Поддельные страницы Google Play распространяют вредоносное ПО SpyNote среди пользователей Android

Недавно обнаруженная кампания по распространению вредоносного ПО для Android распространяет мощный троянский конь с удаленным доступом SpyNote Remote Access Trojan (RAT), имитируя страницы Google Play Store на обманных сайтах.

Исследователи безопасности из Infosecurity говорят, что в рамках данной кампании используются недавно зарегистрированные домены для обмана пользователей и заставления их загружать зараженные приложения, маскирующиеся под популярное программное обеспечение.

Поддельные страницы тесно напоминают настоящие списки Google Play, с каруселями изображений, кнопками «Установить» и отсылками кода к Android-приложению TikTok. Когда пользователи нажимают для установки, злонамеренный JavaScript запускает автоматическую загрузку APK-файла, в котором заложен вирус.

После установки APK выполняет скрытую функцию, которая вызывает второй APK, содержащий основную нагрузку SpyNote. Этот вредоносный код подключается к серверам управления и контроля (C2) с использованием жестко запрограммированных IP-адресов, встроенных в его код, что обеспечивает удаленный доступ и наблюдение.

SpyNote предоставляет злоумышленникам обширный контроль над зараженными устройствами. Его функции включают перехват звонков и SMS, доступ к контактам, запись телефонных разговоров, ведение журнала клавиш, активацию камеры и микрофона, а также отслеживание местоположения по GPS.

Этот вредоносный программный код также может устанавливать другие приложения, блокировать или стирать данные на устройствах, а также препятствовать его удалению, злоупотребляя службами доступности Android.

«SpyNote известен своей упорствованностью, часто требующей полного сброса до заводских настроек для полного удаления,» предупредили исследователи из DomainTools, которые обнаружили кампанию, как сообщает Infosecusiry.

Улики в вирусе и инфраструктуре доставки предполагают возможную связь с Китаем. Вредоносное ПО содержит код на китайском языке и использует китайские платформы для распространения.

Infosecurity отмечает, что хотя окончательное приписывание еще не было сделано, SpyNote ранее связывали с шпионскими кампаниями против оборонного персонала Индии и с продвинутыми группами угроз, такими как APT34 и APT-C-37.

Это открытие следует за волной подобных угроз, нацеленных на Android, включая недавнее ToxicPanda вредоносное ПО, которое нацеливалось на банковские приложения. Эксперты по безопасности рекомендуют избегать загрузки приложений от сторонних разработчиков и полагаться только на доверенные магазины приложений.