Исследователи CYFIRMA описали новую семью Android-малвари под названием GhostGrab.
Это модульный «стелс-стилер», который сочетает скрытый майнинг Monero и полномасштабное похищение финансовых данных, включая банковские учётные записи, данные карт и одноразовые пароли из SMS.
Это сочетание делает каждое заражение максимально прибыльным для злоумышленников: параллельно с кражей денег они используют ресурсы устройства для майнинга.
Технически кампания начинается с домена kychelp[.]live, откуда жертве подсовывают dropper в виде APK с обманным интерфейсом «обновления». Dropper устанавливает фоновые сервисы, регистрируется в Firebase для получения команд и загружает два ключевых компонента: скрытый майнер (libmine-arm64.so) с жёстко прописанным кошельком Monero и банковский модуль со расширенным набором прав.
Для похищения данных GhostGrab применяет встроенные WebView-страницы, имитирующие KYC-формы и входы в банки, и напрямую отправляет заполненные формы в публичную Firebase Realtime Database, где записи хранятся в открытом виде, привязанные к уникальному идентификатору устройства.
Малварь также перехватывает и экспортирует весь SMS-архив, фильтрует сообщения по банковским ключевым словам, может отправлять и пересылать SMS, а при получении команды включает переадресацию звонков через USSD-запрос: всё это позволяет атакующим украсть OTP и вывести средства без контакта с жертвой.
CYFIRMA фиксирует конкретные инфраструктурные индикаторы: используемые домены и Firebase-энты, названия загрузчиков (например, “BOM FIXED DEPOSIT.apk”), а также майнинг-пулы и жёстко закодированный Monero-адрес. По описанным артефактам видно, что злоумышленники ставят на скорость и масштаб: автоматическая подмена WebView, сбор SIM-и системной информации и механизм удалённого управления позволяют охватить множество устройств и обеспечить долговременную монетизацию каждой компрометации.
Это модульный «стелс-стилер», который сочетает скрытый майнинг Monero и полномасштабное похищение финансовых данных, включая банковские учётные записи, данные карт и одноразовые пароли из SMS.
Это сочетание делает каждое заражение максимально прибыльным для злоумышленников: параллельно с кражей денег они используют ресурсы устройства для майнинга.
Технически кампания начинается с домена kychelp[.]live, откуда жертве подсовывают dropper в виде APK с обманным интерфейсом «обновления». Dropper устанавливает фоновые сервисы, регистрируется в Firebase для получения команд и загружает два ключевых компонента: скрытый майнер (libmine-arm64.so) с жёстко прописанным кошельком Monero и банковский модуль со расширенным набором прав.
Для похищения данных GhostGrab применяет встроенные WebView-страницы, имитирующие KYC-формы и входы в банки, и напрямую отправляет заполненные формы в публичную Firebase Realtime Database, где записи хранятся в открытом виде, привязанные к уникальному идентификатору устройства.
Малварь также перехватывает и экспортирует весь SMS-архив, фильтрует сообщения по банковским ключевым словам, может отправлять и пересылать SMS, а при получении команды включает переадресацию звонков через USSD-запрос: всё это позволяет атакующим украсть OTP и вывести средства без контакта с жертвой.
CYFIRMA фиксирует конкретные инфраструктурные индикаторы: используемые домены и Firebase-энты, названия загрузчиков (например, “BOM FIXED DEPOSIT.apk”), а также майнинг-пулы и жёстко закодированный Monero-адрес. По описанным артефактам видно, что злоумышленники ставят на скорость и масштаб: автоматическая подмена WebView, сбор SIM-и системной информации и механизм удалённого управления позволяют охватить множество устройств и обеспечить долговременную монетизацию каждой компрометации.
