Сотрудники компании «Перспективный мониторинг», входящей в группу компаний «ИнфоТеКС», сообщили об обнаружении нового вредоносного программного обеспечения для мобильных устройств. Новый троян маскируется под привычное приложение для просмотра фотографий и на данный момент, по состоянию на 10 марта 2026 года, остаётся незамеченным для большинства антивирусных решений.
Вредоносная программа относится к семейству Pulsar SMS Stealer и распространяется под названием «Фотографии_2920». Основной механизм заражения довольно стандартен, но при этом эффективно работает: злоумышленники рассылают APK-файл через мессенджеры. Пользователь, считая, что загружает обычную фотогалерею, на самом деле устанавливает троян на своё устройство.
Функциональность трояна включает:
- Перехват SMS-сообщений, включая одноразовые коды подтверждения (2FA), используемые банками и другими онлайн-сервисами.
- Чтение, отправку и удаление сообщений без ведома пользователя.
- Сбор информации об устройстве: модель, версия ОС, состояние батареи, активность экрана, список установленных приложений и наличие критических разрешений.
- Автозапуск после перезагрузки и постоянную работу в фоновом режиме.
- Маскировку сетевого трафика через специальные Heartbeat-пакеты, передающие на сервер злоумышленников подробные сведения о состоянии устройства.
- Шифрование команд управления с использованием AES-256-GCM, что значительно осложняет обнаружение и анализ трояна.
Как отмечает Александр Рудзик, старший специалист по киберугрозам «Перспективного мониторинга», маскировка вредоносных приложений под медиаприложения уже давно применяется злоумышленниками (например, ранее наблюдалось у семейства Mamont), но текущий образец демонстрирует техническую новизну, включая более продвинутые методы обхода защиты и шифрования сетевого трафика.
Особое беспокойство вызывает тот факт, что троян не найден на общедоступных платформах вроде Google Play. Это указывает на то, что кампания находится на ранней стадии развития и ориентирована на целевую доставку через мессенджеры пользователям в России.
Рекомендации экспертов:
- Не загружать приложения из непроверенных источников, особенно полученные через мессенджеры или сторонние сайты.
- Проверять разрешения приложений — подозрительно, если фотогалерея запрашивает доступ к SMS или системным функциям.
- Использовать актуальные версии антивирусного ПО и регулярно обновлять систему.
- Настроить двухфакторную аутентификацию через приложения-генераторы кодов, а не SMS, чтобы снизить риск компрометации.
- При малейших подозрениях на активность трояна — немедленно отключить устройство от сети и обратиться к специалистам.
Эксперты подчеркивают: раннее обнаружение подобных угроз и соблюдение базовых правил цифровой гигиены остаются ключевыми средствами защиты от потери данных и финансовых средств.
