Специалисты F-Secure изучили банковский троян SpyNote для Android, распространяющийся посредством фишинговых SMS-сообщений, в которых хакеры убеждают жертв скачать и установить вредоносное приложение.
После установки малварь запрашивает у пользователя ряд опасных разрешений, включая доступ к журналам вызовов, камере, SMS-сообщениям и внешнему хранилищу. Кроме того, SpyNote известен тем, что скрывается с главного экрана Android-устройства и экрана последних запущенных приложений, стараясь тем самым затруднить обнаружение.
Полученные права вредонос использует для предоставления себе дополнительных разрешений на запись аудио и телефонных разговоров, перехват нажатий клавиш, а также делает скриншоты с помощью API MediaProjection.
Кроме того, при более детальном изучении был обнаружен ряд «стойких» сервисов, которые противостоят попыткам уничтожения вредоноса как со стороны жертвы, так и со стороны операционной системы. В частности, это достигается путем регистрации broadcast receiver’а, который автоматически перезапускается при выключении.
Более того, пользователи, которые пытаются удалить вредоносное приложение, перейдя в «Настройки», не могут сделать этого, так как меню все время закрывается, благодаря злоупотреблению API Accessibility Service.
После установки малварь запрашивает у пользователя ряд опасных разрешений, включая доступ к журналам вызовов, камере, SMS-сообщениям и внешнему хранилищу. Кроме того, SpyNote известен тем, что скрывается с главного экрана Android-устройства и экрана последних запущенных приложений, стараясь тем самым затруднить обнаружение.
Полученные права вредонос использует для предоставления себе дополнительных разрешений на запись аудио и телефонных разговоров, перехват нажатий клавиш, а также делает скриншоты с помощью API MediaProjection.
Кроме того, при более детальном изучении был обнаружен ряд «стойких» сервисов, которые противостоят попыткам уничтожения вредоноса как со стороны жертвы, так и со стороны операционной системы. В частности, это достигается путем регистрации broadcast receiver’а, который автоматически перезапускается при выключении.
Более того, пользователи, которые пытаются удалить вредоносное приложение, перейдя в «Настройки», не могут сделать этого, так как меню все время закрывается, благодаря злоупотреблению API Accessibility Service.
