Группа анализа угроз D3Lab в ходе своей повседневной деятельности по анализу и борьбе с мошенничеством в Интернете обнаружила распространение вредоносной программы для Android через службу общественного оповещения IT-Alert.
Malware Android (SpyNote)
IT-alert - это новая система прямого оповещения населения, которая рассылает полезные сообщения на мобильные телефоны в заданном географическом районе в случае надвигающихся или происходящих серьезных чрезвычайных ситуаций или катастроф.
Агент угроз создал Ad Hoc-домен с очень привлекательным графическим шаблоном, в котором говорится: "В связи с возможным извержением вулкана может произойти землетрясение в стране. Загрузите приложение, чтобы быть в курсе, может ли регион пострадать." и предлагает пользователям Android загрузить вредоносное приложение. При посещении сайта с настольного компьютера или устройства на базе iOS пользователь перенаправляется на официальный сайт IT Alert.
После нажатия на кнопку Download пользователь загружает файл IT-Alert.apk, который устанавливает на смартфон вредоносное ПО семейства SpyNote.
SpyNote - это шпионская программа с функцией RAT, ориентированная на финансовые организации. Известна с 2022 года, сильно эволюционировала до третьей версии (SpyNote.C) и обычно продается через Telegram ее создателем CypherRat.
После запуска программа требует от пользователя запустить приложение в бэкграунде и предоставить агенту угрозы полный контроль над смартфоном через сервисы доступа. Таким образом, вредоносная программа получает возможность мониторинга, управления и модификации ресурсов и функциональных возможностей устройства, а также функции удаленного доступа.
SpyNote использует сервисы доступности для того, чтобы затруднить удаление приложения, обновление уже установленных или установку новых приложений. Без какого-либо взаимодействия с пользователем SpyNote может нажимать на кнопки приложений (например, вход в систему, восстановление пароля и т.д.) благодаря сервисам доступа, но при этом он способен получить доступ к камере устройства и отправлять видео или фотографии непосредственно на сервер Command-and-Control (C&C), чтобы получить персональную информацию с зараженного устройства; таким образом, злоумышленник получает полный контроль над устройством и может шпионить за пользователем.
Разумеется, SpyNote способен похищать учетные данные пользователей, банковских приложений, а также социальных сетей. Для этого необходимо обманом заставить пользователя ввести свои учетные данные во время законного процесса входа в систему, запустив веб-страницу с измененным макетом, очень похожим на легитимный сервис, который выдается за свой, подобно тому, как традиционная атака с наложением используется для показа жертве фальшивой страницы входа в приложение.
SpyNote также использует функцию Accessibility для получения кодов двухфакторной аутентификации (2FA).
Indicators of Compromise
IPv4 Port Combinations
- 81.161.229.3:7771
MD5
- a589a0ac38ebd008520b6353b3af32ba
SHA1
- 7cc67298e3d8e3a3bf3ba8b19adea6382f2e8928
SHA256
- 004c574b2c5a0ca63a2d1b8e50245245c33e914424bf8cd8830a3d648a4644bf