По данным итальянской компании по кибербезопасности Cleafy, с июня 2023 года была обнаружена кампания с использованием SpyNote, нацеленная на финансовые учреждения в Европе.
Эксперты по безопасности из F-Secure заявили, что SpyNote (также известный как SpyMax) часто распространяется с помощью фишинговых SMS-рассылок, обманным путем заставляя жертв устанавливать приложение, нажимая на ссылку, встроенную в вредоносный код.
Помимо запроса доступа к журналам вызовов, камере, SMS-сообщениям и внешнему хранилищу, SpyNote известен тем, что скрывает своё присутствие, чтобы избежать обнаружения. Согласно анализу, вредоносное ПО SpyNote может быть запущено через внешнюю программу.
Клиенты европейских банков подвергаются атакам SpyNote
Важно отметить, что SpyNote ищет разрешения, а затем использует их, чтобы предоставить себе дополнительные разрешения на запись аудио и телефонных звонков, нажатий клавиш и создание снимков экрана телефона. Дальнейший анализ показал, что SpyNote включает в себя функцию противодействия попыткам удалить вредоносное приложение.
Это достигается регистрацией класса широковещательного приёмника, который перезапускается при каждом завершении работы программы. Попытки удалить вредоносное приложение через настройки предотвращаются закрытием экрана с помощью API специальных возможностей.
F-Secure заявила, что SpyNote, создаваемый устройству, оставляет жертве возможность выполнить сброс настроек к заводским, что приведет к удалению всех данных. Финская компания по кибербезопасности подробно описала приложение для Android, маскирующееся под обновление операционной системы, чтобы обманным путем заставить жертв предоставить доступ к специальным возможностям, что впоследствии может привести к краже банковских данных и SMS-сообщений.
Ссылка на источник
Комментарий (0)