Эксперты обнаружили новую волну атак с участием вредоносного программного обеспечения SpyNote, которое теперь распространяется под видом Google Play. Злоумышленники создают фальшивые страницы, визуально неотличимые от оригинального магазина приложений, чтобы заставить пользователей загрузить вредоносный APK-файл.
Как сообщают исследователи, мошенники копируют HTML-структуру и стили оформления Google Play, а затем размещают на поддельных сайтах ссылки на якобы популярные приложения. В списке приманок — фейковые версии социальных сетей iHappy и CamSoda, игр 8 Ball Pool и Block Blast, а также поддельные утилиты вроде браузера Chrome и файловых менеджеров. При нажатии на кнопку «Install» приложение не загружается из официального магазина, а скачивается напрямую с поддельного ресурса, заражая устройство.
Обновлённые версии SpyNote используют целый набор методов обхода защитных механизмов. Троян реализован в виде многоступенчатой установки с зашифрованными компонентами, причём для каждого экземпляра вредонос генерирует уникальный ключ шифрования AES на основе имени пакета приложения. Также применяется внедрение через DEX Element Injection, позволяющее вмешиваться в работу Android ClassLoader и подменять поведение легитимных приложений. Вредонос активно запутывает свой код, меняя структуру символов и маскируясь от автоматических средств анализа.
SpyNote представляет собой полноценный RAT (Remote Access Trojan) и предоставляет удалённому оператору обширные возможности. Среди них — управление камерой и микрофоном, перехват звонков, СМС и push-уведомлений, кейлогинг (в том числе захват логинов, паролей и кодов двухфакторной аутентификации), наложение фальшивых экранов на приложения для кражи учётных данных, удалённое стирание информации и блокировка экрана при получении прав администратора.
По мнению специалистов, SpyNote остаётся одной из наиболее опасных угроз для Android. Его маскировка под Google Play и широкие технические возможности делают его особенно опасным для пользователей, которые устанавливают приложения вне официального магазина. Эксперты настоятельно рекомендуют загружать приложения только из проверенных источников, не переходить по ссылкам в мессенджерах и на сомнительных сайтах, а также использовать антивирусное ПО с функцией обнаружения мобильных RAT.