Ar galėjote pagalvoti, kad jūsų nuotraukos blogose rankose kainuos daugiau nei auksas? Nauja kibernetinių nusikaltėlių kenkėjiška programa, pasislėpusi po šimtais nekaltų programėlių, aktyviai taikosi į „Android“ vartotojų asmeninius duomenis.
„Android Spynote“ kenkėjiškas programinis kodas apsimeta antivirusine programine įranga ir, pasinaudodama „Android“ procesais, įsiskverbia į įrenginius, perima jų valdymą ir vagia slaptą informaciją iš nieko neįtariančių naudotojų.
Naujausioje ataskaitoje matyti, kad kenkėjiška programinė įranga neseniai vykdytoje kampanijoje prisidengia „Avast Mobile Security“ vardu.
Įdiegus ji prašo leidimų, paprastai siejamų su antivirusinėmis programomis, pavyzdžiui, „Accessibility Services“. Šią prieigą kenkėjiška programa naudoja tam, kad tyliai suteiktų sau papildomų leidimų, apeidama naudotojo apribojimus.
Be to, ji pašalina save iš baterijos optimizavimo, todėl gali veikti nuolat, neperspėdama naudotojų. Ji taip pat imituoja naudotojo gestus, kad išliktų prietaise. Ji rodo klaidinančius sistemos atnaujinimo pranešimus, kuriuos palietus vartotojai nukreipiami atgal į kenkėjišką programą, taip sukurdama apgaulingą kilpą, kad būtų išvengta aptikimo ir pašalinimo.
Ji taikosi į kriptovaliutų paskyras, siekdama išgauti privačius raktus ir balanso informaciją, ypač apie populiarų turtą, pavyzdžiui, „Bitcoin“, „Ethereum“ ir „Tether“. Kenkėjiška programa taip pat stebi tinklo srautą, kad užtikrintų aktyvų interneto ryšį, kurį naudoja ryšiui su savo komandų ir kontrolės serveriais palaikyti.
„SpyNote“ duomenų rinkimo galimybės apima ir prisijungimo duomenų fiksavimą bei jų saugojimą įrenginio SD kortelėje. Surinkusi pakankamai duomenų, kenkėjiška programinė įranga perrašo kortelę ir pašalina savo veiklos pėdsakus.
Dėl kenkėjiškos programos užmaskavimo ir vengimo galimybių ji tampa sudėtingu taikiniu saugumo priemonėms. Naudodama kodo užgožimą ir pasirinktinius paketus, „SpyNote“ paslepia savo komponentus, užmaskuodama savo tikrąją prigimtį, kad išvengtų atvirkštinės inžinerijos ir aptikimo. Programa taip pat aptinka virtualias aplinkas, todėl gali išvengti tokių analizės aplinkų, kaip emuliatoriai ar tyrėjų naudojamos virtualios įrangos.
„SpyNote“ priešinasi pašalinimui stebėdamas sistemos nustatymus, ar nėra bandymų pašalinti, ir blokuoja juos imituodamas naudotojo sąveiką. Jis perima prieinamumo paslaugas, kad imituotų naudotojo įvestis, taip užkirsdamas kelią bandymams išjungti ar pašalinti programą iš įrenginio nustatymų. Kai naudotojai bando pasiekti kenkėjiškos programos nustatymus ar leidimus, ji automatiškai grįžta į pagrindinį įrenginio ekraną, taip užtikrindama, kad ji ir toliau išliks.
„SpyNote“ platinama per sukčiavimo svetaines, imituojančias teisėtą „Avast“ antivirusinės programos atsisiuntimo puslapį. Šiose svetainėse talpinami APK pavadinimu Avastavv.apk, kuriuos naudotojai gali atsisiųsti tiesiai į savo „Android“ įrenginius.
„iOS“ naudotojams, paspaudus atsisiuntimo nuorodą, jie nukreipiami į teisėtą „AnyDesk Remote Desktop“ atsisiuntimo iš „App Store“ puslapį. Sukčiavimo svetainėse taip pat siūloma atsisiųsti „AnyDesk“, skirtą „Windows“ ir „Mac“ staliniams kompiuteriams, taip dar labiau išplečiant kampanijos aprėptį.
