Зловред получил название Android/Spy.Krysanec. Он представляет собой бэкдор, предназначенный для кражи информации с инфицированного устройства - смартфона или планшета.
Spy.Krysanec распространяется через российские социальные сети и файлообменные площадки под видом легитимных приложений. К примеру, были обнаружены варианты бэкдора, замаскированные под мобильное приложение "Сбербанка", антивирус Android ESET NOD32 Mobile Security, а также утилиту 3G Traffic Guard.
Проникнув на мобильное устройство жертвы, зловред связывается с удалённым командным сервером, после чего загружает и запускает дополнительные модули. Эти компоненты предназначены для записи звука через микрофон, осуществления съёмки при помощи камеры гаджета, определения текущих GPS-координат, получения списка установленных приложений и открытых страниц в браузере, а также для доступа к списку контактов и SMS-сообщениям.
Любопытно, что некоторые образцы Spy.Krysanec используют подключение к удалённому серверу, домен которого принадлежит провайдеру no-ip.com. Напомним, что этот сервис не так давно фигурировал в новостях, когда Microsoft получила управление над его 23 доменами, использовавшимися для распространения вредоносного ПО. В результате недоступными оказались почти 5 млн хост-имён и приблизительно 1,8 млн пользовательских веб-сайтов и устройств. Впоследствии, впрочем, блокировка была снята.