В Италии в настоящее время проводится хитрая кампания по заражению Android-устройств вредоносной программой SpyNote. Злоумышленники маскируют программу под приложение INPS Mobile и создали фишинговую страницу, которая выглядит как официальный сайт Института. После скачивания приложения, жертве предлагается обновить его и предоставить разрешения, после чего она будет показана настоящая страница сайта INPS.
Само приложение содержит код, который расшифровывает строки, получает ключи шифрования и устанавливает поддельное приложение, скрытое в папке "assets". Вредоносная программа SpyNote обладает различными возможностями, включая самостоятельное включение разрешений, обнаружение эмуляторов, перехват клавиатуры и SMS, кражу паролей и кредитных карт, запись звонков и связь с C2 для установки дополнительных вредоносных нагрузок.
Эта вредоносная кампания представляет серьезную угрозу для Android-устройств в Италии, поэтому пользователям следует быть осторожными при скачивании приложений с подозрительных источников.
Indicators of Compromise
IPv4
- 46.226.166.81
Domains
- inps-nazionale.com
- inps-nazionale.net
- inps-nazionale.org
- inps-verification.com
URLs
- https://inps-nazionale.com/inps-nazionale.net/
- https://inps-nazionale.net/
- https://inps-nazionale.org/
MD5
- 0b75e7c7f68934a54ed7324215dcd361
- 83903ae6c52dd1af8f7909597ee5baf2
SHA1
- 5e765fa94edfdc0e0140758d60f056ccec296312
- ae77794c9159d848ed39a8d1e146ac281d936373
SHA256
- 263b02918ca429a722622b86458348b67a2a6dd3560d2e616b15fd8632db111c
- 55dd376af0a97f78d184fd48f968566eb40af2242a54ba49d1a11392edff418b