Банківський троян Datzbro

Дослідники з кібербезпеки нещодавно виявили раніше недокументований банківський троян для Android під назвою Datzbro, розроблений для здійснення атак захоплення пристроїв (DTO) та проведення шахрайських фінансових транзакцій. Шкідливе програмне забезпечення в першу чергу націлене на користувачів похилого віку, використовуючи їхню довіру за допомогою кампаній соціальної інженерії на основі соціальних мереж.

Соціальна інженерія через групи у Facebook

Кампанія була вперше виявлена у серпні 2025 року після повідомлень від австралійських користувачів. Зловмисники керували групами у Facebook, що рекламували «активні поїздки для людей похилого віку», орієнтуючись на людей похилого віку, зацікавлених у соціальних заходах, подіях та особистих зустрічах. Серед інших постраждалих регіонів – Сінгапур, Малайзія, Канада, Південна Африка та Велика Британія.

Ці групи у Facebook часто поширюють контент, створений штучним інтелектом, стверджуючи, що організовують заходи для людей похилого віку. Якщо ціль виявляє зацікавленість, зловмисники звертаються до неї через Facebook Messenger або WhatsApp, пропонуючи завантажити APK-файл за шахрайським посиланням (наприклад, download.seniorgroupapps.com).

Фальшиві вебсайти рекламують так званий додаток спільноти, стверджуючи, що він дозволить людям похилого віку:

• Реєструйтеся на події та заходи.
• Зв'яжіться з іншими членами групи.
• Відстежуйте майбутні розклади.

Деякі сайти навіть містять посилання-заповнювачі для додатків для iOS, що свідчить про те, що зловмисники прагнуть націлитися як на користувачів Android, так і на iOS, розповсюджуючи додатки TestFlight для iOS, намагаючись обдурити жертв.

Як Datzbro заражає пристрої

Коли жертва завантажує додаток для Android, вона:

• Встановлює шкідливе програмне забезпечення безпосередньо на пристрій, або
• Розгортає дроппер, створений за допомогою Zombinder, служби зв'язування APK, яка обходить обмеження безпеки на Android 13 та пізніших версіях.

Було виявлено кілька шкідливих програм, що розповсюджують Datzbro, зокрема:

• Старша група (twzlibwr.rlrkvsdw.bcfwgozi)
• Життєрадісні роки (orgLivelyYears.browses646)
• ActiveSenior (com.forest481.security)
• DanceWave (inedpnok.kfxuvnie.mggfqzhl)
• 作业帮 (io.mobile.Itool)

• 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois)

• 麻豆传媒 (mobi.audio.aassistant)

• 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)

• MT管理器 (varuhphk.vadneozj.tltldo)

• MT管理器 (spvojpr.bkkhxobj.twfwf)

• 大麦 (mnamrdrefa.edldylo.zish)

• MT管理器 (io.red.studio.tracker)

Можливості та фінансові загрози

Datzbro має широкий спектр функцій шпигунського програмного забезпечення та боротьби з фінансовим шахрайством, зокрема:

• Запис аудіо та фотографування.
• Доступ до файлів та фотографій.
• Проведення оверлейних атак, кейлоггеринг та віддаленого керування пристроями.
• Використання служб спеціальних можливостей Android для виконання автоматизованих дій від імені жертви.

Видатною особливістю є схематичний режим дистанційного керування, який надсилає зловмисникам детальну інформацію про всі елементи екрана, їхнє положення та вміст. Це дозволяє їм відтворювати інтерфейс та повністю керувати пристроєм дистанційно.

Крім того, Datzbro може:

• Відображати напівпрозорі шари з власним текстом, щоб приховати шкідливу активність.
• Крадіжка PIN-кодів та паролів блокування екрана пристрою для Alipay та WeChat.
• Сканувати журнали подій доступності для банківських програм або криптовалютних гаманців та витягувати облікові дані.

Ці функції підкреслюють зосередженість шкідливого програмного забезпечення на фінансовій вигоді, перетворюючи те, що починається як шпигунське програмне забезпечення, на складну загрозу для крадіжки конфіденційної банківської інформації.

Інфраструктура атрибуції та командно-контрольного управління

Аналіз показує, що Datzbro пов'язаний з китайськомовною групою загроз, про що свідчать рядки налагодження та реєстрації китайською мовою у вихідному коді шкідливого програмного забезпечення. На відміну від багатьох сімейств шкідливих програм, які покладаються на веб-панелі C2, Datzbro підключається до китайськомовного десктопного додатку для операцій командування та управління.

Скомпільована версія цього застосунку C2 просочилася до публічного репозиторію вірусів, що вказує на те, що шкідливе програмне забезпечення тепер може вільно поширюватися серед кіберзлочинців, збільшуючи його потенційний охоплення.

Наслідки для мобільної безпеки

Відкриття Datzbro ілюструє еволюцію мобільних загроз, зокрема тих, що використовують соціальну інженерію для націлювання на вразливі групи населення. Зосереджуючись на літніх людях та використовуючи, здавалося б, нешкідливі події Facebook, зловмисники можуть перетворити просту соціальну взаємодію на захоплення пристроїв, крадіжку облікових даних та фінансове шахрайство.

Ця кампанія підкреслює важливість пильності в галузі мобільної безпеки, особливо для користувачів похилого віку, які можуть стати мішенню через соціальні мережі, засновані на довірі.