Когда смартфон становится идеальным оружием для высокоточных атак.
CYFIRMA Для просмотра ссылки Войдиили Зарегистрируйся вредоносного Android -приложения, предназначенного для атак на ценные активы в Южной Азии. Образец был создан с использованием инструмента удалённого администрирования SpyNote. Предполагается, что целью могли стать объекты, интересующие APT -группы. Подробности о пострадавших и конкретных регионах не раскрываются.
Обнаружено, что вредоносное приложение распространялось через WhatsApp. Жертве было отправлено четыре варианта файла под названиями «Best Friend», «Best-Friend 1», «Friend» и «best». Все приложения имели один сервер управления. Программы устанавливались скрытно и начинали работать в фоновом режиме, используя обфускацию кода.
SpyNote использует ряд разрешений для доступа к ключевым данным устройства: геолокации, контактам, SMS, памяти устройства и камере. Также приложение может перехватывать звонки, собирать системные данные и даже задействовать специальные возможности системы для мониторинга экрана и ввода текста.
Вредоносный код был нацелен на сбор таких данных, как IMEI-номер, SIM-карта, версия Android и тип сети. Полученные данные тут же отправлялись на сервер управления. Кроме того, приложение делало скриншоты и копировало данные пользователя, такие как контакты, сообщения и фотографии.
SpyNote и его модификации, включая SpyMax и Crax RAT, активно используются хакерами и такими APT-группами, как OilRig (APT34) и APT-C-37. Эти инструменты помогают злоумышленникам шпионить за коммуникациями, похищать данные и сохранять доступ к системам жертв.
Инциденты с использованием SpyNote ранее затрагивали правительственные учреждения, НПО, СМИ и финансовые организации. Текущий случай указывает на вероятное участие неизвестной APT-группы или другого киберпреступного субъекта.
SpyNote остаётся серьёзной угрозой из-за его доступности на подпольных форумах и Telegram-каналах. Атаки с использованием этого инструмента подтверждают предпочтение злоумышленников к проверенным и мощным инструментам для компрометации высокопрофильных целей.
CYFIRMA Для просмотра ссылки Войди
Обнаружено, что вредоносное приложение распространялось через WhatsApp. Жертве было отправлено четыре варианта файла под названиями «Best Friend», «Best-Friend 1», «Friend» и «best». Все приложения имели один сервер управления. Программы устанавливались скрытно и начинали работать в фоновом режиме, используя обфускацию кода.
SpyNote использует ряд разрешений для доступа к ключевым данным устройства: геолокации, контактам, SMS, памяти устройства и камере. Также приложение может перехватывать звонки, собирать системные данные и даже задействовать специальные возможности системы для мониторинга экрана и ввода текста.
Вредоносный код был нацелен на сбор таких данных, как IMEI-номер, SIM-карта, версия Android и тип сети. Полученные данные тут же отправлялись на сервер управления. Кроме того, приложение делало скриншоты и копировало данные пользователя, такие как контакты, сообщения и фотографии.
SpyNote и его модификации, включая SpyMax и Crax RAT, активно используются хакерами и такими APT-группами, как OilRig (APT34) и APT-C-37. Эти инструменты помогают злоумышленникам шпионить за коммуникациями, похищать данные и сохранять доступ к системам жертв.
Инциденты с использованием SpyNote ранее затрагивали правительственные учреждения, НПО, СМИ и финансовые организации. Текущий случай указывает на вероятное участие неизвестной APT-группы или другого киберпреступного субъекта.
SpyNote остаётся серьёзной угрозой из-за его доступности на подпольных форумах и Telegram-каналах. Атаки с использованием этого инструмента подтверждают предпочтение злоумышленников к проверенным и мощным инструментам для компрометации высокопрофильных целей.
- Источник новости
- www.securitylab.ru