Користувачів попередили про Android-вірус, від якого не існує захисту

Аналітики з F-Secure провели глибокий аналіз Android-трояна SpyNote і виявили, що вірус здатен збирати персональну інформацію із заражених гаджетів користувачів.

Зазвичай SpyNote поширюється через кампанії, під час яких зловмисники переконують жертв перейти за посиланням у SMS і встановити додаток. Під час інсталяції SpyNote запитує доступ до журналу викликів, камери, повідомлень SMS і зовнішнього сховища, вміло приховуючи свої сліди на стартовому екрані Android та екрані нещодавніх завдань.

Дослідники заявили, що шкідник SpyNote може бути активований через зовнішній тригер. Отримавши сигнал, зловмисний додаток запускає основну активність. SpyNote отримує дозволи, а потім використовує їх для автоматичного надання собі додаткових прав на запис аудіо та телефонних дзвінків, реєстрацію натискань клавіш і створення знімків екрана через API MediaProjection.

Більш ретельне вивчення шкідливого ПЗ дало змогу виявити наявність так званих «diehard» служб, які захищають додаток від спроб завершення його роботи, чи то з боку жертви, чи з боку операційної системи.

Стійкість трояна SpyNote забезпечується шляхом реєстрації широкомовного приймача (Broadcast Receiver), який автоматично перезапускає шкідливе ПЗ при спробах його закриття. Ба більше, під час спроби користувача видалити шкідливий додаток через меню налаштувань, меню автоматично закривається через використання API. Єдиним розв’язання проблеми залишається скидання до заводських налаштувань, втрачаючи всі дані на гаджеті.

Раніше ми інформували про те, що хакери заразили вірусами популярні ТБ-приставки на Android. Виявилося, що тисячі дешевих моделей гаджетів ще з процесу виробництва заражені шпигунським ПЗ.