Android-вредонос SpyNote атакует японцев под видом местного ЖКХ

Исследователи McAfee выявили масштабную кампанию по рассылке вредоносных SMS-сообщений, нацеленную на владельцев смартфонов под управлением Android в Японии.

Злоумышленники рассылали SMS от имени компаний, предоставляющих услуги электро- и водоснабжения, предупреждая адресатов о якобы имеющейся задолженности за пользование данными услугами. В сообщениях содержались ссылки, ведущие на фишинговые сайты, где жертвам предлагалось ввести личные данные и оплатить несуществующие долги. Там же на устройства японских пользователей загружался вредонос, замаскированный под официальное приложение местных поставщиков услуг.

Одним из таких поставщиков, чьё доброе имя было использовано злонамеренно, стала компания TEPCO, оказывающая услуги электроснабжения на территории Японии. Внезапная просьба установить вредоносное приложение на смартфон, по всей видимости, не вызывала подозрений у жертв, так как они хорошо знали эту компанию и доверяли ей.

Данная вредоносная операция проводилась подозрительно короткое время: с 7 по 9 июня 2023 года, однако успела затронуть тысячи пользователей по всей Японии.

Троян SpyNote, которым заражались устройства жертв, представляет собой уже известное шпионское ПО, позволяющее удалённо контролировать смартфон и получать доступ к личным данным владельца. Он крадёт контакты, SMS-переписку, журнал звонков, местоположение и другую конфиденциальную информацию.

Помимо осуществления шпионажа SpyNote также ворует данные для двухфакторной аутентификации из приложений Google Authenticator, Gmail и пароли от аккаунтов в социальных сетях. Злоумышленники из разных стран активно используют этот троян в своих вредоносных кампаниях на протяжении всего 2023 года, в частности для атак на финансовые организации.

После запуска SpyNote маскирует свои иконки под легитимные приложения, а затем открывает фейковый экран настроек и просит жертву включить доступ к специальным возможностям устройства. Это позволяет вредоносу отключить оптимизацию батареи и работать постоянно в фоновом режиме.

Также троян автоматически активирует установку приложений из неизвестных источников, что даёт ему возможность беспрепятственно загружать дополнительное вредоносное ПО. Такая тактика позволяет обойти бдительность жертвы и получить расширенные права на целевом устройстве.

Эксперты McAfee предупреждают, что пользователям Android следует проявлять повышенную осторожность и бдительность при получении подозрительных SMS, даже если кажется, что они поступили от поставщиков коммунальных услуг и прочих государственных организаций.

Внезапная загрузка APK-файлов с подозрительных сайтов также является хорошим индикатором того, что вас пытаются атаковать злоумышленники. Легитимное учреждение, если будет такая нужда, перенаправит вас в официальный магазин Google Play для установки приложения оттуда. И даже при скачивании из официальных источников нужно сначала почитать отзывы и проверить страницу издателя, потому что киберпреступники при большом желании могут подделать и её тоже.