Эксперты в сфере кибербезопасности зафиксировали активную волну атак, в рамках которой злоумышленники распространяют вредоносное программное обеспечение через поддельные сайты, замаскированные под страницы популярных сервисов. В числе самых активных угроз оказался троян SpyNote, ориентированный на пользователей Android.
Как отметили специалисты команды DomainTools Investigations, вредоносные ресурсы размещаются на недавно зарегистрированных доменах и имитируют интерфейс Google Play. Визуально они напоминают страницы установки популярных приложений, таких как браузер Chrome, что позволяет ввести в заблуждение посетителей и склонить их к установке вредоносного программного обеспечения.
По отчёту, предоставленному изданию The Hacker News, создатели этих ресурсов прибегают к многоязычному оформлению. Так, на страницах можно обнаружить как английский, так и китайский язык, а в коде сайтов и в самом зловреде используются комментарии на китайском. Это, по словам исследователей, может свидетельствовать о происхождении авторов вредоносного кода.
Троян SpyNote, также известный под названием SpyMax, давно получил репутацию мощного инструмента для сбора личной информации с Android-устройств. Он использует функции доступности, чтобы получить доступ к широкому кругу данных. В мае 2024 года эта программа распространялась через ещё один фальшивый сайт, на этот раз замаскированный под антивирус Avast.
Специалисты компании Zimperium, специализирующейся на мобильной безопасности, после анализа пришли к выводу, что между SpyNote и другой вредоносной программой под названием Gigabud существует определённое сходство. Исследователи не исключают, что оба продукта могут иметь общего разработчика. Gigabud, как предполагается, связан с преступной группой, говорящей на китайском языке, известной под псевдонимом GoldFactory.
За последние годы SpyNote успел попасть в арсенал нескольких группировок, связанных с государственными структурами. В частности, его использование фиксировалось у хакеров из объединения OilAlpha, а также у анонимных структур, чья принадлежность пока не установлена.
Фальшивые сайты, обнаруженные DomainTools Investigations, были снабжены визуальными галереями, которые при клике начинали загрузку APK-файла — установочного пакета, содержащего вредоносное ПО. Этот файл служил промежуточным звеном, активируя вторую вредоносную нагрузку через механизм DialogInterface.OnClickListener. Это позволяло запускать вредоносный код после взаимодействия с диалоговым окном.
Как подчеркнули исследователи из DTI, после установки программа начинает запрашивать большое количество разрешений, получая тем самым практически полный контроль над устройством жертвы.
Оригинал публикации на сайте CISOCLUB: "Мошеннические приложения атакуют владельцев Android и iOS — раскрыты новые приёмы распространения SpyNote и других троянов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.