Новости Охота началась: SpyNote выходит на след лидеров Южной Азии

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Когда смартфон становится идеальным оружием для высокоточных атак.


5pypquknh2sjzzty40g9cnnmj796jdxs.jpg


CYFIRMA Для просмотра ссылки Войди или Зарегистрируйся вредоносного Android -приложения, предназначенного для атак на ценные активы в Южной Азии. Образец был создан с использованием инструмента удалённого администрирования SpyNote. Предполагается, что целью могли стать объекты, интересующие APT -группы. Подробности о пострадавших и конкретных регионах не раскрываются.

Обнаружено, что вредоносное приложение распространялось через WhatsApp. Жертве было отправлено четыре варианта файла под названиями «Best Friend», «Best-Friend 1», «Friend» и «best». Все приложения имели один сервер управления. Программы устанавливались скрытно и начинали работать в фоновом режиме, используя обфускацию кода.

SpyNote использует ряд разрешений для доступа к ключевым данным устройства: геолокации, контактам, SMS, памяти устройства и камере. Также приложение может перехватывать звонки, собирать системные данные и даже задействовать специальные возможности системы для мониторинга экрана и ввода текста.

Вредоносный код был нацелен на сбор таких данных, как IMEI-номер, SIM-карта, версия Android и тип сети. Полученные данные тут же отправлялись на сервер управления. Кроме того, приложение делало скриншоты и копировало данные пользователя, такие как контакты, сообщения и фотографии.

SpyNote и его модификации, включая SpyMax и Crax RAT, активно используются хакерами и такими APT-группами, как OilRig (APT34) и APT-C-37. Эти инструменты помогают злоумышленникам шпионить за коммуникациями, похищать данные и сохранять доступ к системам жертв.

Инциденты с использованием SpyNote ранее затрагивали правительственные учреждения, НПО, СМИ и финансовые организации. Текущий случай указывает на вероятное участие неизвестной APT-группы или другого киберпреступного субъекта.

SpyNote остаётся серьёзной угрозой из-за его доступности на подпольных форумах и Telegram-каналах. Атаки с использованием этого инструмента подтверждают предпочтение злоумышленников к проверенным и мощным инструментам для компрометации высокопрофильных целей.
 
Источник новости
www.securitylab.ru

Похожие темы