„SpyNote Androido“ sistemos virusas po kodo nutekinimo internete plinta su naujomis funkcijomis
Į finansų įstaigas yra nukreiptos naujos kenkėjiškų programų, vadinamų „SpyNote malware“ viruso kampanijos. Manoma, kad iki pat spalio 2022 metais platintas virusas sujungia tiek šnipinėjimo programų, tiek bankinių „Trojos arklio“ viruso savybes. Virusų ekspertai praneša, kad stipriai padidėjo viruso versijų skaičius ir jo platinimo mastas[1].
Viruso šeima yra žinoma kaip viena iš „CypherRat“ viruso versijų, kurio kodas buvo neseniai nutekintas internetinėje erdvėje. Kibernetinis kenkėjas gali tiek šnipinėti, tiek suteikti prieigą prie sistemų ir įrenginių nuotoliniu būdu, tiek vogti reikalingą informaciją iš apkrėstų kompiuterių ar kaupti prisijungimus prie paskyrų[2].
Šio viruso aptikimo skaičiaus padidėjimo priežastis yra ta, kad šnipinėjimo programos kūrėjas, kuris anksčiau ją pardavinėjo kitiems subjektams, paviešino viruso programinį kodą. Tai padėjo kitiems veikėjams kurti ir platinti šnipinėjimo programas, dažnai nukreiptas ir į bankų institucijas.
Kibernetiniai nusikaltėliai sugeba apsimesti bankinių institucijų atstovais ir platinti virusus elektroniniais laiškais. Taip aukos leidžia įrašyti viruso kodą kompiuteryje ir kenkėjas gali atlikti reikiamus veiksmus. Kai kurios iš žymių institucijų, kuriomis apsimeta nusikaltėliai ir platina kenkėjišką programinę įrangą, yra „Deutsche Bank“, „HSBC U.K.“, „Kotak Mahindra Bank“ ir „Nubank“.
Apskaičiuota, kad nuo 2021 m. rugpjūčio mėn. iki 2022 m. spalio mėn. programėlę su naujausia viruso versija įsigijo 87 skirtingi klientai po to, kai ją „Telegram“ kanalu reklamavo jos kūrėjas vardu CypherRat.
„Android“ sistemų virusas yra su neribotomis galimybėmis
„SpyNote“ kenkėjiška programa, dar žinoma kaip „SpyMax“, turi daugybę funkcijų ir galimybių, kurios leidžia jai įdiegti kenkėjišką kodą savavališkai, rinkti SMS žinutes, skambučius, vaizdo ir garso įrašus, sekti GPS buvimo vietą ir net trukdyti pastangoms pašalinti programą. Su papildomomis funkcijomis eina ir atsparumas antivirusinių programų patikrinimams[3].
Ji taip pat veikia pagal kitų bankų kenkėjiškų programų modus operandi – prašo prieigos paslaugų leidimų, kad galėtų išgauti dviejų veiksnių autentifikavimo kodus iš „Google Authenticator“ ir įrašyti klavišų paspaudimus, kad galėtų pasisavinti bankų įgaliojimus ir prisijungimus prie riekiamų paskyrų.
Be to, „SpyNote“ viruso įdiegtos funkcijos leidžia grobti socialinių tinklų, elektroninio pašto platformų slaptažodžius, taip pat fiksuoti ekrano turinį.
Olandijos saugumo įmonė teigė, kad naujausia viruso versija yra pirmas variantas, kuriuo atakuojamos bankų programėlės ir kitos gerai žinomos socialinių medijų programėlės, pavyzdžiui, „Facebook“ ar „WhatsApp“. Taip pat žinoma, kad virusas maskuojasi kaip oficiali „Google Play Store“ paslauga ir kitos bendrosios programos, apimančios ekrano užsklandas, produktyvumo ir žaidimų kategorijas.
Kodą naudoja keli pavojingų virusų platintojai
Kenkėjų kūrėjas CypherRat sujungė „SpyNote“ viruso šnipinėjimo galimybes su bankinių „Trojanų“ funkcijomis, kurios apsimeta bankų institucijomis, kad pavogtų paskyros duomenis. Programa buvo parduodama per tuos pačius privačius „Telegram“ kanalus, kai jos autorius nusprendė paskelbti jos kodą GitHub platformoje.
Tačiau 2022 m. spalio mėnesį paskelbus atvirojo kodo versiją labai padaugėjo laisvėje aptiktų pavyzdžių, o tai leidžia manyti, kad kelios nusikalstamos grupuotės naudoja šią kenkėjišką programinę įrangą savo kampanijose. Pradinis viruso autorius nuo to laiko pradėjo dirbti su nauju šnipinėjimo programos projektu, kuris bus siūlomas kaip mokama programa su panašiomis funkcijomis.
Ši raida nėra tokia įprasta mobiliųjų šnipinėjimo programų ekosistemoje, tačiau yra labai pavojinga ir rodo galimą naujos tendencijos pradžią, kai dėl galios, kurią nusikaltėliams suteikia piktnaudžiavimas prieinamumo paslaugomis, palaipsniui išnyks skirtumas tarp šnipinėjimo ir bankų kenkėjiškų programų.
Šios išvados buvo paskelbtos tyrėjų grupei bandymų metu pademonstravus naują ataką „Android“ įrenginiuose, pavadintą „EarSpy“, kuri suteikia prieigą prie garso pokalbių, patalpų vietos ir jutiklinio ekrano įvesties, pasinaudojant išmaniuosiuose telefonuose įmontuotais judesio jutikliais ir ausies garsiakalbiu kaip šalutiniu kanalu.
