SpyNote zlonamjerni softver špijunira Android korisnike

SpyNote zlonamjerni softver je dobio novu varijantu koja ima mogućnosti špijunaže i infekcije korisnika Android pametnih telefona.

SpyNote zlonamjerni softver, Dizajn Saša Đurić

Do sada su sigurnosni istraživači identifikovali varijante SpyNote.A i SpyNote.B, koje pripadaju porodici SpyNote, poznatoj još i kao SpyMax. Ovi zlonamjerni softveri su iz porodice špijunskih softvera (eng. spyware) i najčešća su vrsta zlonamjernog softvera koja se koristi za dobijanje pristupa ličnim podacima i izvođenja prevare korisnika. Zbog svoje sposobnosti da prate lokaciju korisnika, ponašanje korisnika na Internetu i preuzimaju osjetljive informacije kao što su lozinke i podatke o kreditnim karticama predstavljaju veliku prijetnju.

Nova SpyNote varijanta

Porodica SpyNote zlonamjernog softvera je evoluirala tokom vremena usvajanjem novih vrhunskih tehnika i tehnologija, tako da danas imamo SpyNote.C varijantu koja zastupljena u većini napada posmatranih od oktobra 2022 godine do danas.

Glavna razlika između SpyNote.C varijante i prethodnih varijanti je cilj napada. Nova varijanta SpyNote.C je prva varijanta koja napada bankarske aplikacije, oponašajući mnoge poznate finansijske institucije kao što su HSBC, Deutsche Bank, Kotak Bank, BurlaNubank. Pored toga oponaša i poznate aplikacije kao što su WhatsApp, Facebook i Google Play, ali i jednostavne aplikacije kao što su aplikacije za promjenu pozadine, aplikacije za produktivnost ili aplikacije za igre.

Funkcionisanje

Sve varijante SpyNote zlonamjernog softvera traže od korisnika pristup Android usluzi pristupačnosti (eng. accessibility service) kako bi dobile mogućnost instalacije novih aplikacija, presretanje SMS poruka kako bi preuzeli kôdove za autentifikaciju u dva stepena (eng. two-factor authentication – 2FA), prisluškivanje poziva i snimanje audio i videa na uređaju.

Standardne mogućnosti koje SpyNote zlonamjerni softver ima su:

• Korištenje kamere za slanje video snimaka sa uređaja komandnom serveru,
• Praćenje GPS i mrežnih lokacijskih informacija,
• Krađa podataka za prijavu na Facebook i Google naloge,
• Korištenje Android uslugu pristupačnosti za izvlačenje kôdova iz Google Authenticator aplikacije.
• Korištenje Android uslugu pristupačnosti za evidentiranje unosa na telefonu za krađu bankarskih pristupnih podataka.

U novu varijantu SpyNote.C zlonamjernog softvera, napadači su integrisali i CypherRat bankarskog torojanca koji ima i ograničene mogućnosti špijunaže. CypherRat je prodavan preko privatnog Telegram kanala sve dok njegov autor nije odlučio da objavi izvorni kôd na GitHub-u. Zlonamjernim akterima nije dugo trebalo da taj kôd iskoriste, pa je tako on integrisan i u novu varijantu SpyNote.C zlonamjernog softvera.

Zaštita

Sigurnosni istraživači nisu naveli način širenja ovog zlonamjernog softvera, ali se pretpostavlja da se radi preko lažnih Internet stranica, raznih neslužbenih stranica za preuzimanje Android aplikacija i društvenih medija.

Zbog navedenih razloga, korisnici treba da budu oprezni prilikom preuzimanja i instalacije novih aplikacija, posebno onih aplikacija koje nisu preuzete iz Google prodavnice. Obratiti  posebnu pažnju na aplikacije koje traže pristup Android usluzi pristupačnosti (eng. accessibility service), jer nažalost i pored napora kompanije Google da se zaustave zloupotreba Android usluge pristupačnosti, zlonamjerni napadači pronalaze načine da zaobiđu ova ograničenja. Aplikacije koje traže pristup ovoj usluzi, korisnik treba odbiti bez obzira na navedeni razlog za odobravanje iste, ako u potpunosti nije siguran u legitimnost preuzete aplikacije i njenih zahtjeva.