически бессильна.
Пользователям Android стоит помнить простое правило: никакой легитимный сервис аренды жилья не попросит скачать APK с постороннего сайта и разрешить установку из неизвестных источников. Именно эта просьба - первый и главный сигнал тревоги.