Троян SpyNote на Android может записывать звонки

По данным итальянской компании по кибербезопасности Cleafy, с июня 2023 года была обнаружена кампания с использованием SpyNote, нацеленная на финансовые учреждения в Европе.

Эксперты по безопасности из F-Secure заявили, что SpyNote (также известный как SpyMax) часто распространяется с помощью фишинговых SMS-рассылок, обманным путем заставляя жертв устанавливать приложение, нажимая на ссылку, встроенную в вредоносный код.

Помимо запроса доступа к журналам вызовов, камере, SMS-сообщениям и внешнему хранилищу, SpyNote известен тем, что скрывает своё присутствие, чтобы избежать обнаружения. Согласно анализу, вредоносное ПО SpyNote может быть запущено через внешнюю программу.

Важно отметить, что SpyNote ищет разрешения, а затем использует их, чтобы предоставить себе дополнительные разрешения на запись аудио и телефонных звонков, нажатий клавиш и создание снимков экрана телефона. Дальнейший анализ показал, что SpyNote включает в себя функцию противодействия попыткам удалить вредоносное приложение.

Это достигается регистрацией класса широковещательного приёмника, который перезапускается при каждом завершении работы программы. Попытки удалить вредоносное приложение через настройки предотвращаются закрытием экрана с помощью API специальных возможностей.

F-Secure заявила, что SpyNote, создаваемый устройству, оставляет жертве возможность выполнить сброс настроек к заводским, что приведет к удалению всех данных. Финская компания по кибербезопасности подробно описала приложение для Android, маскирующееся под обновление операционной системы, чтобы обманным путем заставить жертв предоставить доступ к специальным возможностям, что впоследствии может привести к краже банковских данных и SMS-сообщений.