Android malver SpyNote se više ne koristi samo za špijuniranje, već i za prevaru korisnika banaka

Mobilni telefoni, 01.08.2023, 11:00 AM

Istraživači bezbednosti iz kompanije Cleafy objavili su izveštaj u kome su podelili nova saznanja o malveru SpyNote, koji se distribuira putem fišing imejlova i SMS poruka (“smishing”). Tokom juna i jula 2023. godine, istraživači su pažljivo pratili porast ciljanih kampanja protiv evropskih klijenata različitih banaka.

Primetan je rastući trend infekcija špijunskim softverom, pri čemu je SpyNote jedan od glavnih krivaca za ovakav trend. Ono što ovaj malver čini posebno opasnim je njegova sposobnost da ubedljivo imitira legitimne aplikacije.

Iako se malveri kao što je SpyNote obično koriste za prikupljanje korisničkih podataka (od kojih sajber kriminalci profitiraju) ili za špijunažu, SpyNote se trenutno koristi i za bankarske prevare.

Infekcija obično počinje SMS porukom (smishing) koja poziva korisnika da instalira „novu sertifikovanu aplikaciju banke“, nakon čega sledi druga poruka koja preusmerava žrtvu na autentičnu aplikaciju TeamViewer, koja se koristi za daljinsku tehničku podršku. U stvarnosti, ovo je početni korak za dobijanje daljinskog pristupa uređaju žrtve.

Slično kao Android bankarski trojanci, SpyNote zloupotrebljava Usluge pristupačnosti Androida tokom instalacije aplikacije da bi omogućio automatsko prihvatanje drugih dozvola, ali i keylogging. Praćenjem aktivnosti korisnika, malver dobija pristup ključnim informacijama poput liste instaliranih aplikacija, koju aplikaciju korisnik koristi, kao i informacije o specifičnim svojstvima aplikacije, ali i svaki unos teksta korisnika, a sve ovo može poslužiti napadačima za krađu osetljivih bankarskih akreditiva, podataka sa kreditne kartice i drugih osetljivih podataka.

Pored toga, SpyNote može da presreće SMS poruke, uključujući kodove za autentifikaciju sa dva faktora (2FA), i da ih pošalje na server za komandu i kontrolu (C2) napadača, zaobilazeći dodatnu zaštitu koje banke obezbeđuju klijentima. Malver takođe može da prikuplja kontakte, prati GPS lokacije i snima zvuk i ekran, pružajući napadačima značajnu kontrolu i informacije.

Da bi izbegao otkrivanje i analizu, SpyNote koristi različite tehnike izbegavanja odbrane, kao što su zamagljivanje koda, kontrole protiv emulatora i sprečavanje ručnog uklanjanja skrivanjem ikone aplikacije.

Cleafy je zaključio svoj izveštaj rekavši da agresivna i ekstenzivna priroda SpyNote kampanje ukazuje na to da će sajber kriminalci verovatno nastaviti da iskorištavaju višestruke funkcionalnosti ovog špijunskog softvera za nove prevare korisnika banaka.

Foto: Deyvi Romero /Pexels