октомври 18, 2023

SpyNote: безсмъртният троянец, срещу който няма защита

Аналитиците от компанията за информационни услуги F-Secure са извършили задълбочен анализ на троянския кон SpyNote за Android и са открили неговата огромна способност да събира чувствителна информация.

Обикновено SpyNote се разпространява чрез smishing кампании, при които нападателите убеждават жертвите да кликнат върху линк в SMS и да инсталират приложението. По време на инсталацията SpyNote изисква достъп до дневниците на обажданията, камерата, SMS съобщенията и външното хранилище, като умело скрива следите си на началния екран на Android и екрана с последните задачи, за да затрудни откриването си.

Изследователите твърдят, че зловредният софтуер SpyNote може да се активира чрез външен тригер. При получаване на съответния сигнал (обикновено поредица от символи) зловредното приложение задейства основната си дейност.

SpyNote се отличава с това, че получава права, а след това ги използва, за да си предостави автоматично допълнителни права за записване на аудио и телефонните разговори, регистриране на натисканията на клавишите и създаване на скрийншоти на екрана чрез API MediaProjection.

По-подробното разглеждане на зловредния софтуер разкри наличието на така наречените „diehard“ услуги, които защитават приложението от опити за прекратяването му, независимо дали от страна на жертвата или на операционната система.

Троянският кон SpyNote гарантира своята устойчивост, като регистрира Broadcast Receiver, който автоматично рестартира зловредния софтуер при опит за прекратяване. Освен това, когато потребителят се опита да премахне вредоносната програма чрез менюто с настройки, менюто автоматично се затваря поради изпозлвания API. Единственото решение на проблема е да се извърши възстановяване на фабричните настройки, при което се губят всички данни на устройството.


source

Сподели: