Аналитики из ИБ-компании F-Secure провели глубокий анализ Android-трояна SpyNote и обнаружили его обширные возможности по сбору конфиденциальной информации.
Обычно SpyNote распространяется через смишинг-кампании, в ходе которых злоумышленники убеждают жертв перейти по ссылке в SMS и установить приложение. Во время установки SpyNote запрашивает доступ к журналу вызовов, камере, сообщениям SMS и внешнему хранилищу, умело скрывая свои следы на стартовом экране Android и экране недавних задач для затруднения обнаружения.
Исследователи заявили, что вредонос SpyNote может быть активирован через внешний триггер. Получив сигнал, вредоносное приложение запускает основную активность.
SpyNote примечательно тем, что оно получает разрешения, а затем использует их для автоматического предоставления себе дополнительных прав на запись аудио и телефонных звонков, регистрацию нажатий клавиш и создание скриншотов экрана через API MediaProjection.
Более тщательное изучение вредоносного ПО позволило выявить наличие так называемых “diehard” служб, которые защищают приложение от попыток завершения его работы, будь то со стороны жертвы или операционной системы.
Троян SpyNote обеспечивает свою устойчивость путем регистрации широковещательного приемника (Broadcast Receiver), который автоматически перезапускает вредоносное ПО при попытках его завершения. Более того, при попытке пользователя удалить вредоносное приложение через меню настроек, меню автоматически закрывается из-за использования API. Единственным решением проблемы остаётся выполнить сброс до заводских настроек, теряя все данные на устройстве.