В августе 2025 года голландская компания по мобильной безопасности ThreatFabric обнаружила ранее неизвестный банковский троян для Android под названием Datzbro. Его основная функция — полный захват устройства (DTO) и проведение мошеннических финансовых операций. Киберпреступники, стоящие за этой кампанией, нацелены на пожилых людей, используя для этого уникальную тактику социальной инженерии.
Атака начинается в Ф⃰, где злоумышленники создают группы, посвященные мероприятиям для пенсионеров, например, «поездки для активных пожилых людей». Для придания легитимности публикациям используется контент, сгенерированный искусственным интеллектом. Когда жертва проявляет интерес к событию, с ней связываются через Ф⃰ Messenger или WhatsApp и убеждают скачать специальное «приложение сообщества» для регистрации. Ссылка ведет на мошеннический сайт, такой как
Первые сообщения о деятельности Datzbro поступили из Австралии, но география атак также охватывает Сингапур, Малайзию, Канаду, Южную Африку и Великобританию. Вредоносная программа распространяется под видом легитимных приложений, включая Senior Group (
Для обхода ограничений безопасности на Android 13 и более новых версиях троян доставляется либо напрямую, либо через дроппер, созданный с помощью сервиса связывания APK под названием Zombinder. Получив доступ к устройству, Datzbro использует службы специальных возможностей для выполнения удаленных действий, записи звука, съемки фотографий и доступа к файлам. Мошеннические сайты также содержат неактивные ссылки для загрузки iOS-приложений, что указывает на планы по атаке на пользователей Apple через платформу TestFlight.
Одной из ключевых особенностей Datzbro является «схематический режим удаленного управления». В этом режиме троян отправляет злоумышленнику данные о расположении, макете и содержимом всех элементов на экране жертвы. Это позволяет мошеннику с высокой точностью воссоздать экран и управлять устройством. Для сокрытия своих действий вредоносная программа может активировать полупрозрачный черный экран с произвольным текстом, блокируя обзор для пользователя.
Основная цель трояна — кража финансовых данных. Он перехватывает PIN-код блокировки экрана, пароли от платежных систем Alipay и WeChat, а также анализирует логи служб специальных возможностей на предмет названий пакетов банковских приложений или криптовалютных кошельков. Кроме того, он ищет в текстах ключевые слова, такие как «пароль», «PIN» или «код».
Анализ кода выявил наличие отладочных и логгирующих строк на китайском языке. Командно-контрольный сервер (C2) управляется не через стандартную веб-панель, а через настольное приложение на китайском языке. Скомпилированная версия этого управляющего приложения была обнаружена в публичном доступе, что говорит о возможной утечке исходного кода Datzbro и его свободном распространении среди киберпреступников.
Параллельно с этим компания IBM X-Force сообщила о кампании PhantomCall, нацеленной на клиентов крупных мировых финансовых учреждений. Эта кампания использует банковский вредонос AntiDot и была зафиксирована в Испании, Италии, Франции, США, Канаде, ОАЭ и Индии. За атаками стоит финансово мотивированная группа LARVA-398, которая, по данным анализа компании PRODAFT от июня 2025 года, распространяет вредонос по модели «вредонос как услуга» (MaaS) на подпольных форумах.
AntiDot распространяется через поддельные приложения-дропперы, маскирующиеся под Google Chrome. Как и Datzbro, он способен обходить ограничения Android 13, запрещающие загруженным из сторонних источников приложениям запрашивать доступ к API специальных возможностей.
Главной отличительной чертой кампании PhantomCall является возможность перехвата телефонных звонков. Используя API
Более того, AntiDot может в фоновом режиме отправлять USSD-коды для активации переадресации всех звонков на номер, контролируемый злоумышленниками. Это полностью изолирует жертву, не позволяя ей связаться с банком или получить от него предупреждение, в то время как мошенники могут выдавать себя за владельца счета. По словам исследователя безопасности Руби Коэна, подобные возможности позволяют осуществлять финансовое мошенничество с высоким уровнем воздействия, полностью отрезая жертву от любых попыток банка или служб безопасности предупредить ее о компрометации счета.
Изображение носит иллюстративный характер
Атака начинается в Ф⃰, где злоумышленники создают группы, посвященные мероприятиям для пенсионеров, например, «поездки для активных пожилых людей». Для придания легитимности публикациям используется контент, сгенерированный искусственным интеллектом. Когда жертва проявляет интерес к событию, с ней связываются через Ф⃰ Messenger или WhatsApp и убеждают скачать специальное «приложение сообщества» для регистрации. Ссылка ведет на мошеннический сайт, такой как
download.seniorgroupapps[.]com. Первые сообщения о деятельности Datzbro поступили из Австралии, но география атак также охватывает Сингапур, Малайзию, Канаду, Южную Африку и Великобританию. Вредоносная программа распространяется под видом легитимных приложений, включая Senior Group (
twzlibwr.rlrkvsdw.bcfwgozi), Lively Years (orgLivelyYears.browses646), ActiveSenior (com.forest481.security), DanceWave (inedpnok.kfxuvnie.mggfqzhl), а также поддельных версий популярных китайских приложений, таких как 作业帮 и MT管理器. Для обхода ограничений безопасности на Android 13 и более новых версиях троян доставляется либо напрямую, либо через дроппер, созданный с помощью сервиса связывания APK под названием Zombinder. Получив доступ к устройству, Datzbro использует службы специальных возможностей для выполнения удаленных действий, записи звука, съемки фотографий и доступа к файлам. Мошеннические сайты также содержат неактивные ссылки для загрузки iOS-приложений, что указывает на планы по атаке на пользователей Apple через платформу TestFlight.
Одной из ключевых особенностей Datzbro является «схематический режим удаленного управления». В этом режиме троян отправляет злоумышленнику данные о расположении, макете и содержимом всех элементов на экране жертвы. Это позволяет мошеннику с высокой точностью воссоздать экран и управлять устройством. Для сокрытия своих действий вредоносная программа может активировать полупрозрачный черный экран с произвольным текстом, блокируя обзор для пользователя.
Основная цель трояна — кража финансовых данных. Он перехватывает PIN-код блокировки экрана, пароли от платежных систем Alipay и WeChat, а также анализирует логи служб специальных возможностей на предмет названий пакетов банковских приложений или криптовалютных кошельков. Кроме того, он ищет в текстах ключевые слова, такие как «пароль», «PIN» или «код».
Анализ кода выявил наличие отладочных и логгирующих строк на китайском языке. Командно-контрольный сервер (C2) управляется не через стандартную веб-панель, а через настольное приложение на китайском языке. Скомпилированная версия этого управляющего приложения была обнаружена в публичном доступе, что говорит о возможной утечке исходного кода Datzbro и его свободном распространении среди киберпреступников.
Параллельно с этим компания IBM X-Force сообщила о кампании PhantomCall, нацеленной на клиентов крупных мировых финансовых учреждений. Эта кампания использует банковский вредонос AntiDot и была зафиксирована в Испании, Италии, Франции, США, Канаде, ОАЭ и Индии. За атаками стоит финансово мотивированная группа LARVA-398, которая, по данным анализа компании PRODAFT от июня 2025 года, распространяет вредонос по модели «вредонос как услуга» (MaaS) на подпольных форумах.
AntiDot распространяется через поддельные приложения-дропперы, маскирующиеся под Google Chrome. Как и Datzbro, он способен обходить ограничения Android 13, запрещающие загруженным из сторонних источников приложениям запрашивать доступ к API специальных возможностей.
Главной отличительной чертой кампании PhantomCall является возможность перехвата телефонных звонков. Используя API
CallScreeningService, вредоносная программа отслеживает и выборочно блокирует входящие вызовы, в первую очередь от банков и служб безопасности, которые могут пытаться предупредить жертву о мошенничестве. Более того, AntiDot может в фоновом режиме отправлять USSD-коды для активации переадресации всех звонков на номер, контролируемый злоумышленниками. Это полностью изолирует жертву, не позволяя ей связаться с банком или получить от него предупреждение, в то время как мошенники могут выдавать себя за владельца счета. По словам исследователя безопасности Руби Коэна, подобные возможности позволяют осуществлять финансовое мошенничество с высоким уровнем воздействия, полностью отрезая жертву от любых попыток банка или служб безопасности предупредить ее о компрометации счета.
