По данным итальянской компании Cleafy, занимающейся кибербезопасностью, с июня 2023 года была обнаружена кампания с использованием SpyNote, нацеленная на финансовые учреждения в Европе.
Эксперты по безопасности из F-Secure заявили, что SpyNote (также известный как SpyMax) часто распространяется посредством фишинговых SMS-кампаний, обманным путем заставляя жертв устанавливать приложение, нажимая на ссылку, встроенную в вредоносный код.
Помимо запроса доступа к журналам вызовов, камере, SMS-сообщениям и внешнему хранилищу, SpyNote известен тем, что скрывает свое присутствие, чтобы избежать обнаружения. Согласно анализу, вредоносное ПО SpyNote может быть запущено через внешнюю программу.
Клиенты европейских банков подвергаются атакам SpyNote
Ключевым моментом является то, что SpyNote ищет разрешения, а затем использует их, чтобы предоставить себе дополнительные разрешения на запись аудио и телефонных звонков, нажатий клавиш и создание снимков экрана телефона. Копнув глубже, исследователи обнаружили, что SpyNote содержит функционал для противодействия попыткам завершить работу вредоносного приложения.
Это достигается путем регистрации класса широковещательного приемника, который предназначен для перезапуска при каждом завершении работы программы. Попытки удалить вредоносные приложения через настройки будут предотвращены путем закрытия экрана с использованием API специальных возможностей.
По словам представителей F-Secure, проблемы, которые SpyNote создает для устройства, оставляют жертвам последний вариант — выполнить сброс настроек до заводских, что приведет к потере всех данных. Объявление появилось после того, как финская фирма по кибербезопасности представила описание приложения Android, которое маскируется под обновление операционной системы, чтобы обманным путем заставить жертв предоставить доступ к службам специальных возможностей, а затем украсть банковские данные и SMS-сообщения.
Ссылка на источник
Комментарий (0)