Fałszywe strony Google Play rozprzestrzeniają szkodliwe oprogramowanie SpyNote użytkownikom Androida

Image by Yuri Samoilov, from Flickr

Fałszywe strony Google Play rozprzestrzeniają szkodliwe oprogramowanie SpyNote użytkownikom Androida

Przeczytasz w: 2 min

Ostatnia aktualizacja: Apr 15, 2025

Nowo odkryta kampania malware na Androida rozpowszechnia potężnego SpyNote Trojana zdalnego dostępu (RAT), naśladując strony Google Play Store na zmyślnych stronach internetowych.

Spieszysz się? Oto szybkie fakty:

  • Złośliwe pobieranie APK zaczyna się od fałszywych przycisków „Instaluj”.
  • SpyNote umożliwia szpiegowanie, kradzież danych i zdalne sterowanie urządzeniem.
  • Malware nadużywa uprawnień Androida, aby uniknąć wykrycia i usunięcia.

Badacze bezpieczeństwa z Infosecurity twierdzą, że kampania wykorzystuje niedawno zarejestrowane domeny, aby nakłonić użytkowników do pobrania zainfekowanych aplikacji, które są ukryte pod postacią popularnego oprogramowania.

Fałszywe strony bardzo przypominają prawdziwe listy Google Play, z karuzelami obrazów, przyciskami „Zainstaluj” i śladami kodu odnoszącymi się do aplikacji TikTok na Androida. Kiedy użytkownicy klikają, aby zainstalować, złośliwy JavaScript uruchamia automatyczne pobieranie minowanej pliku APK.

Po zainstalowaniu, APK wykonuje ukrytą funkcję, która instaluje drugą APK zawierającą główny ładunek SpyNote. To złośliwe oprogramowanie łączy się z serwerami poleceń i kontroli (C2) za pomocą zaszytych w kodzie adresów IP, umożliwiając zdalny dostęp i inwigilację.

SpyNote daje atakującym pełną kontrolę nad zainfekowanymi urządzeniami. Jego funkcje obejmują przechwytywanie połączeń i SMS-ów, dostęp do kontaktów, nagrywanie rozmów telefonicznych, rejestrowanie naciśnięć klawiszy, uruchamianie kamery i mikrofonu oraz śledzenie lokalizacji GPS.

Malware może również instalować inne aplikacje, blokować lub kasować urządzenia oraz uniemożliwiać usunięcie poprzez nadużywanie usług dostępności Androida.

„SpyNote jest znany ze swojej wytrwałości, często wymagając pełnego resetu fabrycznego do całkowitego usunięcia”, ostrzegali badacze z DomainTools, którzy odkryli tę kampanię, jak podaje Infosecusiry.

Wskazówki zawarte w złośliwym oprogramowaniu i infrastrukturze dostarczania sugerują możliwe powiązanie z Chinami. Malware zawiera kod w języku chińskim i korzysta z platform dystrybucyjnych zlokalizowanych w Chinach.

Infosecurity zauważa, że choć nie dokonano jednoznacznej atrybucji, SpyNote był wcześniej kojarzony z kampaniami szpiegowskimi przeciwko indyjskim wojskowym oraz zaawansowanymi grupami zagrożeń, takimi jak APT34 i APT-C-37.

To odkrycie następuje po fali podobnych zagrożeń skierowanych na Androida, w tym niedawne oprogramowanie szkodliwe ToxicPanda, które było skierowane na bankowe aplikacje. Eksperci ds. bezpieczeństwa zalecają unikanie pobierania aplikacji od firm trzecich i poleganie tylko na zaufanych sklepach z aplikacjami.

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Zostaw komentarz

Loader
Loader Pokaż więcej...