03.02.2017

SpyNote RAT se maskuje jako aplikace Netflixu

Nová verze nechvalně známého trojanu SpyNote je navržena tak, aby zmátla uživatele Androidu ke stažení tím, že se tváří jako aplikace Netflixu. Poté, co si uživatel tuto „aplikaci” nainstaluje, trojan se vzdáleným přístupem v podstatě předá kontrolu nad zařízením útočníkovi – umožní mu mimo jiné kopírovat soubory, prohlížet kontakty a dokonce oběť i odposlouchávat.

Modern communication technology illustration with smartphones an

Trojan SpyNote RAT se poprvé na dark webu objevil minulý rok v létě. Jeho poslední iterace, která napodobuje aplikaci Netflixu, objevili před pár týdny výzkumníci ze společnosti Zscaler ThreatLabZ.

Po otevření této zákeřné aplikace zmizí její ikona z obrazovky a kontaktuje svůj ovládací server. Ve stejný okamžik odinstaluje veškeré antivirové ochrany, který uživatel na zařízení má, aby se vyhnula odhalení.

Nejproblémovější schopností SpyNote je to, že útočníkovi umožňuje spouštět příkazy. „Spuštění příkazů může na zařízení způsobit spoušť. Útočník může zařízení rootnout za použití mnoha zranitelností, těch známých i zero-day,” řekl magazínu ThreadPost bezpečnostní výzkumník Shivang Desai.

Přes svou sofistikovanost má RAT jednu slabinu, říkají výzkumníci ze Zscaler – aby trojan fungoval, jak má, a data se soubory neomezeně odesílal na svůj C+C, musí být napadené zařízení připojené na WiFi.

Podle zaměstnanců společnosti Zscaler o SpyNote v roce 2017 rozhodně neslyšíme naposledy a dodávají, že objevili několik dalších podobných aplikací postavených na stejném systému.

V hackerské komunitě kolují aplikace napodobují Instagram, WhatsApp, Facebook, Super Mario Run nebo Pokemon Go – pouze během ledna v ThreadLabZ zaznamenali 120 variant malwaru postaveného na stejném základu jako SpyNote. Tyto aplikace zatím nejsou široce rozšířené, ale podle výzkumníků ze Zscaler je pouze otázka času, než je útočníci vypustí.

Zatím ještě není jisté, kdy je útočníci vypustí do oběhu, ale výzkumníci naléhají na uživatele Androidu, aby si dávali pozor a aplikace stahovali pouze z oficiálních zdrojů. Nejčastěji se totiž šíří přes obchody s aplikacemi třetích stran.
Více na threatpost.com

Kam dál?