SpyNote: Známy spyware je voľne dostupný na internete. Môžeme očakávať novú vlnu útokov na naše smartfóny!

Malware Spyware s funkciami RAT, ktorý sa sústreďuje hlavne na finančné aplikácie, je voľne dostupný pre hackerov. Môžeme očakávať sériu nových útokov na naše smartfóny.

malware virus
Zdroj: Vosveteit.sk, dall·E

V poslednom štvrťroku 2022 sa zaznamenal náhly nárast detekcií škodlivého softvéru SpyNote pre Android. Tento škodlivý software je schopný špionáže, ako napríklad poskytovania vzdialeného prístupu a sledovania polohy pomocou GPS, a zároveň má funkcie bankových trójskych koní, ktoré sa vydávajú za bankové inštitúcie s cieľom získať prístup k účtom obetí. Je to veľmi nebezpečný škodlivý software, ktorý predstavuje vysoké riziko pre banky a ich zákazníkov.

No prečo sa to celé stalo, čo je to SpyNote a čo je to vlastne ten CypherRat?  Na túto tému sa podrobne pozreli analytici z threatfabric.com.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Prečo sa vlastne zaznamenal takýto náhly nárast?

Tento nárast sa pripisuje uvolneniu zdrojového kódu jednej z jej najnovších verzií, známej ako „CypherRat“. Ten je aktuálne dostupný prostredníctvom známej platformy GitHub. Inými slovami zo škodlivé kódu sa stal open source a je tak dostupný prakticky pre každého, kto o neho prejaví záujem.

Čo je SpyNote a CypherRat?

SpyNote je typ škodlivého softvéru, ktorý je navrhnutý tak, aby umožňoval útočníkovi získať prístup a kontrolu nad zariadením obete. „CypherRat“ kombinuje schopnosti špionáže SpyNote, ako napríklad poskytovanie vzdialeného prístupu, sledovanie polohy pomocou GPS a aktualizácie stavu a aktivity zariadenia, s funkciami bankových trójskych koní, ktoré sa vydávajú za bankové inštitúcie s cieľom získať prístup k účtom obetí.

Kde a kedy začal CypherRat?

CypherRat bol predávaný prostredníctvom súkromných kanálov v aplikácii Telegram od augusta 2021 do októbra 2022, keď jeho autor rozhodol o publikovaní jeho zdrojového kódu na stránke GitHub po sérii podvodných incidentov na hackerských fórach, ktoré sa vydávali za tento projekt.

Užívateľ predával 87 licencii na CypherRat na 1 mesiac, 6 mesiacov. 1 rok alebo na celý život (Autor: ThreatFabric)

Na koho bol tento malvér cielený?

Tento škodlivý softvér bol prevažne cielený na banky a ich klientov. Útočníci rýchlo získali zdrojový kód malvéru CypherRat a spustili svoje vlastné kampane s variantmi zameranými na známe banky, ako sú HSBC, Kotak Bank, Deutsche Bank a ďalšie. Tento malvér sa rýchlo rozšíril prostredníctvom týchto útokov. No treba prízvukovať, že útočníci ho môžu šíriť aj inými kanálmi, ako je len Telegram. Preto sa odporúča, aby ste si neinštalovali do smartfónu aplikácie z iných zdrojov, ako je Obchod Play.

Nižšie si môžete pozrieť niektoré z bánk, na ktoré bol útok cielený. Treba ale uviesť, že ide iba o časť bánk, ktoré sa podarilo identifikovať, že sa stali cieľom hackerov.

napadnute banky SpyNote
Zdroj: threatfabric.com

Funkcie malvéru SpyNote

Všetky varianty malvéru SpyNote, ktoré sa šíria, vyžadujú prístup k službe dostupnosti systému Android za účelom inštalácie nových aplikácií, zachytávania správ SMS, sledovania hovorov a nahrávania audio a videa do zariadenia. Tieto funkcie sú používané na obídenie 2FA (dvojfaktorového overenia) a špionáž užívateľov.

funkcie malweru SpyNote
Zdroj: threatfabric.com

Malware sa nemaskoval len za aplikácie bánk

Pár sa ďalší jednotlivcov sa  rozhodlo zamaskovať svoje verzie CypherRat ako Google Play, WhatsApp a Facebook, čím sa zamerali na širšie publikum.

Aplikácie ako napríklad Google Play, WhatsApp, Facebook (Autor: ThreatFabric)

Ešte nie je koniec

Podľa portálu ThreatFabric bude malvér SpyNote aj naďalej predstavovať riziko pre používateľov zariadení s operačným systémom Android a predpokladá, že v prvom polroku roku 2023 sa objavia rôzne verzie tohto malvéru. Tím ThreatFabric odporúča, aby používatelia zostali ostražití a používali dôveryhodné antivírusové programy na ochranu svojich zariadení.

Rada na záver

Používatelia by mali byť opatrní pri inštalácii nových aplikácií, najmä ak nepochádzajú zo služby Google Play, pretože škodlivý software SpyNote sa môže šíriť prostredníctvom phishingových stránok, stránok s aplikáciami tretích strán pre Android a sociálnych médií. V prípade žiadostí o udelenie povolení na prístup k Službe dostupnosti odporúčame odmietnuť ich. Napriek snahám spoločnosti Google zabrániť zneužitiu rozhraní API Služby dostupnosti škodlivým softvérom Android existujú stále spôsoby, ako obísť obmedzenia. Preto je dôležité, aby používatelia zostali ostražití a používali dôveryhodné antivírusové programy na ochranu svojich zariadení.

Máte už skúsenosť s týmto softvérom alebo ste sa už stretli s niečím podobným? Dajte nám vedieť dole v komentároch alebo na našich sociálnych sieťach.

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre