Истражувачите во DomainTools набљудувале веб-страници хостирани на неодамна регистрирани домени кои служат за дистрибуција на SpyNote, моќен тројанец за далечински пристап (RAT).
Овие веб-локации имитираат легитимни страници на апликациите на Google Play Store и имаат за цел да ги убедат корисниците да преземаат заразени датотеки под изговор дека инсталираат популарни апликации.
Истражувачите велат дека сајтовите вклучуваат елементи како што се слики од екранот на наводните страници на апликации, копче „Инсталирај“, па дури и остатоци од код што укажуваат на Android пакетот на TikTok.
Со кликнување на копчето за инсталирање се активира JavaScript, што автоматски го иницира преземањето на датотеката APK. Откако ќе се инсталира, APK извршува скриена функција за да инсталира друга вградена APK. Ја има основната функционалност на SpyNote, која му овозможува да комуницира со серверите за команда и контрола (C2).
SpyNote им обезбедува на напаѓачите широк спектар на функции за следење и контрола, вклучувајќи:
* Пресретнување на СМС, листа на повици и контакти
* Активирање на камерата и микрофонот од далечина
* Евидентирање на притискањето на тастатурата, што им овозможува на напаѓачите да украдат лозинки и 2FA кодови
* Следење на локација со GPS
* Снимање телефонски повици
* Преземање и инсталирање дополнителни апликации
* Далечинско бришење или заклучување на уредот
Многу од овие способности се овозможени преку барања за дозвола, од кои некои дозволуваат малициозниот софтвер да преживее рестартирање на уредот или целосно да го скрие своето присуство.
„SpyNote е познат по својата упорност, честопати бара фабричко ресетирање за целосно отстранување“, велат истражувачите кои ја открија кампањата.
Доказите пронајдени од инфраструктурата на малициозниот софтвер и методите за испорака укажуваат на можно кинеско потекло, вклучувајќи го и присуството на код на кинески јазик и употребата на сајтови за дистрибуција на кинески јазик. Сепак, сè уште не е конечен заклучок.
