Исследователи обнаружили новый троянец для ОС Android, названный SpyNote.
Зловред, обнаруженный экспертами из команды Palo Alto Networks Unit 42, пока еще не был использован в рамках какой-либо кампании. Однако, как считают эксперты, он уже широкодоступен на просторах темной сети и уже в скором времени будет использован при атаках.
Специалисты из Unit 42 обнаружили троянца во время наблюдения за одним из форумов, посвященных обсуждению вредоносного ПО. Там они обнаружили утилиту-сборщик, позволяющую создавать различные версии троянца SpyNote. По словам экспертов, SpyNote обладает не только широким арсеналом по созданию бэкдоров, но и такими возможностями как просмотр всех сообщений на устройстве, прослушивание телефонных звонков, удаленная активация камеры на устройстве или слежка через GPS.
Как и многие другие зловреды для Android, SpyNote распространяется через APK-файлы. Троянец схож с другими утилитами удаленного доступа, такими как DroidJack и OmniRat. DroidJack засветился в новостях, когда исследователи из Proofpoint обнаружили его в одной из версий крайней популярной игры Pokémon Go. OmniRat обладает схожим функционалом и был впервые обнаружен исследователями в ноябре прошлого года в Германии.
Тогда жертвы получили текстовые сообщения с просьбой установить специальное приложение для просмотра изображений. По словам специалистов из Unit 42, от SpyNote крайне тяжело избавится. После установки, троянец удаляет иконку приложения SpyNote с устройства жертвы, устанавливает новые APK и пытается обновиться до более новой версии.
«APK-файл, содержащий SpyNote, требует от пользователя дать ему немалое количество разрешений, таких как, изменение текстовых сообщений, чтение логов звонков и списка контактов, или же изменение или удаление содержимого SD-карты», — говорится в отчете экспертов. Исследователи из Unit 42 также извлекли множество полезной информации из видео-ролика, демонстрирующего возможности зловреда. В видео-руководстве по взлому, пользователь наглядно показывает, как при помощи SpyNote осуществить дистанционный захват устройства под управлением ОС Android.
«По всей видимости, тот, кто загрузил утилиту на форум, полагается на инструкции, предоставленные в ряде роликов с YouTube, поскольку номер используемого им порта совпадает с тем, что был использован в видео, единственное, что он поменял так это иконка APK-файла», — пишет Джейкоб Соо (Jacob Soo) из Unit 42.
Специалисты подтвердили, что SpyNote выходит на связь с C&C-сервером по прямому IP-адресу, используя TCP-соединение, а также вшитые значения SERVER_IP и SERVER_PORT. За счет этого исследователи получили возможность извлечь C2-данные из зловреда. Как заявили эксперты, на текущий момент SpyNote еще не используется itw, посему им пока до конца не ясно, каким именно образом злоумышленники будут вынуждать пользователей скачивать вредоносный APK-файл.
