Da bi izbjegao otkrivanje, SpyNote malver koristi različite tehnike izbjegavanja odbrane među kojima su zamagljivanje koda, sprečavanje ručnog uklanjanja…
Primjetan je rastući trend infekcija špijunskim softverom, pri čemu je SpyNote jedan od glavnih krivaca za ovakav trend. Ono što ovaj malver čini posebno opasnim je njegova sposobnost da ubjedljivo imitira legitimne aplikacije.
Tokom posljednjih godina, „Cleafy Threat Intelligence Team“ je otkrio i analizirao više Android bankovnih trojanaca (npr. Sharkbot, Teabot itd.), odnosno zlonamjerne aplikacije koje se koriste za provođenje bankovnih prevara putem ATO ili ATS tehnika.
Međutim, posljednjih mjeseci primijetili su porast špijunskih infekcija, posebno SpyNote. Iako se špijunski softver obično koristi za prikupljanje korisničkih podataka (i profit od njih) ili provođenje špijunskih kampanja, SpyNote se trenutno koristi i za obavljanje bankovnih prevara. Slične kampanje su prijavili i drugi istraživači tokom tekuće godine.
Kako napada SpyNote?
Infekcija obično počinje SMS porukom (smishing) koja poziva korisnika da instalira „novu sertifikovanu aplikaciju banke“, nakon čega slijedi druga poruka koja preusmjerava žrtvu na autentičnu aplikaciju TeamViewer, koja se koristi za daljinsku tehničku podršku. U stvarnosti, ovo je početni korak za dobijanje daljinskog pristupa uređaju žrtve.
Slično kao Android bankarski trojanci, SpyNote zloupotrebljava Usluge pristupačnosti Androida tokom instalacije aplikacije da bi omogućio automatsko prihvatanje drugih dozvola, ali i keylogging. Praćenjem aktivnosti korisnika, malver dobija pristup ključnim informacijama poput liste instaliranih aplikacija, koju aplikaciju korisnik koristi, kao i informacije o specifičnim svojstvima aplikacije, ali i svaki unos teksta korisnika, a sve ovo može poslužiti napadačima za krađu osjetljivih bankarskih akreditiva, podataka sa kreditne kartice i drugih osjetljivih podataka.
Zaobilaženje 2FA
Više aplikacija (npr. e-pošta, društvene mreže, itd.) omogućavaju korišćenje kodova za dvostruku autentifikaciju (2FA) za dodavanje dodatnog sloja bezbjednosti. To znači da, pored lozinke, korisnik mora unijeti i kod za prijavu na nalog; ovaj kôd mogu generisati aplikacije kao što je Google Authenticator ili poslati putem SMS poruke ili e-pošte.
Za banke, kako je utvrđeno Direktivom EU o platnim uslugama 2 (PSD2), potrebno je koristiti snažnu autentifikaciju korisnika (SCA) za potvrdu novčane transakcije, kao što je pin koji banka šalje na uređaj korisnika ili otisak prsta.
SpyNote može da prikupi SMS poruke koje je korisnik primio i prenese ih na C2 server, a takođe može da dobije pristup privremenim kodovima koje generiše aplikacija Google Authenticator, koristeći usluge pristupačnosti.
C2 komunikacija
Jednom instaliran, SpyNote kontaktira C2 putem komunikacije utičnice koristeći tvrdo kodiranu IP adresu i port unutar koda aplikacije, oba kodirana u Base64. Analizom više uzoraka, uočeno je da je karakteristika SpyNote-a upotreba različitih neobičnih portova za komunikaciju sa C2 serverom.
Podaci koji se razmjenjuju između špijunskog softvera i C2 servera upakovani su u prilagođenu šemu , gdje prvi bajtovi predstavljaju dužinu podataka, nakon čega slijedi nulti bajt, a zatim komprimirani podaci pomoću GZip algoritma.
Snimanje ekrana
Još jedna zanimljiva tehnika koju su usvojili TA za posmatranje radnji korisnika i prikupljanje više informacija su API-ji za projekciju medija. Ova Android funkcija omogućava snimanje sadržaja ekrana na ekranu uređaja. Korisnik može da vidi, na panelu sa obaveštenjima, da aplikacija, u tom slučaju „CERTIFCATO“, projektuje njegov ekran.
SpyNote koristi različite tehnike izbjegavanja odbrane, kao što je zamagljivanje svih imena klasa (slika 10), korišćenje neželjenog koda za usporavanje statičke analize koda i kontrole protiv emulatora kako bi se spriječilo njegovo pokretanje i analiziranje unutar emulator ili sandbox od strane sigurnosnih analitičara.
Nakon instalacije, ikona aplikacije se ne prikazuje na ekranu uređaja i onemogućava korisnika da ručno ukloni aplikaciju putem postavki.
Cleafy je zaključio svoj izveštaj rekavši da agresivna i ekstenzivna priroda SpyNote kampanje ukazuje na to da će sajber kriminalci vjerovatno nastaviti da iskorišćavaju višestruke funkcionalnosti ovog špijunskog softvera za nove prevare korisnika banaka.
(IT mixer)
