Istraživači iz kompanije DomainTools upozoravaju na opasnu kampanju širenja malicioznog softvera SpyNote, koji se trenutno distribuira putem lažnih veb sajtova nalik Google Play prodavnici.
Ovi sajtovi, hostovani na nedavno registrovanim domenima, varaju korisnike da preuzmu zaražene APK fajlove pod izgovorom instalacije popularnih aplikacija.
Na ovim stranicama nalaze se lažni skrinšotovi aplikacija, dugmad „Instaliraj“ i kodovi koji imitiraju legitimne pakete poput TikTok-a. Klikom na dugme za instalaciju, aktivira se JavaScript koji automatski preuzima maliciozni APK fajl. Nakon instalacije, ovaj fajl pokreće dodatni program koji preuzima puni SpyNote trojanac.
SpyNote omogućava napadačima daljinsku kontrolu nad uređajem: može da prisluškuje pozive, presreće SMS poruke, koristi kameru i mikrofon, prati GPS lokaciju, snima pozive, krade lozinke i 2FA kodove, a može čak i da zaključa ili izbriše sve podatke sa telefona.
Zahvaljujući sistemu dozvola, SpyNote se duboko integriše u Android sistem i često zahteva fabriko resetovanje da bi se u potpunosti uklonio. Stručnjaci upozoravaju da se radi o visoko upornom virusu koji može ostati skriven i nakon restarta uređaja.
Do sada je zabeležena krađa skoro $300.000, a sumnja se da kampanja ima poreklo iz Kine, s obzirom na prisustvo koda i sajtova na kineskom jeziku, iako to još nije potvrđeno.
IZVOR: B92, CHICAGO DESAVANJA, FOTO: PIXABAY
