Троян в кармане: Salvador Stealer перехватывает OTP-коды и опустошает счета

Аналитики ANY.RUN выявили новую вредоносную программу для Android, получившую название Salvador Stealer. Её основное назначение — сбор банковских данных и одноразовых кодов подтверждения (OTP). Заражение начинается с дроппера, маскирующегося под банковское приложение. После установки он загружает основное вредоносное ПО и запускает его без ведома пользователя.

Salvador Stealer направлен в основном на жителей Индии и создан для кражи персональных данных, включая номер мобильного телефона, номер Aadhaar, реквизиты PAN-карты, дату рождения, логин и пароль от интернет-банка. Все данные передаются одновременно на поддельный сайт и в Telegram через бота. Встроенная в приложение фишинговая страница точно копирует банковский интерфейс, чтобы обмануть пользователя и получить его данные.

Одной из ключевых особенностей является способность перехватывать входящие SMS-сообщения. Это позволяет злоумышленникам получать OTP-коды, необходимые для прохождения двухфакторной аутентификации. После перехвата чувствительные данные отправляются либо так же через обычное SMS-сообщение на заранее заданный номер, либо через HTTP-запрос на удалённый сервер. Такая система гарантирует передачу данных даже при нестабильном соединении.

Программа реализует несколько способов сохранения активности. Она перезапускается автоматически при закрытии и активируется после перезагрузки устройства. Это достигается за счёт использования системных broadcast-приёмников и служб с повышенным приоритетом. Вредоносный код прописан в нескольких компонентах, включая скрытые классы, отвечающие за постоянное присутствие в памяти устройства.

Анализ вредоносного APK показал, что данные в коде шифруются с использованием XOR и статического ключа «npmanager». После расшифровки удалось выявить структуру команд, отвечающих за перехват сообщений и их отправку на внешние ресурсы. Программа использует WebView с активным JavaScript, через который загружается вредоносная страница. Она дополнительно отслеживает все AJAX-запросы, перехватывая отправляемые данные и передавая их в Telegram.

Инфраструктура, поддерживающая работу Salvador Stealer, оказалась частично открытой. Админ-панель и сами фишинговые страницы доступны без авторизации. Более того, там же был обнаружен номер телефона WhatsApp, зарегистрированный в Индии, что может указывать на местонахождение разработчиков.

Salvador Stealer представляет опасность не только для обычных пользователей, но и для финансовых организаций. Для первых — это риск кражи денег и персональных данных, для вторых — рост случаев мошенничества и потеря доверия со стороны клиентов. Подобные угрозы становятся всё более изощрёнными, комбинируя фишинг, перехват трафика и стойкие механизмы присутствия.

Эксперты подчёркивают, что выявление таких угроз требует не только статического анализа, но и наблюдения за действиями вредоносного ПО в реальном времени. Использование интерактивных песочниц позволяет оперативно отслеживать поведение вредоносов, выявлять инфраструктуру и быстро реагировать на инциденты.