Международная правозащитная организация Репортёры без границ (признана нежелательной в России) совместно с RESIDENT.NGO опубликовала расследование о предполагаемой шпионской кампании против журналистов и представителей гражданского общества в Белоруссии. В отчёте говорится об обнаружении ранее неизвестного шпионского программного обеспечения для Android, получившего условное название ResidentBat.
По данным исследователей, вредоносное приложение могло использоваться для скрытого наблюдения за владельцами смартфонов, включая сбор данных при работе с зашифрованными мессенджерами. В RSF отмечают, что кампания отличается от типичных схем кибершпионажа: вместо удалённых атак и эксплуатации уязвимостей, как в случае с коммерческими решениями наподобие Pegasus, установка софта, предположительно, осуществлялась физически.
Поводом для расследования стал инцидент в третьем квартале 2025 года. Один из журналистов сообщил, что во время допроса его неоднократно просили разблокировать смартфон. По его словам, это могло позволить сотрудникам силовых структур подсмотреть ПИН-код и затем временно изъять устройство для ручной установки приложения.
Согласно анализу RSF Digital Security Lab, ResidentBat маскируется под обычное Android-приложение и при установке запрашивает около 38 разрешений, включая доступ к звонкам, сообщениям, камере, микрофону и файлам. Особое внимание уделено использованию службы специальных возможностей Android (Accessibility Service), которая при определённых настройках позволяет считывать содержимое экранов других программ, в том числе зашифрованных мессенджеров Signal, Telegram и WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в РФ).
Исследователи предполагают, что зловред способен фиксировать переписку, нажатия клавиш, содержимое буфера обмена и записывать экран. Приложение также регистрируется с расширенными правами администратора устройства, что позволяет ему работать в фоновом режиме и при необходимости удалённо очищать данные. По оценке авторов отчёта, подобная активность могла вестись как минимум с марта 2021 года.
В RSF подчеркнули, что стандартные антивирусные решения не всегда своевременно выявляют такие угрозы. В описанном случае подозрения возникли после срабатывания встроенных механизмов защиты Android уже после возврата смартфона владельцу. В качестве мер предосторожности журналистам и активистам рекомендовано использовать сложные пароли вместо коротких ПИН-кодов, избегать разблокировки устройств в присутствии третьих лиц и рассмотреть применение защищённых прошивок Android.