Банковият троянец за Android, известен като SpyNote, е преправен, за да се разкрият разнообразните му функции за събиране на информация.
Според F-Secure веригите от атаки, включващи шпионския софтуер, обикновено се разпространяват чрез SMS фишинг кампании и подмамват потенциалните жертви да инсталират приложението, като кликнат върху вградената връзка.
Освен че иска инвазивни разрешения за достъп до регистрите на повикванията, камерата, SMS съобщенията и външното хранилище, SpyNote е известен с това, че скрива присъствието си от началния екран на Android и екрана Recents, за да затрудни откриването си.
„Зловредното приложение SpyNote може да бъде стартирано чрез външен тригер“, заяви изследователят от F-Secure Амит Тамбе в анализ, публикуван миналата седмица. „При получаване на намерението зловредното приложение стартира основната дейност.“
Но най-важното е, че то търси разрешения за достъп, като впоследствие ги използва, за да си предостави допълнителни разрешения за записване на аудио и телефонни разговори, регистриране на натискания на клавиши, както и заснемане на екранни снимки на телефона чрез API MediaProjection.
По-подробното разглеждане на зловредния софтуер разкри наличието на т.нар. diehard услуги, които имат за цел да устоят на опитите, направени от жертвите или от операционната система, за прекратяването му.
Това се постига чрез регистриране на излъчващ приемник, който е проектиран така, че да го рестартира автоматично, когато е на път да бъде изключен. Нещо повече, потребителите, които се опитват да деинсталират злонамереното приложение, като отидат в Настройки, са възпрепятствани да го направят, като затварят екрана с менюто чрез злоупотреба с API за достъпност.
„Образецът на SpyNote е шпионски софтуер, който записва и краде разнообразна информация, включително натискания на клавиши, записи на повиквания, информация за инсталирани приложения и т.н.“, казва Тамбе. „Той остава скрит на устройството на жертвата, което го прави труден за забелязване. Освен това деинсталирането му е изключително трудно.“
„В крайна сметка на жертвата остава само възможността да извърши възстановяване на фабричните настройки, като по този начин губи всички данни.“
Разкритието идва в момент, когато финландската фирма за киберсигурност подробно описа фалшиво приложение за Android, което се маскира като актуализация на операционната система, за да подмами целите да му предоставят разрешения за услуги за достъп и да ексфилтрират SMS-и и банкови данни.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
