Новий бeкдор маскується під ESET Mobile Security та програму для мобільного банкінгу

Компанія ESET — лідер у галузі розробки антивірусного програмного забезпечення — попереджає користувачів про високу активність нової загрози Krysanec, яка поширюється під виглядом легітимних платних та безкоштовних програм (наприклад, ігор або різного ПЗ) для мобільних пристроїв на базі ОС Android. Після інсталяції ця троянська програма може збирати різні дані з інфікованого пристрою, підключати його до командного серверу C&C (Command & Control), завантажувати та виконувати інші модулі, що підключаються, забезпечивши тим самим віддалений доступ до файлів, які зберігаються на пристрої жертви.

За словами експертів ESET, виявлена загроза, що отримала назву Android/Spy.Krysanec, представляє собою бекдор — програму для прихованого віддаленого управління інфікованим комп'ютером. Даний троян поширюється під виглядом популярних легітимних програм, таких як додаток для мобільного банкінгу MobileBank, який використовується клієнтами «Сбербанку Росії», програма 3G Traffic Guard, а також антивірусного рішення ESET Mobile Security та інших. Загроза Spy.Krysanec була виявлена на різних тіньових файлообмінниках (Warez) та російських соціальних мережах.

Інфікована програма містить Android-версію інструменту для одержання віддаленого доступу Unrecom RAT. Krysanec здатний збирати різні дані з інфікованого пристрою, підключатися до командного C&C-серверу, завантажувати та виконувати інші модулі. Ці модулі дозволяють троянській програмі робити знімки, записувати аудіо через мікрофон, визначати місце розташування за GPS-координатами, отримувати списки встановлених на пристрій додатків, відкритих веб-сторінок, телефонних дзвінків та контактів, отримувати доступ до SMS-повідомлень (звичайним або в Whatsapp) і багато іншого.

Відзначимо, що деякі зразки Spy.Krysanec, проаналізовані спеціалістами ESET, використовують підключення до віддаленого серверу, домен якого належить провайдеру no-ip.com. Цей сервіс не так давно фігурував в новинах, коли Microsoft Digital Crimes Unit отримала управління над 22 доменами, які використовувались для поширення шкідливого програмного забезпечення.

Незважаючи на те, що кількість інструментів для одержання віддаленого доступу на ОС Android значно менше, ніж на ОС Windows, користувачам варто бути більш обережними та не завантажувати програмне забезпечення з невідомих джерел.