Ovi veb sajtovi oponašaju legitimne stranice aplikacija Google Play prodavnice, a cilj je da ubijede korisnike da preuzmu zaražene fajlove pod izgovorom instaliranja popularnih aplikacija.
Istraživači kažu da sajtovi uključuju elemente kao što su skrinšotovi navodnih stranica aplikacije, dugme “Instaliraj”, pa čak i ostatke koda koji upućuju na TikTokov Android paket.
Klikom na dugme za instalaciju pokreće se Javascript, koji automatski pokreće preuzimanje APK fajla. Kada se instalira, dropper APK izvršava skrivenu funkciju za instaliranje drugog ugrađenog APK-a. On ima osnovnu funkcionalnost SpyNote-a, što mu omogućava da komunicira sa serverima za komandu i kontrolu (C2).
Virus SpyNote pruža napadačima širok spektar funkcija za nadzor i kontrolu, uključujući:
– Presretanje SMS-a, evidencije poziva i kontakata
– Aktiviranje kamere i mikrofona na daljinu
– Evidentiranje pritisaka na tastere, što omogućava napadačima krađu lozinki i 2FA kodova
– Praćenje GPS lokacije
– Snimanje telefonskih poziva
– Preuzimanje i instaliranje dodatnih aplikacija
– Sprečavanje uklanjanja zloupotrebom usluga pristupačnosti
– Daljinsko brisanje ili zaključavanje uređaja
Mnoge od ovih mogućnosti su omogućene putem zahtjeva za dozvole, od kojih neke omogućavaju malveru da preživi ponovno pokretanje uređaja ili da u potpunosti sakrije svoje prisustvo.
– SpyNote je ozloglašen po svojoj upornosti, često zahtijeva fabričko resetovanje za potpuno uklanjanje – kažu istraživači koji su otkrili ovu kampanju.
Pronađeni dokazi iz infrastrukture malvera i načini isporuke ukazuju na moguće porijeklo iz Kine, uključujući prisustvo koda na kineskom jeziku i korišćenje sajtova za distribuciju na kineskom jeziku. Međutim, to još uvijek nije konačan zaključak, piše Informacija.
Najnovije vijesti Srpskainfo i na Viberu