«Секс-вирус» в вашем смартфоне. Рассказываем, как «эротический троян» лишает ваш Android воли к сопротивлению
NewsMakerПриготовьтесь к тому, что ваш гаджет начнёт жить своей тайной жизнью.
Группа StopLamers, ранее известная в узких кругах по конфликтам в IRC и атакам на сообщества, за последние годы превратилась в источник более сложных и разрушительных киберугроз. Новый технический разбор их деятельности показывает переход от сетевого хулиганства к созданию вредоносных инструментов для Linux и Android, а также к использованию скрытых каналов управления и давления на жертв.
Активность объединения отслеживается с 2020 по 2024 год. Внутри действует выраженная иерархия с лидером, называющим себя халифом Ержаном, и несколькими приближёнными участниками. Основные цели атак связаны с Linux-сообществами , альтернативными социальными платформами, тематическими форумами и блогерами. Мотивация сочетает идеологический троллинг, давление на участников сообществ и вымогательство денег.
Ключевым инструментом стал многоступенчатый троян SeksVirus. Заражение обычно начинается с публикации якобы полезных исправлений для системных компонентов и драйверов. Злоумышленники выдают себя за разработчиков и распространяют скрипты с зашифрованными блоками кода. После запуска загрузчик разворачивает скрытый модуль на Python, закрепляется во временных каталогах и проверяет окружение. В коде применяется запутывание с подстановкой символов и динамическим вызовом функций, что осложняет анализ.
Для управления используется инфраструктура на базе Telegram Bot API. Вредоносная программа собирает подробный профиль устройства, включая сведения о процессоре, ядре системы, пользовательских сессиях и признаках виртуализации, и отправляет их оператору. Предусмотрена подгрузка дополнительных модулей для удалённого доступа и контроля.
Группа StopLamers, ранее известная в узких кругах по конфликтам в IRC и атакам на сообщества, за последние годы превратилась в источник более сложных и разрушительных киберугроз. Новый технический разбор их деятельности показывает переход от сетевого хулиганства к созданию вредоносных инструментов для Linux и Android, а также к использованию скрытых каналов управления и давления на жертв.
Активность объединения отслеживается с 2020 по 2024 год. Внутри действует выраженная иерархия с лидером, называющим себя халифом Ержаном, и несколькими приближёнными участниками. Основные цели атак связаны с Linux-сообществами , альтернативными социальными платформами, тематическими форумами и блогерами. Мотивация сочетает идеологический троллинг, давление на участников сообществ и вымогательство денег.
Ключевым инструментом стал многоступенчатый троян SeksVirus. Заражение обычно начинается с публикации якобы полезных исправлений для системных компонентов и драйверов. Злоумышленники выдают себя за разработчиков и распространяют скрипты с зашифрованными блоками кода. После запуска загрузчик разворачивает скрытый модуль на Python, закрепляется во временных каталогах и проверяет окружение. В коде применяется запутывание с подстановкой символов и динамическим вызовом функций, что осложняет анализ.
Для управления используется инфраструктура на базе Telegram Bot API. Вредоносная программа собирает подробный профиль устройства, включая сведения о процессоре, ядре системы, пользовательских сессиях и признаках виртуализации, и отправляет их оператору. Предусмотрена подгрузка дополнительных модулей для удалённого доступа и контроля.