Stfw.RuИсследователь из ESET Роберт Липовски (Robert Lipovsky) сообщил о новом вредоносном ПО, которое маскируется под легитимные приложения для Android. В частности, троян для получения удаленного доступа (Remote Access Trojan, RAT) Krysanec выдавал себя за программу для мобильного банкинга MobileBank, используемую клиентами «Сбербанка России» и даже за приложение ESET Mobile Security.
Эффективной мерой против вредоносных программ являются цифровые сертификаты, которыми разработчики подписывают свои приложения. Krysanec не имеет цифровой подписи, однако далеко не все пользователи заботятся о легитимности устанавливаемых на мобильное устройство программ. Особенно это касается тех, кто ищет взломанные версии платных приложений, которые зачастую имеют вредоносную нагрузку.
Эксперты обнаружили несколько путей распространения трояна – в том числе через файлообменники и российскую соцсеть Spaces. На скриншоте, опубликованном ниже, представлена учетная запись, которая использовалась злоумышленниками для распространения вредоноса, спрятанного внутри легитимного приложения.
Инфицированная программа содержит Android-версию инструмента для получения удаленного доступа Unrecom RAT. Krysanec способен собирать различные данные с зараженного устройства, соединяться с C&C-сервером, загружать и выполнять другие модули. Эти модули позволяют трояну делать снимки, записывать аудио через микрофон, определять местоположение по GPS, получать списки установленных на устройство приложений, открытых web-страниц, телефонных звонков и контактов, получать доступ к SMS-сообщениям (обычным и в Whatsapp) и многое другое.
