Банковский троян Datzbro

Исследователи кибербезопасности недавно обнаружили ранее недокументированный банковский троян для Android под названием Datzbro, предназначенный для проведения атак с захватом устройств (DTO) и мошеннических финансовых транзакций. Вредоносное ПО в первую очередь нацелено на пожилых пользователей, эксплуатируя их доверие с помощью кампаний социальной инженерии в социальных сетях.

Социальная инженерия через группы Facebook

Кампания была впервые обнаружена в августе 2025 года после сообщений от австралийских пользователей. Злоумышленники управляли группами в Facebook, продвигающими «активные поездки для пожилых людей», ориентированными на пожилых людей, заинтересованных в общественной деятельности, мероприятиях и личных встречах. Среди других затронутых регионов — Сингапур, Малайзия, Канада, ЮАР и Великобритания.

Эти группы в Facebook часто делятся контентом, созданным искусственным интеллектом, якобы организуя мероприятия для пожилых людей. Если жертва проявляет интерес, злоумышленники связываются с ней через Facebook Messenger или WhatsApp, предлагая скачать APK-файл по мошеннической ссылке (например, download.seniorgroupapps.com).

Поддельные сайты рекламируют так называемое общественное приложение, утверждая, что оно позволит пожилым людям:

• Зарегистрируйтесь на мероприятия и активности.
• Общайтесь с другими участниками группы.
• Отслеживайте предстоящие расписания.

Некоторые сайты даже содержат ссылки-заглушки для приложений iOS, что позволяет предположить, что злоумышленники нацелены как на пользователей Android, так и на пользователей iOS, распространяя приложения TestFlight для iOS в попытке обмануть жертв.

Как Datzbro заражает устройства

Когда жертва загружает приложение для Android, оно либо:

• Устанавливает вредоносное ПО непосредственно на устройство или
• Развертывает дроппер, созданный с помощью Zombinder, сервиса привязки APK, который обходит ограничения безопасности на Android 13 и более поздних версиях.

Было обнаружено несколько вредоносных приложений, распространяющих Datzbro, в том числе:

• Senior Group (twzlibwr.rlrkvsdw.bcfwgozi)
• Живые годы (orgLivelyYears.browses646)
• ActiveSenior (com.forest481.security)
• DanceWave (inedpnok.kfxuvnie.mggfqzhl)
• 作业帮 (io.mobile.Itool)

• 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois)

• 麻豆传媒 (mobi.audio.aassistant)

• 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)

• MT管理器 (varuhphk.vadneozj.tltldo)

• MT管理器 (spvojpr.bkkhxobj.twfwf)

• 大麦 (mnamrdrefa.edldylo.zish)

• MT管理器 (io.red.studio.tracker)

Возможности и финансовые угрозы

Datzbro обладает широким набором функций шпионского ПО и средств финансового мошенничества, включая:

• Запись звука и фотосъемка.
• Доступ к файлам и фотографиям.
• Проведение атак с наложением, считывание нажатий клавиш и удаленное управление устройствами.
• Использование служб специальных возможностей Android для выполнения автоматизированных действий от имени жертвы.

Отличительной особенностью является режим схематического удалённого управления, который отправляет злоумышленникам подробную информацию обо всех элементах экрана, их положении и содержимом. Это позволяет им скопировать интерфейс и полностью управлять устройством удалённо.

Кроме того, Datzbro может:

• Отображение полупрозрачных наложений с пользовательским текстом для скрытия вредоносной активности.
• Украсть PIN-коды и пароли блокировки экрана устройства для Alipay и WeChat.
• Сканируйте журналы событий доступности для банковских приложений или приложений криптовалютных кошельков и извлекайте учетные данные.

Эти функции подчеркивают нацеленность вредоносного ПО на получение финансовой выгоды, превращая то, что изначально было шпионским ПО, в сложную угрозу для кражи конфиденциальной банковской информации.

Инфраструктура атрибуции и управления

Анализ показывает, что Datzbro связан с китайскоязычной группой вредоносных программ, о чём свидетельствуют строки отладки и регистрации на китайском языке в исходном коде вредоносного ПО. В отличие от многих семейств вредоносных программ, использующих веб-панели управления, Datzbro подключается к настольному приложению на китайском языке для управления операциями.

Скомпилированная версия этого приложения C2 попала в общедоступный репозиторий вирусов, что указывает на то, что вредоносное ПО теперь может свободно распространяться среди киберпреступников, увеличивая его потенциальный охват.

Последствия для мобильной безопасности

Обнаружение Datzbro иллюстрирует эволюцию мобильных угроз, особенно тех, которые используют социальную инженерию для атаки на уязвимые группы населения. Сосредоточившись на пожилых людях и используя, казалось бы, безобидные события в Facebook, злоумышленники могут превратить простое социальное взаимодействие в захват устройства, кражу учётных данных и финансовое мошенничество.

Эта кампания подчеркивает важность бдительности в вопросах безопасности мобильных устройств, особенно для пожилых пользователей, которые могут стать мишенью для атак через основанные на доверии социальные сети.