Android telefóny čelia novej vlne útokov. SpyNote je späť a nebezpečnejší než kedykoľvek predtým
Nebezpečný malvér SpyNote je späť a útočí cez falošné stránky Google Play. Dokáže ovládať kameru, kradnúť heslá aj 2FA kódy, sledovať zariadenie a napodobňuje aj známe aplikácie ako Chrome či Zoom.
Nebezpečný malvér SpyNote je späť na scéne. Ide o známeho Android Remote Access Trojana, skrátene RAT. Tento malvér patrí ku najpokročilejším a teda aj najnebezpečnejším malvérom, pretože dokáže oklamať ochranné mechanizmy Google a telefónu. Ide o ideálny nástroj pre špionáž a kybernetickú kriminalitu. O malvére informoval dit.domainstools.
Aké sú schopnosti a riziká malvéru?
SpyNote dokáže na diaľku ovládať kameru a mikrofón. Okrem toho vie monitorovať hovory, extrahovať rôzne dáta a predovšetkým spúšťať na ovládnutom zariadení rôzne príkazy. Okrem toho funguje aj ako Keylogger, čo znamená, že vie zaznamenávať stlačené klávesy.
Ukradne aj 2FA či heslá
Malvér je extrémne prefikaný pretože zneužíva službu Accessibility Services. Vďaka tejto schopnosti dokáže ukradnúť prihlasovacie mená a heslá a dokonca zistiť a ukradnúť aj autentifikačné kódy (2FA) z aplikácií. Spolu s ukradnutými SMS, tak vie prekonať aj niektoré implementácie 3FA, čo sa ešte pred nejakou dobou zdalo nemysliteľné a prakticky nemožné. Ďalší z dôvodov prečo používať potvrdzovanie biometriou vo forme Passkey, o ktorej sme ťa už niekoľko raz informovali.
Aby to nebolo málo, malvér vie zablokovať obrazovku a dokonca spúšťať aj prekrytie obrazovky pre podvody typu clickjacking. Ako bonus vie púšťať rôzne príkazy a dokonca vymazať všetky dáta, teda v prípade ak má administrátorské oprávnenie.
Skopírovaný Google Play Obchod
Útočníci idú na istotu a napodobňujú najmä aplikácie, ktoré ľudia dobre poznajú alebo ich často vyhľadávajú. Nejde len o menej známe zoznamovacie appky ako iHappy, CamSoda, Kismia, Yome či tureckú TmmTmm. V hre sú aj populárne hry 8 Ball Pool a Block Blast, ale najväčším problémom je, že sa zameriavajú aj na bežné nástroje, ktoré používa takmer každý. Medzi nimi nájdeš aplikácie ako Google Chrome, Zoom, GlamLive, LoveVideo, Beauty či Compras Online. To je dôvod, prečo sú tieto útoky také nebezpečné, útočníci využívajú dôveru používateľov vo „známe“ aplikácie a vťahujú ich priamo do pasce.
Neprehliadni
Webové stránky sú klonmi oficiálneho Google Play obchodu, pričom HTML a CSS sú skopírované priamo z originálu. Bežný smrteľník na prvý pohľad nemá šancu rozoznať kópiu od originálu. Tieto weby, resp. ich domény sú registrované u spoločností ako NameSilo a XinNet a majú typické IP adresy ako:
- 154.90.58.26
- 199.247.6.61
Útočníci tak oproti minulosti, keď sa prvýkrát objavil SpyNote, niekedy v apríli, zmenili IP adresy. Jedná sa o rotujúce IP adresy a útočníci malvér presúvajú na nové servery alebo menia DNS nastavenia pre smerovanie stránok.
Ako to celé funguje?
Malware sa dostane do zariadenia cez prvý APK súbor (dropper), ktorý používateľ nainštaluje, mysliac si, že je “neškodný”. Napríklad už spomínaný upravený Google Chrome. Dropper dešifruje a spojí skrytý druhý APK súbor (malvér SpyNote), ktorý obsahuje hlavný škodlivý kód. SpyNote sa dynamicky načíta a pripojí k serveru útočníka (C2), pričom obchádza antivírusy a môže kradnúť dáta alebo sledovať zariadenie.
Celý proces je navrhnutý tak, aby používateľ nič nevidel a malware sa spustil automaticky po inštalácii.
Nové verzie SpyNote pritom obsahujú lepšie skryté inštrukcie. Využívajú „zmätenie“ identifikátorov (náhodné variácie znakov o, O, 0) a kontrolu toku programu, aby sťažili statickú analýzu. C2 servery sú vyberané z vopred definovaného zoznamu, čo zvyšuje odolnosť voči zablokovaniu.
Útočníci sa spoliehajú predovšetkým na sociálne inžinierstvo a na to, že si používatelia stiahnu upravené verzie aplikácií z fake stránky Google obchodu. Ide hlavne o aplikácie zamerané na dating. U nás pomerne neznáme iHappy, CamSoda, Kismia, yome či turecká aplikácia na zoznamovanie sa s názvom TmmTmm. Okrem toho sú napadnuté hry ako 8 Ball Pool či Block Blast. Najnebezpečnejšie sú však aplikácie Zoom a Google Chrome, ktoré pozná takmer každý.
Prevencia a zvýšená obozretnosť pri inštalovaní aplikácií sú preto pre teba ako používateľa aj naďalej kľúčové. Ako vidíš, útočníci nespia na vavrínoch.
