Бэкдор маскируется под Eset NOD32 и мобильный банк

17/08/2014 11:01

Эксперты антивирусной компании ESET обнаружили новую угрозу российского происхождения для Android. Бэкдор Spy.Krysanec распространяется через российские социальные сети и файлообменные площадки и маскируется под собственное ПО Eset. Android/Spy.Krysanec – бэкдор (средство удаленного доступа), который специализируется на сборе персональных данных пользователя с зараженного устройства. Он может взаимодействовать с удаленным командным сервером, а также загружать и исполнять другие модули. Новая угроза распространяется под видом легитимных приложений, в числе которых антивирус для смартфонов и планшетов на базе Android ESET NOD32 Mobile Security, а также мобильное приложение Сбербанка MobileBank, программа 3G Traffic Guard и др. Специалисты вирусной лаборатории ESET обнаружили Spy.Krysanec на теневых площадках для обмена файлами и российских социальных сетях. После заражения Spy.Krysanec загружает с удаленного сервера и исполняет следующие модули: съемка камерой устройства; запись звука через микрофон устройства; определение текущих GPS-координат; получение списка установленных приложений; получение списка открытых страниц в браузере; доступ к списку контактов; доступ к SMS-сообщениям. Стоит отметить, что некоторые образцы Spy.Krysanec используют подключение к удаленному серверу, домен которого принадлежит провайдеру no-ip.com. Этот сервис не так давно фигурировал в новостях, когда Microsoft Digital Crimes Unit получила управление над его 22 доменами, использовавшимися для распространения вредоносного ПО. «Маскировка вредоносной программы под легитимное приложение – наиболее распространенная схема заражения Android-устройств, – комментирует Артем Баранов, ведущий вирусный аналитик ESET Russia. – В качестве объекта маскировки злоумышленники выбирают игры и другое ПО, более того, иногда в коде вредоносной программы содержатся и полезные для пользователя функции».
Источник