Stručnjaci za kibernetičku sigurnost upozoravaju na novu špijunsku kampanju usmjerenu na Android korisnike, u kojoj je zlonamjerni softver SpyNote prerušena u poznate aplikacije kako bi prevario korisnike da sami instaliraju zlonamjerni kod na svoje uređaje.
Šta je SpyNote?
SpyNote je trojanac za Android uređaje poznat još od kraja 2022. godine, kada je njegov izvorni kod procurio na internet. Od tada su se pojavile brojne verzije, svaka sofisticiranija od prethodne. Napadači sada koriste legitimno izgledajuće aplikacije, poput Google Translatea, Temp Maila ili Deutsche Postbank aplikacije, kako bi zavarali korisnike i potaknuli ih na preuzimanje.
Kako funkcioniše SpyNote?
Krivotvorenje aplikacija
Zlonamjerni APK-ovi nose ista imena i sučelje kao poznate aplikacije (npr. Translate.apk), što otežava njihovo prepoznavanje kao prijetnju. Istraživači su uspjeli otkriti jednu varijantu upravo zahvaljujući grešci u definiciji pristupnih dozvola unutar koda.
Iskorištavanje sistemskih dozvola – SpyNote koristi zatražene dozvole za pristup sljedećim podacima:
- GPS lokaciji korisnika
- SMS porukama, kontaktima i historiji poziva
- Aktivnostima korisnika na ekranu
Potpunu daljinsku kontrolu uređaja putem pristupačnosti i administratorskih dozvola
Komunikacija s C2 serverima
Jednom kada je instaliran, SpyNote se povezuje sa svojim Command & Control (C2) serverom — često smještenim na istoj infrastrukturi sa koje je distribuirana aplikacija. Naprednije verzije koriste alate kao što su Cobalt Strike i Sliver, što ukazuje na povezanost s organiziranim cyber kriminalnim grupama.
Znakovi upozorenja
Aplikacija traži prekomjerne dozvole (npr. pristupačnost, administrator uređaja)
Instalacija putem neslužbenih izvora (npr. linkovi sa Google Diska, otvorene datoteke na webu)
Ime aplikacije ne odgovara aplikaciji iz službene prodavnice (npr. Translate.apk)
Neobično ponašanje nakon instalacije – npr. iznenadni zahtjevi za unos podataka bankovnog računa
Preporuke za korisnike i administratore
Za IT administratore:
Ograničite pristup otvorenim mapama bez zaštite
Aktivno pratite mrežni saobraćaj prema sumnjivim C2 domenama
Implementirajte EDR/MDR alate na Android uređajima unutar poslovne mreže
Za krajnje korisnike:
Instalirajte aplikacije isključivo iz službenih prodavnica (Google Play, App Store)
Provjerite ime programera prije preuzimanja aplikacije
Nemojte davati pristup pristupačnosti osim ako nije apsolutno neophodno
Koristite mobilne antivirusne aplikacije renomiranih proizvođača
Zaključak
Povratak SpyNotea u vidu široko rasprostranjenih kampanja naglašava da su mobilni uređaji postali glavna meta kibernetičkih napada. Napadači ih ne koriste samo za krađu ličnih podataka, već i kao ulaznu tačku za infiltraciju u poslovne mreže. Kako bi se spriječile ozbiljne posljedice, važno je kombinirati sigurnosno osviješteno korisničko ponašanje, tehničke mjere zaštite i kontinuirani nadzor nad prijetnjama.