0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

«Секс-вирус» в вашем смартфоне. Рассказываем, как «эротический троян» лишает ваш Android воли к сопротивлению

leer en español

StopLamers SeksVirus Telegram Linux Android вредоносное ПО брик устройств
«Секс-вирус» в вашем смартфоне. Рассказываем, как «эротический троян» лишает ваш Android воли к сопротивлению
StopLamers SeksVirus Telegram Linux Android вредоносное ПО брик устройств

Приготовьтесь к тому, что ваш гаджет начнёт жить своей тайной жизнью.

image

Группа StopLamers, ранее известная в узких кругах по конфликтам в IRC и атакам на сообщества, за последние годы превратилась в источник более сложных и разрушительных киберугроз. Новый технический разбор их деятельности показывает переход от сетевого хулиганства к созданию вредоносных инструментов для Linux и Android, а также к использованию скрытых каналов управления и давления на жертв.

Активность объединения отслеживается с 2020 по 2024 год. Внутри действует выраженная иерархия с лидером, называющим себя халифом Ержаном, и несколькими приближёнными участниками. Основные цели атак связаны с Linux-сообществами, альтернативными социальными платформами, тематическими форумами и блогерами. Мотивация сочетает идеологический троллинг, давление на участников сообществ и вымогательство денег.

Ключевым инструментом стал многоступенчатый троян SeksVirus. Заражение обычно начинается с публикации якобы полезных исправлений для системных компонентов и драйверов. Злоумышленники выдают себя за разработчиков и распространяют скрипты с зашифрованными блоками кода. После запуска загрузчик разворачивает скрытый модуль на Python, закрепляется во временных каталогах и проверяет окружение. В коде применяется запутывание с подстановкой символов и динамическим вызовом функций, что осложняет анализ.

Для управления используется инфраструктура на базе Telegram Bot API. Вредоносная программа собирает подробный профиль устройства, включая сведения о процессоре, ядре системы, пользовательских сессиях и признаках виртуализации, и отправляет их оператору. Предусмотрена подгрузка дополнительных модулей для удалённого доступа и контроля.

В прошлые годы группа отметилась DDoS-атаками и порчей сайтов Linux-сообществ, а также массовыми спам-налётами на чаты. В ходе расследования зафиксированы случаи шантажа и публикации персональных данных жертв с требованием выкупа. Также обнаружены функции акустического давления через удалённое управление звуком на устройстве.

С 2024 года заметен сдвиг в сторону Android. Распространяются вредоносные архивы для прошивки через популярные инструменты модификации системы. Такие пакеты маскируются под полезные обновления, но фактически перезаписывают критические разделы памяти, включая загрузчик и модем. Это приводит к полной неработоспособности смартфона без возможности восстановления стандартными средствами. В образцах найден модифицированный архиватор со скрытым режимом распаковки, который извлекает дополнительный разрушительный сценарий.

Анализ открытых источников указывает на собственные каналы координации, ресурсы в анонимных сетях и устойчивый круг участников. Специалисты отмечают, что даже при среднем техническом уровне подобные группы способны наносить ощутимый ущерб нишевым сообществам и пользователям альтернативных прошивок. Полученные данные помогают улучшать методы обнаружения запутанного кода и контроль целостности системных разделов.