Клиенты европейских банков стали мишенью банковского трояна для Android под названием SpyNote, который распространяется распространяется с помощью фишинга или смишинга, а все действия хакеров выполняются с помощью троянов удаленного доступа (Remote Access Trojan, RAT) и вишинга. Об этом сообщили специалисты компании Cleafy.
Троян SpyNote представляет собой шпионское ПО, позволяющее удалённо контролировать смартфон и получать доступ к личным данным владельца. SpyNote крадёт контакты, SMS-сообщения, пароли от аккаунтов соцсетей, журнал звонков, местоположение и другую конфиденциальную информацию. Злоумышленники из разных стран активно используют этот троян в своих вредоносных кампаниях на протяжении всего 2023 года, в частности для атак на финансовые организации.
Цепочки атак начинаются с поддельного SMS-сообщения, призывающего пользователей перейти по ссылке и установить банковское приложение. Ссылка перенаправляет жертву на страницу загрузки легитимного приложения TeamViewer QuickSupport в магазине Google Play. В кампании злоумышленник звонит жертве, выдавая себя за оператора банка, и осуществляет мошеннические операции непосредственно на устройстве жертвы через TeamViewer.
Идея состоит в том, чтобы использовать TeamViewer в качестве канала для получения удаленного доступа к телефону жертвы и скрытой установки вредоносного ПО. Различные виды информации, собираемой SpyNote, включают данные геолокации, нажатия клавиш, запись экрана и SMS-сообщения для обхода двухфакторной аутентификации на основе SMS (2FA).
Securitylab наопминает, ранее исследователи McAfee выявили масштабную кампанию по рассылке вредоносных SMS-сообщений, нацеленную на владельцев смартфонов под управлением Android в Японии. В ходе кампании на устройства японских пользователей загружался SpyNote, замаскированный под официальное приложение местного ЖКХ.