В последние годы открытые каталоги в интернете стали не только хранилищами случайных файлов, но и потенциальными источниками угроз. Hunt Intelligence обнаружила, что злоумышленники активно размещают образцы SpyNote - шпионского ПО для Android - в таких каталогах, маскируя его под легальные приложения, включая Google Translate, Temp Mail, Deutsche Postbank и даже программы для предотвращения вождения в нетрезвом виде.
Описание
SpyNote - это опасный троян, который после утечки исходного кода в 2022 году стал активно использоваться киберпреступниками. Вредоносное ПО эксплуатирует службы специальных возможностей и права администратора устройства, чтобы красть конфиденциальные данные: местоположение, контакты, SMS и другую личную информацию. Особенность SpyNote - его способность мимикрировать под доверенные приложения, что усложняет обнаружение.
На платформе Hunt мы выявили множество образцов SpyNote в открытых каталогах. Например, файл Translate.apk, размещенный на сервере AWS, внешне копирует Google Translate, но при установке запрашивает доступ к специальным возможностям с подозрительной фразой «Enable [MY-NAME]» - явный признак разработческой ошибки. После активации приложение начинает отправлять данные на командный сервер kyabhai.duckdns[.]org.
Еще один пример - Temp_20Mail.apk, замаскированный под приложение для временной почты. Этот образец не только шпионит за пользователями, но и взаимодействует с сервером 156.245.20[.]17:7771. Интересно, что в той же директории были найдены бинарные файлы Cobalt Strike и Sliver, что указывает на возможную связь с более крупными киберпреступными кампаниями.
Третий обнаруженный образец - postbank.apk - имитирует приложение немецкого банка Post Bank. Он передает данные на динамический домен oebonur600.duckdns_org, который резолвится в Cloudflare London. Любопытно, что в мае 2024 года на этом же IP-адресе находилась страница с сообщением «HACKED BY PersoDev», что может свидетельствовать о дополнительных компрометациях инфраструктуры.
Эти находки подчеркивают, насколько опасными могут быть открытые директории. Пользователи, скачивающие приложения из непроверенных источников, рискуют стать жертвами шпионского ПО, которое не только ворует данные, но и усложняет обнаружение за счет динамических C2-серверов.
Обнаружение SpyNote в открытых директориях - тревожный сигнал, демонстрирующий, что даже случайно оставленные без защиты серверы могут стать частью инфраструктуры киберпреступников. Пользователям и компаниям необходимо проявлять бдительность и внедрять проактивные меры кибербезопасности.
Индикаторы компрометации
IPv4
- 95.214.177.114
IPv4 Port Combinations
- 156.245.13.61:8000
- 156.245.20.17:7771
- 18.219.97.209:8081
- 5.252.74.45:443
Domains
- kyabhai.duckdns.org
- oebonur600.duckdns.org
- Domain Port Combinations
- kyabhai.duckdns.org:8080
SHA1
- 3aad911b21907053a69b49086a6396c50714accb
- 5b9bfa06d05172f61d1ee19724fcd12cec110353
- dc9a821f1e061098188503dbf7518bf263334fcd
