Операция SpyNote, также известная под псевдонимом SpyMax, демонстрирует высокотехнологичное развертывание вредоносного ПО для Android через обманные веб-сайты, зарегистрированные на новых доменах. Фальшивые страницы, имитирующие установку через Google Play — порой даже копирующие интерфейс установки браузера Chrome — используют смешение английского и китайского языков, что подтверждают данные отчёта команды DomainTools Investigations, приведённого в The Hacker News.
Техника доставки вредоносного кода включает показ карусели изображений на поддельном сайте, при клике на который происходит скачивание вредоносного файла APK. Полученный дроппер устанавливает второй встроенный APK через диалоговое окно с использованием DialogInterface.OnClickListener. После активации SpyNote требует доступ ко множеству разрешений для кражи SMS, контактов, журналов вызовов, данных о местоположении, файлов, а также для управления камерой, микрофоном и выполнения произвольных команд. В мае 2024 года SpyNote уже применялась через сайт, маскирующийся под Avast.
Анализ мобильной безопасности, проведённый фирмой Zimperium, выявил сходства между SpyNote и вредоносной программой Gigabud, что указывает на возможное участие одного и того же киберпреступного коллектива, связанного с китайским хакером под кодовым именем GoldFactory. Известно, что SpyNote также использовалась группировками с государственной поддержкой, такими как OilAlpha, что подчёркивает масштаб и сложность данной угрозы.
Согласно отчётам Lookout, в 2024 году количество атак на мобильные устройства посредством методов социальной инженерии превысило 4 миллиона, а на корпоративных устройствах зафиксировано 427 000 вредоносных приложений и 1 600 000 обнаружений уязвимых приложений. Фишинговые атаки на платформе iOS выросли в два раза по сравнению с Android за последние пять лет, что затрагивает как неправительственные организации, так и журналистов, бизнес-сообщество и активистов гражданского общества, подвергаясь риску нецелевых заражений.
Вредоносный троян BadBazaar, впервые документированный Lookout в ноябре 2022 года, активен с 2018 года и способен собирать данные о местоположении, сообщениях, фотографиях и файлах с устройств Android и iOS. Несмотря на ограниченные возможности iOS-версии, кампания в первую очередь нацелена на тибетское сообщество внутри Китая и связывается с китайской хакерской группировкой APT15, известной также под именами Flea, Nylon Typhoon (ранее Nickel), Playful Taurus, Royal APT и Vixen Panda.
В свою очередь, вредоносное ПО MOONSHINE недавно применил киберпреступник Earth Minotaur для организации систематического наблюдения за тибетами и уйгурами. Собранные данные отправляются на сервер атакующих через панель SCOTCH ADMIN, где фиксируются подробности по каждому скомпрометированному устройству. По состоянию на январь 2024 года через данную панель было зарегистрировано 635 устройств, что подчёркивает эффективность и масштаб данной операции.
В контексте международных расследований внимание привлёк случай ареста Дильшата Решита, уйгурского жителя Стокгольма, задержанного шведскими властями по подозрению в шпионаже в отношении членов уйгурского сообщества внутри страны. С 2004 года Решит выступал в роли китайскоязычного представителя Всемирного уйгурского конгресса (WUC), что добавляет дополнительные нюансы в глобальную сеть кибершпионских операций.
Изображение носит иллюстративный характер
Техника доставки вредоносного кода включает показ карусели изображений на поддельном сайте, при клике на который происходит скачивание вредоносного файла APK. Полученный дроппер устанавливает второй встроенный APK через диалоговое окно с использованием DialogInterface.OnClickListener. После активации SpyNote требует доступ ко множеству разрешений для кражи SMS, контактов, журналов вызовов, данных о местоположении, файлов, а также для управления камерой, микрофоном и выполнения произвольных команд. В мае 2024 года SpyNote уже применялась через сайт, маскирующийся под Avast.
Анализ мобильной безопасности, проведённый фирмой Zimperium, выявил сходства между SpyNote и вредоносной программой Gigabud, что указывает на возможное участие одного и того же киберпреступного коллектива, связанного с китайским хакером под кодовым именем GoldFactory. Известно, что SpyNote также использовалась группировками с государственной поддержкой, такими как OilAlpha, что подчёркивает масштаб и сложность данной угрозы.
Согласно отчётам Lookout, в 2024 году количество атак на мобильные устройства посредством методов социальной инженерии превысило 4 миллиона, а на корпоративных устройствах зафиксировано 427 000 вредоносных приложений и 1 600 000 обнаружений уязвимых приложений. Фишинговые атаки на платформе iOS выросли в два раза по сравнению с Android за последние пять лет, что затрагивает как неправительственные организации, так и журналистов, бизнес-сообщество и активистов гражданского общества, подвергаясь риску нецелевых заражений.
Вредоносный троян BadBazaar, впервые документированный Lookout в ноябре 2022 года, активен с 2018 года и способен собирать данные о местоположении, сообщениях, фотографиях и файлах с устройств Android и iOS. Несмотря на ограниченные возможности iOS-версии, кампания в первую очередь нацелена на тибетское сообщество внутри Китая и связывается с китайской хакерской группировкой APT15, известной также под именами Flea, Nylon Typhoon (ранее Nickel), Playful Taurus, Royal APT и Vixen Panda.
В свою очередь, вредоносное ПО MOONSHINE недавно применил киберпреступник Earth Minotaur для организации систематического наблюдения за тибетами и уйгурами. Собранные данные отправляются на сервер атакующих через панель SCOTCH ADMIN, где фиксируются подробности по каждому скомпрометированному устройству. По состоянию на январь 2024 года через данную панель было зарегистрировано 635 устройств, что подчёркивает эффективность и масштаб данной операции.
В контексте международных расследований внимание привлёк случай ареста Дильшата Решита, уйгурского жителя Стокгольма, задержанного шведскими властями по подозрению в шпионаже в отношении членов уйгурского сообщества внутри страны. С 2004 года Решит выступал в роли китайскоязычного представителя Всемирного уйгурского конгресса (WUC), что добавляет дополнительные нюансы в глобальную сеть кибершпионских операций.
