Троян SpyNote маскируется под Google Play и заражает Android-устройства

Специалисты из DomainTools сообщили о новой вредоносной кампании, нацеленной на пользователей Android-устройств. Мошенники используют фальшивые сайты, замаскированные под страницы Google Play, чтобы распространять шпионское ПО SpyNote. Эти ресурсы размещены на недавно приобретённых доменах, что затрудняет их своевременное выявление.

Сайты оформлены так, чтобы максимально походить на официальные страницы популярных приложений. На них размещены карусели изображений, демонстрирующие поддельные скриншоты, кнопки установки и элементы кода, содержащие упоминания о TikTok. При попытке загрузки пользователь попадает в ловушку — скрипт автоматически запускает скачивание вредоносного APK-файла.

Установленный файл исполняет роль посредника: он незаметно разворачивает вторую, уже полнофункциональную версию программы. Этот второй APK содержит встроенные средства для связи с удалёнными серверами, параметры подключения к которым зашиты в коде. Как уточнили в DomainTools, SpyNote использует комбинацию заранее прописанных и динамически подгружаемых IP-адресов и портов. Основные инструкции и конфигурации передаются через DEX-файл, внедрённый в структуру вредоносного приложения.

SpyNote предоставляет злоумышленникам широкие возможности удалённого контроля. С его помощью можно перехватывать сообщения, просматривать списки звонков и контактов, активировать микрофон и камеру без ведома владельца, записывать разговоры и отслеживать местоположение устройства. Отдельно в DomainTools отметили способность программы фиксировать нажатия клавиш, включая пароли и одноразовые коды двухфакторной аутентификации.

Злоумышленники могут не только получать данные, но и вносить изменения в работу устройства — например, блокировать доступ к системе, удалённо удалять файлы или устанавливать другие приложения. Одной из самых опасных функций является запрет на удаление самого трояна, для чего используются механизмы, предоставленные службами доступности. В некоторых случаях вредоносное ПО способно скрываться от пользователя даже после перезагрузки устройства.

По словам специалистов из DomainTools, SpyNote нередко требует радикальных мер: чтобы избавиться от него полностью, пользователям может понадобиться полный сброс настроек к заводским. Подчёркивается, что троян известен своей устойчивостью и сложностью удаления, что делает его особенно опасным для широкой аудитории.