«Перспективный мониторинг» обнаружил новый Android-троян Pulsar SMS Stealer
Специалисты компании «Перспективный мониторинг» (входит в ГК «ИнфоТеКС») выявили ранее неизвестный Android-троян, маскирующийся под приложение фотогалереи «Фотографии_2920». Вредоносная программа предназначена для перехвата SMS-сообщений с целью кражи OTP- и 2FA-кодов, а также последующего финансового мошенничества.
Как указывается в сообщении компании, APK-файл распространяется через мессенджеры с использованием методов социальной инженерии. По состоянию на 10 марта 2026 года образец не детектируется антивирусными средствами.
Троян имеет многоступенчатую архитектуру: внешний загрузчик в файле classes.dex содержит обфусцированный код, который извлекает из assets/NwyavbTt.csz и динамически загружает скрытую DEX-нагрузку объемом 3,3 Мб. Второй этап содержит основную логику вредоносного ПО, включая связь с командным сервером, перехват SMS, сбор цифрового отпечатка устройства и механизмы закрепления в системе.
Вредоносное приложение запрашивает разрешения на перехват, чтение, отправку и удаление SMS; чтение IMEI, номера телефона и информации об операторе; извлечение номеров абонентов с двух SIM-карт; работу фонового сервиса в обход режима Doze; автозапуск после перезагрузки; а также полную выгрузку архива SMS на C2-сервер.
Как отмечают в компании, техника маскировки под медиаприложения ранее встречалась у семейства Mamont, однако обнаруженный образец отличается новой технической реализацией. Анализ затрудняла многоступенчатая обфускация кода и комплексная маскировка сетевого трафика. Отсутствие образца на общедоступных платформах, по мнению экспертов, указывает на начало вредоносной кампании против физических лиц в РФ.
В компании рекомендуют не устанавливать APK-файлы из неизвестных источников, использовать только официальные магазины приложений, не предоставлять приложениям права SMS по умолчанию, отключить автоскачивание файлов в мессенджерах, проверять запрашиваемые разрешения перед установкой, а при обнаружении подозрительного ПО — немедленно удалить его и сменить пароли от банковских приложений и сервисов с двухфакторной аутентификацией.
Хостовые и сетевые индикаторы, артефакты на устройстве и применяемые техники MITRE ATT&CK опубликованы на сайте компании.
Читайте также
