Výzkumníci z italské firmy D3Lab zabývající se kybernetickou bezpečností objevili nový malwarový útok obsahující malware SpyNote pro Android. Útočníci zamaskovali malware jako aplikaci pro veřejnou výstražnou službu, konkrétně službu IT Alert provozovanou ministerstvem civilní ochrany pod italskou vládou. Falešná aplikace s malwarem může ze zařízení ukrást přihlašovací údaje oběti a další citlivá data.
Aplikace IT Alert s malwarem cílí na uživatele Androidu v Itálii
Italská služba IT Alert poskytuje občanům výstrahy a informace o různých katastrofách a vážných mimořádných událostech. Vysílá nouzové zprávy na mobilní telefony během povodní, zemětřesení, lesních požárů a dalších katastrof. Aktéři hrozeb vytvořili falešnou webovou stránku napodobující vládní službu k distribuci malwaru. Webové stránky varují před možností „národního zemětřesení“ v důsledku nadcházející sopečné erupce.
Vyzývá uživatele, aby si nainstalovali aplikaci IT-Alert pro více podrobností, včetně regionů, které mohou zaznamenat nejhorší dopady katastrofy. Webová stránka má tlačítko pro stažení, které stáhne soubor „IT-Alert.apk“ do zařízení Android. Tlačítko přesměruje uživatele na oficiální web po kliknutí přes PC nebo iPhone. Nic netušící uživatelé Androidu by si mysleli, že jde o skutečnou aplikaci, a nainstalují si ji, aby získali více informací o zdánlivě blížícím se nebezpečí.
Netuší, že si nebezpečí pozvali do svého telefonu. Soubor APK nainstaluje do zařízení malware SpyNote a udělí aplikaci oprávnění používat služby usnadnění, uvádí D3Lab. To efektivně umožňuje aplikaci běžet na pozadí s možností vzdáleného přístupu. Útočník pak může na zařízení provádět širokou škálu škodlivých činností, včetně krádeže citlivých dat a souborů.
Malware dokáže zachytit a odeslat fotografie a videa na servery provozované útočníkem. Může také zaznamenávat hovory, zaznamenávat stisknutí kláves a získávat přihlašovací údaje a kódy dvoufaktorové autentizace (2FA) pro bankovní aplikace a další online platformy. Stručně řečeno, aktér hrozby získá plnou kontrolu nad napadeným zařízením. Mohou dělat cokoli, aniž by si toho uživatel všiml. Používání služeb usnadnění uživatelům ztěžuje odinstalaci aplikace.
Sideloading aplikací je vždy nebezpečný
Malware SpyNote Android existuje již několik let. Toto je údajně jeho třetí verze (SpyNote.C). V průběhu let jsme viděli mnoho variant malwaru, z nichž některé byly distribuovány jako bankovní aplikace nebo obecnější aplikace pro Android, jako je Google Play Store, Play Protect, WhatsApp a Facebook. Když je kampaň přerušena, aktéři hrozeb rychle přicházejí s novými řešeními.
Skutečným problémem však je, že uživatelé nejsou ostražití při načítání aplikací. Instalace aplikací z neznámých zdrojů je vždy nebezpečná. Pokud se jedná o originální aplikaci, musí být dostupná v oficiálních obchodech, včetně Obchodu Play. Měli byste si to stáhnout z těchto zdrojů. Aktéři hrozeb distribuují malware nebo jiné nebezpečné kódy prostřednictvím aplikací stažených z neznámých zdrojů. Nedávno jsme viděli něco podobného při spywarovém útoku v Izraeli.
Google potvrdil, že žádná aplikace v Obchodě Play nemá malware SpyNote. „Na základě naší aktuální detekce nebyly na Google Play nalezeny žádné aplikace obsahující tento spyware. Google zavedl ochranu uživatelů pro tento spyware ještě před zveřejněním této zprávy,“ uvedla společnost pro Bleeping Computer. „Uživatelé jsou chráněni službou Google Play Protect, která může varovat uživatele nebo blokovat aplikace, o nichž je známo, že vykazují škodlivé chování na zařízeních Android se službami Google Play.“
Zdroj: androidheadlines.com
