Исследователи из DomainTools Investigations (DTI) обнаружили десяток новых доменов .TOP, которые используются для распространения Android-трояна SpyNote. Эти домены выглядят как страницы Google Play Store, где можно скачать различные приложения. Фальшивки этих страниц могут быть на английском или китайском языке, а в кодах сайтов и самого трояна найдены комментарии на китайском языке.
Поддельные страницы содержат карусель изображений, которые при нажатии загружают на устройство посетителя APK-файл, который устанавливает SpyNote. При установке этот вредоносный программный продукт запрашивает разрешения на доступ к данным (геолокации, контактам, журналам звонков, СМС, файлам), камере, микрофону, а также может управлять вызовами и выполнять команды.
В мае прошлого года SpyNote распространялся под видом антивируса с фальшивого сайта Avast. Маскировка вредоносного программного обеспечения под легитимные приложения — обычная практика в мире киберпреступности. Например, распространители шпионских программ BadBazaar и Moonshine создали за последние два года более 100 троянов, которые являются клонами популярных Android-приложений.
© KiberSec.ru – 16.04.2025, обновлено 16.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
