Троян CloudZ перехватывает данные через Microsoft Phone Link

Microsoft Phone Link — приложение, предустановленное в Windows 10 и 11 (прежнее название — Your Phone). Оно связывает смартфон и компьютер по Bluetooth или Wi-Fi: позволяет отвечать на звонки, читать SMS и получать уведомления прямо с рабочего стола. Именно эту точку синхронизации и использует троян CloudZ, детально описанный исследователями Cisco Talos.

CloudZ — модульный Remote Access Trojan (RAT), скомпилированный как .NET-исполняемый файл. Он оснащён несколькими уровнями защиты от анализа: обфускацией кода, механизмами обнаружения отладчиков и профилировщиков. После запуска вредонос загружает инструкции в оперативную память, устанавливает соединение с командным сервером (C2) и выполняет PowerShell-скрипты для извлечения и передачи данных. Кампания активна как минимум с января 2026 года.

Ключевой элемент атаки — плагин Pheno, встроенный в CloudZ. Он непрерывно сканирует запущенные процессы в поисках активного сеанса Phone Link. Как только соединение между телефоном и ПК установлено, троян пытается перехватить SQLite-базу данных приложения. Через неё проходят учётные данные, текстовые сообщения и одноразовые коды (OTP) — именно те данные, которые используются для двухфакторной аутентификации. Таким образом, злоумышленник может обойти 2FA, не получая физического доступа к смартфону и не заражая его.

Первоначальный вектор заражения Cisco Talos не установила точно, однако зафиксировала, что на заражённых машинах CloudZ запускался под видом обновления приложения ScreenConnect — легитимного инструмента удалённого доступа. Это типичная тактика: троян маскируется под доверенное ПО, чтобы миновать первичные проверки. Схожие методы применяют многие семейства вредоносов, ориентированных на кражу данных.

Атака наглядно показывает риски, которые несут мосты между устройствами. Синхронизация телефона с ПК удобна, но создаёт канал, по которому данные со смартфона становятся доступны на компьютере — а значит, и вредоносному ПО на нём. Заражать сам телефон при этом не нужно.

Для снижения риска Cisco Talos рекомендует загружать программы только из официальных источников и держать включённым антивирус с проверкой файлов в реальном времени. Пиратский софт — один из основных каналов распространения подобных троянов. Регулярное сканирование обоих устройств на вредоносное ПО снижает вероятность перекрёстного заражения. Подключение к неизвестным USB-устройствам также следует исключить.