Аналитичарите од DomainTools откриле дека некои веб-страници, кои се хостираат на сè уште новорегистрирани домени, се користат за дистрибуција на SpyNote, напреден тројанец за далечински пристап (RAT). Тие сајтови, кои се претставуваат како автентични страници од Google Play Store, целат да ги замамат корисниците да симнат заразени датотеки со предлог дека станува збор за инсталирање на популарни апликации. Истражувачите посочуваат дека на овие страници можат да се видат скриншоти од наводните апликации, копче за „Инсталирај“, и дури делови од кодот кои сугерираат дека се однесуваат на Android пакетот на TikTok. Натискањето на копчето „Инсталирај“ го активира JavaScript кодот, кој автоматски започнува со преземање на APK датотеката. По инсталирањето, APK датотеката извршува скриена операција за инсталација на друга вградена APK која содржи основни функции на SpyNote, овозможувајќи комуникација со C2 (командни и контролни) сервери. SpyNote дава можност на напаѓачите да пристапат до широк опсег од надзорни и контролни функции, вклучително и:
– Пресретнување на SMS пораки, листи на повици и контакти
– Далечинско активирање на камерата и микрофонот
– Запишување на секое стискање на тастатурата, овозможувајќи им на напаѓачите да крадат лозинки и 2FA кодови
– Следење на GPS локација
– Снимање на телефонските разговори
– Превземање и инсталирање на дополнителни апликации
– Далечинско бришење или заклучување на уредот
Овие функции често се овозможуваат преку разни барања за пермисии, што и овозможува на малициозниот софтвер да продолжи да оперира дури и после рестарт на уредот или да остане целосно скриен. „SpyNote е познат по својата упорност и често потребно е фабричко ресетирање за да се отстрани целосно“, изјавиле истражувачите зад откритието. Наодите од инфраструктурата на овој малициозен софтвер и методите за негова испорака укажуваат на веројатно кинеско потекло, вклучително и присуство на код напишан на кинески јазик и користење на веб-страници на кинески за дистрибуција на малициозниот софтвер, макар што сè уште не може да се стави конечен заклучок.
