Компания Cyfirma, предоставляющая актуальную информацию о распространенных угрозах и стратегиях, используемых злоумышленниками, нацеленными на организации и частных лиц, выпустила отчет о вредоносной программе SpyNote для Android.
SpyNote RAT
В отчете рассказывается о сложных механизмах работы SpyNote - сложной формы вредоносного ПО - и его изощренных методах маскировки, повышения разрешений, сохранения устойчивости и уклонения от обнаружения. Благодаря детальному анализу кода и наблюдению за его выполнением Cyfirma обнаружила, как SpyNote использует сервисы доступности, маскируется под надежное антивирусное приложение и упорно пытается установить соединение со своим командно-контрольным (C2) сервером, несмотря на сетевые препятствия. Эти находки подчеркивают возможности вредоносной программы и важность применения надежных мер безопасности для защиты от подобных угроз.
Появившись в виде трояна удаленного доступа (RAT), SpyNote превратился в высокотехнологичную угрозу, способную получить обширный контроль над зараженными устройствами. В отчете представлен всесторонний анализ его функциональных возможностей с упором на анализ кода и наблюдение в режиме реального времени. Cyfirma исследует, как SpyNote маскируется, получает разрешения и пытается сохранить постоянное присутствие на зараженных устройствах. Изучая попытки сетевого взаимодействия, запросы разрешений и методы обхода, отчет проливает свет на сложные операции SpyNote и подчеркивает необходимость комплексных мер безопасности для борьбы с подобными угрозами.
Основные выводы отчета включают следующее:
- SpyNote маскируется под поддельный антивирус, используя название и иконку «Avast Mobile Security для Android», чтобы обмануть пользователей.
- SpyNote использует разрешения доступности для получения широкого контроля над устройством, включая исключение оптимизации батареи и включение уведомлений.
- Он имитирует жесты пользователя, чтобы бесшумно предоставлять себе дополнительные разрешения в фоновом режиме.
- Он отображает постоянные беззвучные уведомления о поддельных обновлениях системы.
- SpyNote препятствует деинсталляции, имитируя действия пользователя и блокируя попытки удаления.
- Он работает в фоновом режиме и может перезапускать свои службы, если их остановить.
- Он использует обфускацию для противодействия статическому анализу и обратному инжинирингу.
- SpyNote адаптируется к конкретным устройствам, чтобы обеспечить устойчивость к различным брендам.
- Его целью являются криптовалюты и кошельки.
- Он активно пытается похитить данные из других установленных на устройстве приложений.
- Он собирает данные, например учетные данные, на внешнем накопителе (sdcard) и затем удаляет их, чтобы избавиться от следов.
- Вредоносная программа отслеживает сетевой трафик на предмет активного интернет-соединения и пытается подключиться к своему серверу C2 для утечки данных.
- Он проверяет наличие сред анализа, таких как эмуляторы или виртуальные машины.
SpyNote, впервые замеченный в 2020 году, стал одним из самых распространенных семейств вредоносных программ, нацеленных на устройства Android. С момента своего появления вредоносная программа претерпела значительную эволюцию, что привело к появлению множества вариантов и интеграции с другими RAT. Исследователи обнаружили более 10 000 образцов SpyNote, что свидетельствует о его широком распространении и влиянии.
Утечка исходного кода одной из его разновидностей, CypherRat, в конце 2022 года привела к резкому росту числа заражений. Авторство этой вредоносной программы приписывают злоумышленнику, известному как EVLF (также упоминается как CypherRat). Этот агент активно распространял SpyNote через такие платформы, как Telegram.
Данный конкретный вариант SpyNote распространяется через фишинговый сайт (https[:]//avastop[.]com/Avastavv.apk), маскирующийся под легитимный сайт антивируса Avast. Загружаемый APK-файл под названием Avastavv.apk маскируется под антивирусное приложение Avast для Android.
Аналогично, с десктопной версии сайта загружается исполняемый файл AnyDesk для Windows и Mac. Поскольку AnyDesk является приложением для удаленного рабочего стола, это предполагает более широкую кампанию, нацеленную на удаленный доступ к устройствам на разных платформах.
Угрожающий ландшафт, в котором работает SpyNote, становится все более сложным и динамичным, характеризуется быстро развивающимися тактиками и технологиями, используемыми киберпреступниками. Этот ландшафт включает в себя распространение сложных семейств вредоносных программ и широкое использование методов социальной инженерии, а также доступность хакерских инструментов и услуг на подпольных форумах. Организации и частные лица должны постоянно повышать уровень своей безопасности, чтобы снизить риски, связанные с такими угрозами.
Indicators of Compromise
IPv4
- 45.94.31.96
Domains
- Avastbk.com
- Avastcsw.com
- Avastga.com
- Avastkb.com
- avastop.com
- Avastpst.com
- Avastpx.com
- Avastpy.com
- Avastsf.com
- Avastsgp.com
- Avastsp.com
- Avastwp.com
- Avastxo.com
- Avastxv.com
URLs
- https://avastop.com/Avastavv.apk
MD5
- 214aad6338d607df7ec75a2c48af09d5
SHA256
- 94a3b1fc830323234f5ac6e69cf0840507c23e15bee5c8c3aa86fddaf61ef8b1