SpyMax – Android RAT

SpyMax, novi i sofisticirani alat za daljinsku administraciju (eng. Remote Administration Tool – RAT), identifikovali su sigurnosni istraživači kompanije K7 Labs. Ovaj zlonamjerni softver se maskira kao legitimna aplikacija Telegram da bi prevarila korisnike da je preuzmu na svoje Android uređaje. Za razliku od tipičnih RAT alata, SpyMax ne zahteva root uređaja, što napadačima olakšava da ugroze osjetljive podatke.

SpyMax

SpyMax – Android RAT; Source: Bing Image Creator

SPYMAX

SpyMax predstavlja značajnu prijetnju za Android korisnike koji koriste Telegram kao svoju primarnu komunikacionu platformu. On nije tipičan Android zlonamjerni softver, umjesto toga, maskira se kao legitimna aplikacija Telegram da obmane korisnike. Ova maska je izazov čak i iskusnim profesionalcima za sajber bezbjednost da otkriju zlonamjernu aplikaciju među originalnim u Google Play prodavnici ili drugim izvorima trećih strana.

 

Funkcionisanje

Proces infekcije SpyMax zlonamjernim softverom počinje phishing kampanjom, gdje korisnici dobijaju elektronsku poštu ili poruku koja sadrži zlonamjernu vezu koja ih vodi da preuzmu datoteku “ready.apk”. Jednom instalirana, traži dozvole za uslugu pristupačnosti od svojih žrtava bez potrebe za root pristupom – funkcija koja značajno povećava njegov doseg i potencijalni uticaj. Dozvola usluge pristupačnosti je ključna za SpyMax funkcionalnost, jer zlonamjernom softveru daje mogućnost da nadgleda i bilježi aktivnosti korisnika u različitim aplikacijama na zaraženom uređaju.

Ovo zlonamjernom softveru omogućava da funkcioniše kao softver za praćenje korisničkog unosa (eng. keylogger) i prikuplja osjetljive informacije kao što su poruke, evidencije poziva, kontakti, pa čak i akreditivi za različite aplikacije na zaraženom uređaju. Posebno treba naglasiti prikupljanje podatka o lokaciji gdje zlonamjerni softver prikuplja informacije o lokaciji kao što su nadmorska visina, geografska širina, dužina, pa čak i brzina kojom se uređaj kreće. Ovi podaci se mogu koristiti za praćenje fizičkih kretanja korisnika ili ciljnog uređaja.

Jedna od najalarmantnijih karakteristika SpyMax zlonamjernog softvera su njegove mogućnosti evidentiranja. Zlonamjerni softver kreira skriveni direktorijum u spoljnoj memoriji uređaja da bi sačuvao evidencije generisane iz prikupljenih podataka. SpyMax kompresuje sve prikupljene podatke koristeći gZIPOutputStream API pre nego što ih pošalje na server za komandu i kontrolu (C2) preko porta 7771, koji je zamagljen radi dodatne bezbjednosti.

 

C2 komunikacija

SpyMax zlonamjerni softver komunicira sa svojim serverom za komandu i kontrolu (C2) koristeći prikriveni broj porta 7771. Nakon uspostavljanja veze, SpyMax šalje kompresovane podatke u gzip formatu na C2 server. Ova tehnika kompresije se koristi za smanjenje veličine podataka koji se šalju preko mreže, čineći ih manje uočljivim i bržim za prenos. Kompresovani podaci obuhvataju različite vrste informacija koje SpyMax prikuplja sa zaraženog uređaja. C2 odgovara kompresovanim podacima koji uključuju sistemske komande i APK korisni teret kada se raspakuje.

 

Posljedice

Posljedice uspješne SpyMax infekcije su ozbiljne i dalekosežne. Zlonamjerni akteri mogu da koriste prikupljene informacije u razne zle svrhe, uključujući krađu identiteta, finansijsku prevaru, ucjenjivanje žrtava ili čak angažovanje u ciljanim sajber napadima na određene pojedince ili organizacije. U nekim slučajevima, ovi podaci se takođe mogu prodati na mračnom internetu drugim kriminalnim entitetima, dodatno povećavajući potencijalnu štetu uzrokovanu SpyMax infekcijama.

 

ZAKLJUČAK

SpyMax je sofisticirani Android RAT zlonamjerni softver koji predstavlja značajan rizik za korisnike, posebno one koji koriste popularne aplikacije za razmjenu poruka poput Telegram. Kako zlonamjerni akteri nastavljaju da inoviraju nove načine iskorištavanja ranjivosti u našem digitalnom svetu, od suštinskog je značaja za pojedince i organizacije da budu informisani o potencijalnim prijetnjama i preduzmu proaktivne mjere za zaštitu svojih podataka i privatnosti.

U budućnosti možemo očekivati da zlonamjerni akteri razviju još naprednije tehnike da zaobiđu bezbjednosna rješenja i izbjegnu otkrivanje. Od ključnog je značaja da korisnici ostanu oprezni i daju prioritet najboljim praksama sajber bezbjednosti kako bi se zaštitili od ovih prijetnji koje se stalno razvijaju.

 

ZAŠTITA

Da bi se korisnici zaštitili od trojanca za daljinski pristup SpyMax (RAT) koji cilja Telegram korisnike, korisnici mogu pratiti ove smjernice:

  1. Korisnici bi trebalo da preuzimaju aplikacije isključivo iz renomiranih prodavnica kao što su Google Play Store, Amazon Appstore ili Samsung Galaxy Store kako bi se rizik od instaliranja zlonamjernog softvera smanjio na minimum,
  2. Korisnici treba da budu oprezni kada treba da kliknu na veze ili priloge, posebno na one primljene neočekivano putem elektronske pošte ili aplikacija za razmjenu poruka. Phishing napadi su uobičajena taktika koju koriste zlonamjerni akteri da prevare korisnike da otkriju osjetljive informacije ili preuzmu zlonamjerni softver,
  3. Potrebno je održavati sve uređaje i aplikacije ažuriranim najnovijim bezbjednosnim ispravkama da bi se korisnici zaštitili od poznatih ranjivosti koje bi napadači mogli da iskoriste,
  4. Koristiti jake, jedinstvene lozinke za svaki nalog i izbjegavati korišćenje fraza ili uobičajenih riječi koje je lako pogoditi. Razmisliti o korišćenju renomiranog menadžera lozinki za bezbjedno skladištenje i upravljanje akreditivima,
  5. Omogući autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) za sve naloge koji je podržavaju da bi se dobio dodatni nivo bezbjednosti, što otežava napadačima da dobiju neovlašteni pristup čak i ako znaju korisničko ime i lozinku,
  6. Izbjegavati korišćenje neobezbijeđenih portova prilikom povezivanja sa serverima, jer bi to potencijalno moglo da izloži uređaj nepoznatim prijetnjama kao što je SpyMax. Koristiti dobro poznate i pouzdane kanale komunikacije kad god je to moguće,
  7. Koristiti pouzdano antivirusno rješenje koje može da otkrije i ukloni zlonamjerni softver, uključujući RAT zlonamjerni softver kao što je SpyMax. Redovno ažurirati antivirusno rješenje kako bilo efikasno protiv novih prijetnji,
  8. Potrebno je biti informisan o aktuelnim trendovima i prijetnjama u sajber bezbjednosti čitajući renomirane izvore i pratite pouzdane stručnjake za bezbjednost na platformama društvenih medija. Ovo znanje će pomoći korisnicima da donose informisane odluke kada koriste tehnologiju i bolje zaštitite svoje podatke od potencijalnih napada.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.