Эксперты обнаружили троян, выдающий себя за легитимные Android-приложения

image

Теги: Android, троян, приложение, ESET

Krysanec распространяется через файлообменники и российскую соцсеть Spaces.

Исследователь из ESET Роберт Липовски (Robert Lipovsky)  сообщил  о новом вредоносном ПО, которое маскируется под легитимные приложения для Android. В частности, троян для получения удаленного доступа (Remote Access Trojan, RAT) Krysanec выдавал себя за программу для мобильного банкинга MobileBank, используемую клиентами «Сбербанка России» и даже за приложение ESET Mobile Security.

Эффективной мерой против вредоносных программ являются цифровые сертификаты, которыми разработчики подписывают свои приложения. Krysanec не имеет цифровой подписи, однако далеко не все пользователи заботятся о легитимности устанавливаемых на мобильное устройство программ. Особенно это касается тех, кто ищет взломанные версии платных приложений, которые зачастую имеют вредоносную нагрузку.

Эксперты обнаружили несколько путей распространения трояна – в том числе через файлообменники и российскую соцсеть Spaces. На скриншоте, опубликованном ниже, представлена учетная запись, которая использовалась злоумышленниками для распространения вредоноса, спрятанного внутри легитимного приложения.

Инфицированная программа содержит Android-версию инструмента для получения удаленного доступа Unrecom RAT. Krysanec способен собирать различные данные с зараженного устройства, соединяться с C&C-сервером, загружать и выполнять другие модули. Эти модули позволяют трояну делать снимки, записывать аудио через микрофон, определять местоположение по GPS, получать списки установленных на устройство приложений, открытых web-страниц, телефонных звонков и контактов, получать доступ к SMS-сообщениям (обычным и в Whatsapp) и многое другое.     

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.