Новый Android-бэкдор маскируется под приложение «Сбербанка»

Компания ESET предупреждает о появлении новой вредоносной программы, атакующей русскоязычных пользователей мобильной операционной системы Android, пишет 3dnews.ru. Зловред получил название Android/Spy.Krysanec. Он представляет собой бэкдор, предназначенный для кражи информации с инфицированного устройства — смартфона или планшета.

Spy.Krysanec распространяется через российские социальные сети и файлообменные площадки под видом легитимных приложений. К примеру, были обнаружены варианты бэкдора, замаскированные под мобильное приложение «Сбербанка», антивирус Android ESET NOD32 Mobile Security, а также утилиту 3G Traffic Guard.

Проникнув на мобильное устройство жертвы, зловред связывается с удаленным командным сервером, после чего загружает и запускает дополнительные модули. Эти компоненты предназначены для записи звука через микрофон, осуществления съемки при помощи камеры гаджета, определения текущих GPS-координат, получения списка установленных приложений и открытых страниц в браузере, а также для доступа к списку контактов и SMS-сообщениям.

Любопытно, что некоторые образцы Spy.Krysanec используют подключение к удаленному серверу, домен которого принадлежит провайдеру no-ip.com. Напомним, что этот сервис не так давно фигурировал в новостях, когда Microsoft получила управление над его 23 доменами, использовавшимися для распространения вредоносного ПО. В результате недоступными оказались почти 5 млн хост-имен и приблизительно 1,8 млн пользовательских веб-сайтов и устройств. Впоследствии, впрочем, блокировка была снята.