Máš Android? Vírus SpyNote ťa môže potichu sledovať nahrávať a kradnúť tvoje dáta a ty o tom nemusíš ani vedieť
Bezpečnostní analytici varujú pred novou kampaňou staronového spywaru SpyNote. Šíri sa cez falošné Google Play stránky.
Bezpečnostní analytici zo Silicon Angle varujú pred zákerným Android spywarom SpyNote, ktorý sa po odmlke opäť objavil v globálnom kyberpriestore.
SpyNote (niekedy označovaný aj ako SpyMax alebo inými menami v závislosti od verzie) je typ škodlivého softvéru špecificky navrhnutý na infikovanie zariadení s operačným systémom Android. Patrí do kategórie Remote Access Trojan (RAT), čo znamená, že útočníkovi poskytuje vzdialený prístup a kontrolu nad infikovaným smartfónom alebo tabletom. Jeho primárnym cieľom je špehovať používateľa a kradnúť širokú škálu osobných a citlivých údajov.
Po úspešnej inštalácii na zariadenie dokáže SpyNote vykonávať rozsiahle špionážne aktivity. Medzi jeho typické schopnosti patrí zaznamenávanie hovorov, nahrávanie zvuku pomocou mikrofónu zariadenia, prístup k SMS správam, kontaktom a histórii hovorov. Taktiež dokáže sledovať GPS polohu zariadenia v reálnom čase, tajne fotografovať alebo nahrávať video pomocou kamery, kradnúť súbory uložené v pamäti telefónu a získavať informácie o zariadení (ako IMEI, verzia OS atď.). V niektorých verziách môže mať aj funkcie keyloggera (zaznamenávanie stlačených kláves) alebo schopnosť inštalovať či odinštalovať ďalšie aplikácie.
Pozor, takto sa spyware šíri
SpyNote sa najčastejšie šíri maskovaný za legitímne aplikácie. Útočníci ho môžu distribuovať prostredníctvom neoficiálnych obchodov s aplikáciami, webových stránok ponúkajúcich bezplatný softvér, alebo cez phishingové útoky (napr. zaslaním odkazu na stiahnutie cez SMS, email alebo sociálne siete). Po inštalácii zvyčajne vyžaduje udelenie rozsiahlych oprávnení, ktoré mu umožnia vykonávať škodlivé aktivity. Aplikácia potom často beží skrytá na pozadí a komunikuje so serverom útočníka (C2 – Command and Control), odkiaľ prijíma príkazy a kam odosiela ukradnuté dáta.
V rámci najnovšej hackerskej kampane bezpečnostní analytici pozorovali falošné stránky, ktoré sa snažili pôsobiť ako legitímne stránky z Obchodu Play. Falošné stránky sa vyznačovali veľmi podobnými vizuálnymi prvkami, aby vzbudili pocit dôveryhodnosti a donútili užívateľa, aby si stiahol podvodnú aplikáciu.
Neprehliadni
#Spynote campaign targeting Poland
Distribution with a fake website looking like the Google Play: https://pltraf111.pages[.]dev/
hash: 71351a9013e7cfbe959d1ea78d1f7bf4bc2cb08a5716725c8434a911149099f3
C2: 45.88.79.231:7771 pic.twitter.com/JEx9mPyXCB— Alberto Segura (@alberto__segura) March 31, 2025
Po stiahnutí sa malvér SpyNote rozbaľuje v dvoch fázach. Prvé štádium je “obyčajný” APK súbor, ktorý sťahuje druhý APK súbor a ten už obsahuje jadro spywaru. Po plnej inštalácií aplikácie malvér vyžaduje od užívateľa obrovské množstvo povolení, vrátane prístupu k SMS správam, kontaktom, zoznamu hovorov, fotoaparátu, mikrofónu a polohe.
SpyNote následne začína s nahrávaním hovorov, zachytáva stlačenia klávesnice a zároveň dokáže aj vytvárať snímky obrazovky. Ak užívateľ spyware odhalí a chce ho odinštalovať, malvér mu v tom bráni zneužívaním nastavení dostupnosti.
“SpyNote je druh špionážneho škodlivého softvéru, ktorý má naozaj sofistikované metódy perzistencie. V praxi to znamená, že ho je len veľmi náročné odstrániť. SpyNote sa dokáže automaticky spustiť po reštarte smartfónu, ukrýva ikonu aplikácie a nezobrazí sa ani na obrazovke optimalizácie batérie, kde sú zaznamenané všetky aplikácie a ich spotreba.
Na ochranu najlepšia opatrnosť
Ak sa chceš vyhnúť spywaru SpyNote, mimoriadne dôležité je sťahovať aplikácie výhradne z oficiálnych obchodov s aplikáciami, teda z Obchodu Play. SpyNote sa môže šíriť prostredníctvom neoficiálnych obchodov, no v rámci najnovšej kampane aj zo stránok, ktoré imitujú Obchod play.
Po stiahnutí akejkoľvek aplikácie dávaj veľký pozor na povolenia, ktoré aplikácia od teba požaduje. Problematické sú hlavne povolenia k prístupu ku kamere, mikrofónu, polohe ale aj nastaveniam dostupnosti. Tieto nastavenia pôvodne vznikli ako pomoc zdravotne znevýhodneným, aby mohli plne používať smartfóny aj napriek rôznym problémom. Preto nastavenia dostupnosti vyžadujú prístup k mimoriadne citlivým funkciám smartfónu.
Ak si aplikácia vyžiada prístup k nastaveniam dostupnosti, musíš mať absolútnu istotu, že ide o dôveryhodnú aplikáciu. V opačnom prípade je obrovská pravdepodobnosť, že aplikácia toto povolenie zneužije a spôsobí ti problémy. Rovnako podstatným je aj antivírový softvér, ktorému dôveruješ.
Komentáre