По данным специалистов, Mezzo распространяется помощью сторонних программ-загрузчиков, а после попадания на ПК вирус создает идентификатор зараженного устройства, и на сервере хакеров появляется защищенная паролем папка для хранения файлов с компьютера жертвы.
Основной интерес для Mezzo представляют текстовые файлы "популярного бухгалтерского ПО" (ТАСС сообщает, что речь идет о софте компании "1C"), созданные менее двух минут назад. После обнаружения таких файлов зловред ждет, откроет ли пользователь диалоговое окно для обмена информаций между бухгалтерской системой и банком. Если это произойдет, вирус может подменять реквизиты счета в файле прямо в момент передачи данных. В противном случае троян подменит весь файл поддельным.
"Кроме того, анализ кода Mezzo показал, что зловред может быть связан с другим нашумевшим троянцем, охотящимся за криптовалютами, – CryptoShuffler. Эксперты "Лаборатории Касперского" обнаружили, что код Mezzo и программы AlinaBot, осуществляющей загрузку CryptoShuffler, идентичны практически до последней строчки. По всей видимости, за обоими зловредами стоят одни и те же вирусописатели, а значит, их интерес может также затрагивать криптокошельки пользователей", – говорится в сообщении компании.
Как отмечают в "Лаборатории Касперского", пока что Mezzo просто пересылает собранные файлы на сервер преступников, а количество жертв вируса исчисляется единицами. При этом большинство случаев заражения было зафиксировано в России, а аналитики полагают, что создатели Mezzo только готовятся к его использованию.
Напомним, на прошлой неделе в "Лаборатории Касперского" рассказали об Android-вирусе под названием Skygofree, который обладает рядом уникальных особенностей. В частности, этот зловред может отслеживать местоположение зараженного устройства и включать запись звука, когда владелец оказывается вблизи определенных координат.