عوامل تهدید با ایجاد وبسایتهای جعلی و میزبانی آنها بر روی دامنههای تازه ثبت شده، اقدام به توزیع بدافزار شناخته شده اندرویدی به نام SpyNote کردند.
وبسایتهای جعلی به عنوان صفحات نصب فروشگاه Google Play برای برنامههایی مانند گوگل کروم ظاهر میشوند تا کاربران ناآگاه را جهت نصب بدافزار فریب دهند. محققان DTI دریافتند که عامل تهدید ترکیبی از وبسایتهای انگلیسی و چینیزبان را به کار میبرد و در کد سایتها و بدافزار نیز یادداشتهایی به زبان چینی مشاهده شده است. SpyNote (یا SpyMax) تروجان کنترل از راه دوری که با سوءاستفاده از سرویس دسترسی، دادههای حساس (SMS، مخاطبین، لاگ تماسها، اطلاعات مکان و فایلها) دستگاههای اندرویدی آلوده را استخراج میکند. در می 2024 نیز بدافزار از طریق سایت جعلی آنتیویروس Avast، منتشر شده بود.
هر دو بدافزار BadBazaar و MOONSHINE نیز به عنوان تروجانهایی شناخته میشوند که قابلیت جمعآوری دادههای حساس از دستگاههای اندرویدی و iOS را دارند و اغلب در قالب اپلیکیشنهای پیامرسان، ابزارهای کمکی یا مذهبی توزیع میشوند. MOONSHINE اخیراً توسط گروهی تحت نام Earth Minotaur برای نظارت بلند مدت بر جوامع تبتی و اویغوری مورد استفاده قرار گرفت. گروه هکری APT15 (معروف به Flea، Nylon Typhoon، Royal APT، و Vixen Panda)، به عنوان عامل توزیع BadBazaar معرفی شد. SpyNote همچنین دارای قابلیت های دسترسی از راه دور قابل توجهی از جمله فعال سازی دوربین و میکروفون، دستکاری تماس و اجرای دستور دلخواه است.
https://thehackernews.com/2025/04/spynote-badbazaar-moonshine-malware.html
