Бэкдор для Android с маскировкой

По сообщению компании ESET, ее эксперты обнаружили новую угрозу для Android российского происхождения. ПО Spy.Krysanec распространяется через российские социальные сети и файлообменные площадки и маскируется под собственное ПО ESET.

Android/Spy.Krysanec представляет собой бэкдор (средство удаленного доступа), который специализируется на сборе персональных данных пользователя с зараженного устройства. Он может взаимодействовать с удаленным командным сервером, а также загружать и исполнять другие модули. Новая угроза распространяется под видом легитимных приложений, в числе которых антивирус для смартфонов и планшетов на базе Android ESET NOD32 Mobile Security, а также мобильное приложение Сбербанка MobileBank, программа 3G Traffic Guard и др. Специалисты вирусной лаборатории ESET обнаружили Spy.Krysanec на теневых площадках для обмена файлами и российских социальных сетях.

После заражения Spy.Krysanec загружает с удаленного сервера и исполняет следующие модули:

• съемка камерой устройства;
• запись звука через микрофон устройства;
• определение текущих GPS-координат;
• получение списка установленных приложений;
• получение списка открытых страниц в браузере;
• доступ к списку контактов;
• доступ к SMS-сообщениям.

Некоторые образцы Spy.Krysanec, проанализированные в ESET, используют подключение к удаленному серверу, домен которого принадлежит провайдеру no-ip.com. Этот сервис известен тем, что, как сообщалось, Microsoft Digital Crimes Unit получила управление над его 22 доменами, использовавшимися для распространения вредоносного ПО.

Эксперты ESET рекомендуют устанавливать Android-приложения только из официального центра дистрибуции Google Play и даже в этом случае обращать внимание на разрешения, которые программа требует для своей работы.