Ответ на пост «Яндекс Музыка и её чудачества»1
Как и многие пикабушники я сгорел с того самого обновления Яндекса, да настолько, что решил действовать радикально и отказаться от подписки (тот еще квест, но это уже совсем другая история). Альтернативу искал не очень долго - увидел в комментариях на Пикабу, что подписка на один известный банк включает и музыкальный сервис и онлайн кинотеатр. Пробный месяц стоит 1 рубль, оплатил с барского плеча, пошел первопроходцем, и рассказываю свои впечатления после месяца использования, поэтому ловите отзыв на Звук - самый скромный стриминг среди конкурентов.
Скромный стриминг с нескромной коллекцией музыки: я нашел и новые релизы и студийные альбомы и старые лайвы любимых зарубежных исполнителей, которые давно нигде не мог найти из-за санкций. Просто сравните выдачу альбомов Coldplay в Звуке (сверху) и Яндексе (снизу):
Если вы слушаете чарты с поп музыкой вроде танцев под шадэ или гармоникой, то вам наверное нет особой разницы где и что слушать, но если вы меломан, мониторите зарубежные релизы, то Звук окажется находкой. За музыкальное наполнение ставлю 10/10, кайфанул и с хайфай качества и с количества
Визуально сервис выглядит так:
На втором мониторе на пк у меня всегда открыта небольшая вкладка, уменьшенная до размера старого доброго винампа (вспомнил, прослезился). Отдам должное разрабам - они хорошо адаптировали страницу под разного рода масштабирования, и она не теряет функциональность в разном размере. Минималистично, просто, интуитивно понятно, удобно настраиваемо - описал бы так, особенно после загруженного Яндекса. За это поле координат с настроением волны и шкалу популярности отдельно бы пожал руку дизайнерам, чувствовал себя собственным диджеем.
Приложение на андроид не уступает веб версии, легкое, без лишнего шума:
Переход на новый интерфейс меня нисколько не травмировал, дался крайне легко, хотя я тот еще дед в плане привыкания.
Из минусов лично для меня:
Не очень удачное поле с популярными книгами/подкастами/исполнителями, занимает много места и рассеивает внимание
Много кликов (два:)) в приложении, чтобы перейти в свою коллекцию музыки, хочется быстрее, очевиднее и без карточки клиента банка сверху
Ставлю 9/10, снял два балла, чтоб не расслаблялись и не меняли кардинально визуал, но к моим замечаниям можно прислушаться.
Кстати импортировал плейлист с избранным из Яндекса (главное, чтоб он был общедоступным) без особых проблем.
В целом расставаться с Яндексом оказалось несложно, особенно учитывая потерю многих треков в коллекции, редизайн, отсутствие фильмов на Кинопоиске и деморализующий рост цен. Подписывался на Яндекс плюс я 4 года назад за 1888 рублей в год, теперь подписка стоит 4500, цена выросла в 3 раза, чего не скажешь о качестве сервиса.
Звук не подается как отдельное блюдо, идет с подпиской банка, которая стоит 3990р в год - не мало, но всё равно дешевле актуальной цены Яндекса, ну и включает доп привилегии, если пользоваться банком. За цену ставлю 7/10
Что еще интересного нашел в Звуке?
Нейроплейлисты по заданной теме. Но это не нейромузыка, как в Яндексе, это собранный плейлист по твоему ТЗ. Очень понравилось это баловство, часто вбивал рандомные мысли и ассоциации и слушал, что получилось.
Караоке. Тоже пришлось по душе, тестили на посиделках с друзьями с удовольствием.
Радио. Казалось бы что удивительного, но в Яндексе ФМ станций не было, только их "радио", которое выдавало музыку по заданной теме.
Аудиокниги. Слушал иногда в машине, в Яндексе тоже были, но все-таки отмечу этот функционал для тех, кому важно.
За все эти допфичи ставлю 10/10
Подытожу свой отзыв на Звук подборкой своих самых прослушиваемых так сказать звуков за пробный рублевый месяц.
Для продолжения наблюдения - продляю подписку.
Всех благ, любители музыки, тщательно подходите к тому, на какие подписки тратите деньги
Дайджест онлайн-игр: главные события 3–10 июля
Команда ggsel продолжает рассказывать о событиях, произошедших в мире онлайн-игр.
Звездно-полосатые бонусы в GTA Online
Отмечайте юбилейный День независимости в GTA Online с самой масштабной распродажей, в ходе которой вы можете рассчитывать на бесплатный бункер в Лаго-Занкудо, бонусы за задания в бункере и задания, связанные с торговлей оружием, утроенные награды за каскадерские гонки, возвращение монстр-трака Vapid Liberator и классического мотоцикла Western Sovereign, а также многое другое.
Защитить себя от любых угроз вам поможет собственный бункер в Лаго-Занкудо, который можно будет забрать бесплатно в Maze Bank Foreclosures вплоть до 13 июля. Если же вы предпочитаете другое расположение, на все бункеры и их улучшения и модификации действует скидка 40% — также до 13 июля.
Благотворительность в Helldivers 2
Пока разработчики игры потеют над исправлением багов и недочетов, игровое сообщество решило на деле доказать, что оно едино не только на виртуальных полях боя.
Вместе с фондом «Спасите детей» игроки выставили на аукцион множество классных вещей с автографами от Arrowhead Game Studios, а также другие удивительные предметы, созданные людьми из сообщества. Удалось собрать более 270 тысяч долларов, которые будут направлены на помощь детям, пострадавшим при катаклизмах или оказавшихся в других тяжелых ситуациях.
Обновление системы подбора игроков в Arc Riders
В ответ на отзывы игроков в опросе о системе подбора партнеров, опубликованном в мае, разработчики внедрили одну из наиболее востребованных функций. Теперь они отслеживают ваш стиль игры отдельно для одиночных, парных и тройных раундов и подбираем подходящих игроков соответствующим образом.
Теперь никаких пересечений нет. Вы сможете переходить от медитативного выполнения заданий и сбора растений в одиночных раундах к захватывающим PvP-играм втроем (если вы обычно так играете в этих случаях), просто изменив размер своей команды. То же самое относится и к игре вдвоем — все три режима отслеживаются отдельно.
Жилище для новичков в Rust
Rust готов похвастаться новым интересным обновлением. Его основной фишкой стала система жилья для новичков. Жилой комплекс — это новый объект, который позволяет игрокам, начавшим игру с нуля, найти себе угол. Просто поговорите с администратором в холле, чтобы начать игру и снять комнату.
Есть варианты на любой бюджет, от подвала до пентхауса. Разные типы помещений предлагают различные преимущества, такие как больше места для хранения вещей, отопление и многое другое. После того, как вы арендуете комнату, вам нужно будет вставить металлолом в щель рядом с дверью, иначе вас выселят, а все ваше имущество будет конфисковано.
Гильдия воров возвращается с новой сюжетной линией первого сезона в TESO
С запуском первого сезона 8 июля все игроки ESO смогут открыть для себя новую историю и цепочку квестов, посвященных возвращению любимой Гильдии воров. Ранее расположенная в Хьюз-Бейн, гильдия добралась до Гленумбры и нуждается в вашей помощи для создания нового отделения в этом прибыльном регионе Тамриэля.
Помимо основной сюжетной линии, вы также можете получить ряд новых ежедневных заданий и других мероприятий, связанных с Гильдией Воров, так что у предприимчивого разбойника в Гленумбре всегда будет работа для вас.
На этом все. Пишите в комментариях, в какие онлайн игры играете вы. Хотите приобрести игру себе на аккаунт? Переходите на ggsel.net — торговую площадку, где вы найдете игры для ПК и консолей, DLC, сможете пополнить баланс популярных игровых и неигровых сервисов, купить и продать игровой аккаунт. И все это — по низким ценам!
Реклама. ООО «Ай Ти Инвест», ИНН: 02405202310226
Ночной апдейт CS2: что изменилось 9 июля
Пока все спали, Valve успела основательно встряхнуть привычный уклад жизни в Counter-Strike 2. Разработчики выпустили внушительный патч, приуроченный к запуску пятого сезона режима Premier, и перемен там накопилось столько, что хватит на долгие вечера обсуждений.
Главный сюрприз, который вы почувствуете почти сразу, касается физики подрыва бомбы. Разработчики полностью пересобрали логику ее работы. Если раньше смерть от C4 была, по сути, бинарным событием — либо убило за стеной, либо нет, — то теперь все гораздо хитрее и атмосфернее. В игру ввели медленную ударную волну.
Она больше не действует моментально на всю карту разом, а расходится от эпицентра взрыва, как настоящая. Это значит, что вы можете оказаться на грани жизни и смерти в буквальном смысле, получив минимальный урон, даже если спрятались в самом дальнем закоулке. Один хит-поинт бомба теперь снимет с вас при любом раскладе, независимо от позиции. Кстати, звуковое и визуальное оформление взрыва тоже переработали, так что финальный аккорд раунда теперь ощущается куда более кинематографично.
Старт Премьер-сезона традиционно сопровождается перетряской набора карт. Старую школу немного потеснили: Overpass убрали из активного пула, а ее место заняла ностальгическая Cache. Готовьтесь пересматривать старые гайды и вспоминать любимые раскидки.
Если вам наскучат классические поля сражений, то в игре появилось несколько совершенно новых площадок для экспериментов. В стандартные режимы вроде «Соревновательного» и «Бой насмерть» добавили Boulder, Fachwerk и Shelter. Для дуэтных перестрелок в «Напарниках» приготовили Debris и El Dorado.
Правда, пришлось и попрощаться с частью старых работ от сообщества: Warden, Stronghold, Alpine и Sanctum отправлены в отставку. Но главной звездой среди новинок, без сомнения, стала карта Shelter. Там в роли заложника выступает собака. Вы только вдумайтесь: теперь спасать нужно не очередного усатого дядьку в очках, а четвероногого друга, и это мгновенно растопило сердца игроков.
Завершающий штрих обновления — пополнение в Арсенале. Для любителей красиво оформить инвентарь завезли сразу четыре свежие коллекции. Оружейные скины теперь можно получить из наборов Spy Tech и Arabesque, а для кастомизации пригодятся новые наклейки из тематических серий Fruits & Vegetables и Auto Racing. Так что внешний вид вашего оружия снова может заиграть свежими красками.
Ну и на закуску стоит отметить, что все это удовольствие занимает приличные 10,4 гигабайта на вашем диске.
Переходите на ggsel.net — торговую площадку, где вы найдете игры для ПК и консолей, DLC, сможете пополнить баланс популярных игровых и неигровых сервисов, купить и продать игровой аккаунт. И все это — по низким ценам!
Реклама. ООО «Ай Ти Инвест», ИНН: 02405202310226
Обновление на Пикабу: новый плеер и более длинные видео!
Привет, пикабушники!
Случилось то, чего еще не было в истории Пикабу – произошло самое масштабное обновление видеоплеера. Кратко об изменениях:
Возможность настройки качества видео.
Дополнительные функции.
Более стабильная работа и форматы видео.
Адаптивное поведение под скорость вашего интернета.
Максимальную длину видео подняли с 3 до 6 минут.
А теперь чуть подробнее.
Ранее @pikablog уже рассказывал о том, с какими сложностями сталкивались пользователи при просмотре видео на Пикабу: Видео на Пикабу. Когда оно уже загрузится и почему этого не случилось раньше?. Чтобы решить эти проблемы, мы полностью переработали плеер, и в частности, реализовали следующее:
Мы сократили парк кодеков и форматов, оставив только один кодек и два формата (было 6). Несмотря на то, что они весят больше, чем аналоги, они стабильнее воспроизводятся на любых устройствах.
Если видео длиннее 30 секунд, то оно будет воспроизводиться в потоковом формате и налету подстраиваться под качество вашей сети. Если видео короче, то качество выбирается автоматически один раз до начала воспроизведения.
У видео появилось 3 степени качества Высокое (HD), Среднее (SD) и Низкое (Low), которые различаются как разрешением, так и битрейтом. По умолчанию качество подбирается автоматически под скорость вашего интернета, но пользователи могут менять его самостоятельно.
Если в настройках вашего аккаунта стоит автоматическое воспроизведение видео и гифок, но у вас достаточно низкая скорость интернета, видео не будут автоматически воспроизводиться. Мы не хотим, чтобы у пользователей с низкой скоростью интернета подвисала загрузка постов просто во время скролла ленты.
Мы переработали внешний вид плеера, кроме уже имеющихся функций добавилось управление скоростью воспроизведения видео и выбор качества. Часть функций скрыты в контекстном меню справа сверху при воспроизведении видео.
Добавили мини окошко при наведении на полосу прокрутки в плеере, где показывает кадр на данном моменте. Это уже стандарт для видеоплееров.
Добавили возможность заливать видео как GIF. Для этого в редакторе видео при создании поста нужно поставить галочку, что видео будет загружено как GIF. Если такая галочка установлена, то видео не может быть больше 20 сек, в нем удаляется звук, повышается битрейт и убирается показ рекламы. Это будет полезно для тех, кто делится зацикленными пиксель артами и различными короткими анимациями, гифками в хорошем качестве.
Увеличили максимальную длину видео с 3 до 6 минут (наконец-то!).
Естественно, это не все, весь мы переработали кодовую базу, исправили множество ошибок, багов и неточностей. Пользователи десктопной и мобильных версий, а также пользователи новой версии приложения уже могут пользоваться новым плеером.
К сожалению, мы не можем гарантировать стабильную работу у тех, кто пользуется старой версией приложений по понятной причине – мы перерабатывали видеоплеер именно потому, что старая его версия работала неудовлетворительно, и исправить это без обновления не выйдет.
Так что смотрите видео в свое удовольствие, а мы, как говорится, Never Gonna Give You Up!
Новое масштабное обновление для Path of Exile выйдет уже в июле
Привет! Это Dessly!
🎯 Разработчики из студии Grinding Gear Games продолжают радовать поклонников первой части своего знаменитого экшена. На днях команда официально объявила о выходе очередного крупного дополнения.
Речь идет о версии 3.29, которая получила грозное название «Проклятие Всепламени». Это событие стало приятным сюрпризом для всех, кто до сих пор активно играет в оригинальную Path of Exile.
Напоминаем, что пополнить баланс Steam быстро и без лишних сложностей можно через Dessly.com
👉 Dessly делает процесс пополнения Steam кошелька максимально удобным, быстрым и безопасным!
Когда ждать обновление и где его покажут
🎯 Релиз дополнения запланирован на 24 июля в 23:00 по московскому времени. Играть в новую лигу смогут владельцы всех платформ — обновление выйдет одновременно на персональных компьютерах, PlayStation и Xbox.
Но прежде чем приступить к прохождению, стоит заглянуть на специальную презентацию. Она состоится 16 июля в тот же час — в 23:00 по Москве. Трансляцию под названием GGG Live проведут на официальном канале игры на Twitch.
Во время эфира разработчики обещают не только показать геймплей, но и ответить на вопросы зрителей.
Что показали в тизере
🎯 Пока что авторы выпустили лишь короткий рекламный ролик. В нем можно увидеть, как путешественник плывет на лодке по бескрайним водам. Внезапно из глубины появляется огромное чудовище — судя по всему, именно с ним и предстоит столкнуться игрокам.
Деталей о механике новой лиги пока мало, но уже ясно, что «Проклятие Всепламени» будет связано с морской тематикой и крупными боссами.
Кто выступит на презентации
🎯 Ведущими стрима станут ключевые фигуры из команды создателей. Среди них — игровой директор Path of Exile Марк Робертс и гейм-дизайнер Октавиан. Компанию им составит известный стример ZiggyD.
Также зрителей ждет приятный бонус — специальные награды по программе Twitch Drops. Подробности о том, что именно можно будет получить, организаторы обещают раскрыть чуть позже.
А что насчет Path of Exile 2?
🎯 Параллельно с поддержкой первой части студия готовит к выходу сиквел. Совсем недавно для Path of Exile 2 вышло крупное предрелизное обновление «Возвращение Древних». Сейчас разработчики нацелены на финальный релиз версии 1.0. Полноценный запуск второй части ожидается к концу этого года.
И главная новость для тех, кто еще не купил игру: после выхода финальной версии Path of Exile 2 станет условно-бесплатной. Так что можно не торопиться с покупкой и спокойно дождаться официального релиза.
🔥 Не тяни кота за подписку — жми "Подписаться" прямо сейчас! → VK Dessly
Реклама. ИП Миронов А.А, ИНН: 910708038901
Энтузиасты так качественно переработали Medieval 2: Total War и Rome: Total War, что ходы ИИ теперь просчитываются за секунды
Два фан‑проекта, которые превращают классику Total War в современные стратегии.
Два амбициозных фанатских проекта уже сейчас скрашивают ожидание выхода Total War: Medieval III. Благодаря им культовые стратегии Creative Assembly получили массу современных улучшений — от стабильности до скорости работы.
Rome: Total War и Medieval II: Total War давно считаются одними из лучших игр серии. Да, обе вышли много лет назад — первая в 2004‑м, вторая в 2006‑м, — но сообщество не собирается отпускать классику в прошлое. Благодаря двум крупным моддерским инициативам обе игры получили неофициальные «ремастеры», которые заметно ускоряют работу, повышают стабильность и делают геймплей куда комфортнее.
Medieval II как современная стратегия
Проект M2EX — это новая исполняемая сборка для Medieval II, которую команда моддеров разрабатывает с марта 2026 года. Игра переведена на 64‑битную архитектуру, что убирает множество проблем, которые годами мучили стратегию на современных ПК.
Самое важное — ход ИИ теперь просчитывается буквально за секунды. Пропали вылеты при Alt+Tab, появился полноценный режим безрамочного окна, загрузки кампании и битв стали заметно быстрее. Игра получила нативную поддержку Steam Deck, а движковые ограничения на количество фракций, регионов, культур и религий — сняты.
Разработчики M2EX также исправили десятки багов, которые тянулись с релиза. Отряды с двуручным оружием и пикинеры теперь ведут себя так, как задумывали авторы, а аркебузиры и арбалетчики больше не теряют линию огня из‑за препятствий.
Игроки получают и множество удобств, вдохновленных новыми частями серии. Формирования можно легко перемещать и разворачивать, камера стала современной и позволяет сильнее отдаляться, наследников теперь можно назначать вручную прямо в древе семьи. Интерфейс тоже подтянули: появились счетчики убийств врага, индикаторы дальности перемещения персонажей и удобные оверлеи карты кампании, показывающие порядок и население поселений.
Разработчики даже вернули классический вид города — снова можно гулять по собственным поселениям. Плюс улучшили поведение ИИ на стратегической карте.
Rome: Total War тоже получил крупные улучшения
Второй проект — REX, созданный для оригинального Rome: Total War, а не для ремастера 2021 года. Как и M2EX, он переводит игру на 64‑битную архитектуру. В результате Rome может выдавать до 280 FPS даже в огромных сражениях.
Карта кампании и миникарта стали визуально лучше, боевая ИИ‑логика переработана и теперь куда устойчивее к старым эксплойтам. Позиции карточек отрядов можно свободно настраивать, дальность перемещения генералов отображается точнее, а счетчики убийств врага показываются прямо на карточках в реальном времени.
На данный момент REX — лучший способ по‑новому пройти оригинальную версию Rome: Total War.
Переходите на ggsel.net — торговую площадку, где вы найдете игры для ПК и консолей, DLC, сможете пополнить баланс популярных игровых и неигровых сервисов, купить и продать игровой аккаунт. И все это — по низким ценам!
Реклама. ООО «Ай Ти Инвест», ИНН: 02405202310226
«Гражданин, обновитесь»: анализ вредоносной кампании Falcon
(репост с хабра, статьи Алексея Колесника из отдела экспертизы PT Sandbox)
«Обновите приложение». Для большинства пользователей это привычное сообщение, а для хакеров - один из самых надежных и эффективных способ получить контроль над устройством. В этой статье разберем вредоносную кампанию, начавшуюся с apk, замаскированного под российский сервис. То, что сначала выглядело как очередная вариация банковского трояна, при ближайшем рассмотрении оказалось гораздо интереснее.
В огромном потоке файлов очень легко пропустить интересные семплы, но в данном случае мне повезло и глаз зацепился за, казалось, ничем не примечательную, картинку:
Что полезного на ней можно увидеть?
Сработала метка «Формат подделан» и вердикт по ней «apk.tampered». Рекомендую ознакомиться с отличной статьей, которая подробно раскрывает эту вредоносную технику: Beware of BadPack: One Weird Trick Being Used Against Android Devices;
Сохраняются непонятные файлы с расширением .png (файловые дропы);
Загрузка кода в память (dex-дампы);
Название «mir-pay.apk».
Перед тем как начать изучать файл, было выдвинуто предположение, что это еще одна скучная вариация вредоноса Mamont, поскольку имя намекает на известную систему платежей, которая часто встречалась в этом семействе.
Stage 1 - загрузчик
Рассмотрим подробнее образец - 4409052221924df581fb271d27acd7338c0efb5aea593ac811f4ffdb0abed7a6
При просмотре AndroidManifest.xml в jadx виден класс io.immense.gesture.Ipperfluid, который будет запущен перед основным кодом приложения.
Обычно при запуске происходит следующее:
Ставятся обработчики на глобальные исключения, чтобы эксперты могли определять, что пошло не так, и делать исправления;
Проводятся иные подготовительные действия;
Распаковывается код полезной нагрузки.
Полезная нагрузка
В коде данного класса присутствует множество математических вычислений и код сильно отличается от реального кода стандартных приложений. Все это намекает на то, что в этом классе будет происходить распаковка полезной нагрузки.
Также приложение практически не содержит реальных классов. Это точно свидетельствует, что полезная нагрузка была упакована, чтобы сбить обнаружение статическими средствами анализа, а значит нужно ее достать.
Анализировать каждый упаковщик и разбираться в его логике задача очень трудоемкая и скучная, поэтому для распаковки приложения воспользуемся поведенческим анализом в PT Sandbox:
Анализ загрузчика
Первое, что бросается в глаза при анализе – обилие захардкоженных русских слов. Причем самое интересное, что они встречаются не просто в тексте, а в логах.
Есть функционал, который создает уведомление об успешном обновлении приложения, после установки полезной нагрузки:
Внутри одного из Java-классов содержатся ссылки, которые ведут не просто на случайный управляющий сервер, а на вполне популярные и легитимные сервисы:
С таск-трекера Trello скачивается html-файл, который просит обновить приложение при запуске. И вот тут каждому пользователю стоит задумать о том, что за приложение он установил. Подход с фейковым обновлением очень любим во вредоносах под Android по двум причинам.
Он позволяет скрыть реальную вредоносную активность от антивирусных средств;
У пользователя на телефоне появится сразу два приложения, одно из которых часто будет скрыто и не отображено в лаунчере. А значит, пользователь о нем забудет. Как часто вы заходили в настройки телефона и проверяли список установленных приложений, м?
Фишинговая страница с обновлением
А через переадресацию с Яндекс.Метрики на другой таск-трекер скачивается следующая стадия полезной нагрузки:
Забавно, что нагрузки хостятся на сервисах для управления проектами. Управлять малварью действительно тяжело :)
Stage 2 - бэкдор
Рассмотрим apk, которое скачивается на предыдущем шаге.
Можно сразу выделить элементы, которые мы видели на первоначальном разборе:
Непонятные png-файлы (файловые дропы);
Динамически загружаемый код (dex-дамп);
Можно предположить, что используется аналогичная техника для упаковки приложения.
Распаковка полезной нагрузки
Рассмотрим AndroidManifest.xml, видим аналогичный рисунок, как в первой стадии:
По коду класса biz.require.casual.Jsliceturkey можно подтвердить, что используется похожий тип обфускации:
Для экономии времени (и нервов) снова воспользуемся песочницей и скачаем распакованный дамп.
Анализ бэкдора
При открытии распакованной нагрузки сразу видна приятная картинка с красивыми именами, по которым можно выделить основной функционал ВПО. Почему «красивыми»? Да просто глаз ревёрсера обычно радуется при виде отладочных символов, которые легко можно прочитать:
Код нагрузки содержит в себе классический набор техник, который встречается буквально в каждом ВПО под Android в различных комбинациях, поэтому останавливаться детально на каждом классе мы не будем, а подсветим лишь интересные места.
Любопытно, что уже в самой полезной нагрузке присутствует перевод на три языка: английский, русский и украинский.
Сетевое взаимодействие
В интерфейсе продукта можно без глубокого анализа увидеть, что:
определяется информация об IP жертвы;
скачивается файл random_val.txt с dropbox;
отправляются данные на cold-apple[.]com.
При открытии трафика, полученного из песочницы, в Wireshark видна и полезная нагрузка, которая отправляется на управляющий сервер:
Значение api_code захардкоженно, вероятно, по нему сервер понимает, какой RC4-ключ использовать для шифрования или расшифровки отправляемых и получаемых данных:
При расшифке видно, какая конкретно информация отправляется на управляющий сервер:
Trello в качестве хостинга вредоносного ПО
Изучим файлы в Trello, поскольку именно с него скачивалась полезная нагрузка. Не часто встретишь его во вредоносных кампаниях, поэтому исследуем поглубже.
По ссылке из вложения можно получить ссылку на доску:
Обзор карточек
Поглядим, что нам откроется по ссылке.
Открываем карточку «vtb drop» и видим, что полезная нагрузка в ней была создана 28.11.2024 и обновлена 23.03.2025. Это говорит не только о том, что на Trello очень эффективно хостить фишинговые html‑файлы, но и то, что авторы обновляют эти файлы.
Также можно найти две почти похожие версии html‑страниц с фейковым обновлением. Слева на рисунке ниже — html‑файл, который был в исследуемом образце, справа — целенаправленный фишинг на банковское приложение.
Не менее интересна карточка «injects». Судя по списку приложений в названии файлов на скриншоте ниже, становится ясно, что мы имеем дело с таргетированной атакой на пользователей из России (полный список доступен в секции с IOC).
Все фишинговые окна построены схожим образом и нацелены на то, чтобы ничего не подозревающий пользователь передал свои данные злоумышленникам:
Внутри каждого html-файла содержится похожий код, который через webview передается в код приложения и отправляется через бота:
Помимо прочего в html-файлах встречается фишинг, направленный на то, чтобы пользователь дал все необходимые разрешения для «работы» приложения:
Данное разрешение опасно тем, что немногие пользователи знают, что выдача доступа к «Специальным возможностям» фактически предоставляет полный доступ к пользовательской системе. Злоумышленник может полностью считывать информацию с экрана телефона (СМС, звонки, банковские данные и так далее), а также не давать удалить приложение, перехватывая управление.
Поэтому после выдачи этого разрешения обычному пользователю будет очень трудно избавиться от вредоносного приложения со своего телефона.
Активность на доске
Trello позволяет увидеть, кому принадлежит публичная доска, а также посмотреть активность владельца:
Активность пользователя alexsentov говорит о том, что автор(ы) вредоноса регулярно обновляют нагрузки и ведут активность на доске.
Архивные записи
По архивным записям мы увидели, что примерно с 21.02.2025 по 11.08.2025 полезные нагрузки активно загружались на доску таск-трекера:
Вероятно позже злоумышленники решили использовать связку из Яндекс.Метрика и (surprise!) еще одного таск-трекера, YouGile (может, Trello стал удалять образцы, поскольку в них стало обнаруживаться вредоносное ПО), которую и видно в исследуемом образце.
Атрибуция
На данном этапе у нас была уверенность, что мы имеем дело с новой кампанией, но не тут-то было!
Поиск по найденным IOCам приводит к двум упоминаниям похожих образцов от 2022 года из вредоносной кампании Falcon:
Образцы: 2022 vs. 2026
Индикаторы компрометации (IOCs):
4a9851b10361d4efc9657233aedfa3b0a0040ee016cc9891252d838b4e9ce0f2
6f475db05055d2ff4c12568b09bca5d272eaf157edde90fd7755c04d87b4f215
Обфускация
В образцах 2022 года используется тип обфускации, которая отличается от образцов 2026 года.
Cпособ загрузки распакованного кода образца 2026 года также отличается. С помощью Java-рефлексии вредоносный код подменяет системные поля JVM (Java Virtual Machine) для загрузки в память распакованной нагрузки.
Полезная нагрузка: сравнение версий
Отличается набор возможностей, который представлен в прошлой и новой версиях:
Спустя четыре года малварь обросла новыми возможностями:
ActivityRequestVnc - запись экрана пользователя;
ActivityStartMainService - постоянный перезапуск себя, чтобы приложение не было убито в фоне;
AllServiceFaApp - создание скрытого канала уведомлений и перезапуск через alarm;
CallReceiverFaApp - обработка входящих звонков;
DropperReceiverFaApp - запуск фонового сервиса, чтобы приложение не было убито в фоне;
MyMessagingService - обработка входящих СМС;
MyServiceReceiver - постоянный ping сервера с отправкой информации;
OpenRedirectActivity - сбор введенных пользователем данных через JavaScript-интерфейс и их отправка на C&C;
ScreenCaptureServiceFaApp - возможность создавать скриншоты экрана;
WhiteActivity - «окирпичивание» телефона посредством открытия произвольной HTML-страницы поверх экрана блокировки.
Как видите, со временем функционала у малвари стало больше и, что самое важное, он стал опаснее для конечного пользователя, так как теперь злоумышленники могут в любой момент получить полную информацию с телефона жертвы, а при необходимости забрать полное управление над устройством посредством «Специальных возможностей».
Помимо прочего, коллеги из Cyble упоминают URL вида /api/api.php?get_lend=, который сохранился в версии 2026 года:
Совокупность вышеперечисленных факторов позволяет нам атрибутировать найденные образцы к Falcon: начиная с характерной цепочки атаки и заканчивая индикаторами компрометации. И как видим, хищник из расследования четырёхлетней давности становится всё более грозным и опасным.
Work In Progress
В процессе изучения этой кампании нам удалось получить свежие вариации этого семейства.
В мае этого года злоумышленники стали использовать в качестве хостинга полезной нагрузки уже другой отечественный сервис управления проектами.
По данным с Virustotal, файлы были загружены недавно (на момент написания этого материала). Примечательно, что имя скачиваемого вредоносного файла содержит названия популярных банков, поэтому в файловом менеджере пользователь может не заметить ничего необычного.
В свежих образцах используется новый вариант обфускации, который ранее не встречался в этом семействе.
При анализе полезной нагрузки, видна уже доработанная нагрузка с новыми классами PatternActivity и PinActivity:
Оба класса практически идентичны, создают фейковые экраны ввода PIN-кода или графического пароля, которые затем сохраняются локально на устройстве.
Помимо прочего, перед скачиванием нагрузки видно, что авторы стали использовать трекер от Mail.ru, вместо AppMetrica, как это было раньше:
Лето хакеров не останавливает и в июне авторы вредоноса продолжают активно его дорабатывать, расширяя функционал и экспериментируя с новыми видами фишинговых страниц. Появились новые фишинговые страницы, новые версии окон с вводом PIN-кода, графического пароля.
Также в новых версиях загрузчиков появилось шифрования строк, чтобы обойти детектирование антивирусными средствами:
А на Trello появилось больше карточек с расширенным набором артефактов:
Думаю, впереди нас ждет много интересного, и мы с коллегами продолжаем наблюдать. А ведь всё началось с того, что некий сомнительный образец просто попал в нашу песочницу...
Заключение
Все чаще обнаруживаются атаки, которые направлены конкретно на российских пользователей: Mamont, АИ-95 с вредоносной присадкой.
Общие рекомендации пользователям:
Не скачивать приложения с недоверенных ресурсов: случайные сайты, мессенджеры и т.п. лучше обходить стороной;
Даже если ресурс «легитимный» не стоит доверять на 100% тому, что было скачано с него, на них тоже могут располагаться вредоносные файлы;
Лучше перестраховаться и удалить приложение, которое сразу после установки запрашивает множество разрешений и требует обновиться для якобы корректной работы;
Ни в коем случае не выдавайте разрешение для доступа к «Специальным возможностям» устройства, это самая вкусная часть, за которой охотятся злоумышленники.
Иногда именно одно необдуманное нажатие кнопки «Обновить» становится первым шагом к полной компрометации устройства.







































































