Охота началась: SpyNote выходит на след лидеров Южной Азии

CYFIRMA провела анализ вредоносного Android-приложения, предназначенного для атак на ценные активы в Южной Азии. Образец был создан с использованием инструмента удалённого администрирования SpyNote. Предполагается, что целью могли стать объекты, интересующие APT-группы. Подробности о пострадавших и конкретных регионах не раскрываются.

Обнаружено, что вредоносное приложение распространялось через WhatsApp. Жертве было отправлено четыре варианта файла под названиями “Best Friend”, “Best-Friend 1”, “Friend” и “best”. Все приложения имели один сервер управления. Программы устанавливались скрытно и начинали работать в фоновом режиме, используя обфускацию кода.

SpyNote использует ряд разрешений для доступа к ключевым данным устройства: геолокации, контактам, SMS, памяти устройства и камере. Также приложение может перехватывать звонки, собирать системные данные и даже задействовать специальные возможности системы для мониторинга экрана и ввода текста.

Вредоносный код был нацелен на сбор таких данных, как IMEI-номер, SIM-карта, версия Android и тип сети. Полученные данные тут же отправлялись на сервер управления. Кроме того, приложение делало скриншоты и копировало данные пользователя, такие как контакты, сообщения и фотографии.

SpyNote и его модификации, включая SpyMax и Crax RAT, активно используются хакерами и такими APT-группами, как OilRig (APT34) и APT-C-37. Эти инструменты помогают злоумышленникам шпионить за коммуникациями, похищать данные и сохранять доступ к системам жертв.

Инциденты с использованием SpyNote ранее затрагивали правительственные учреждения, НПО, СМИ и финансовые организации. Текущий случай указывает на вероятное участие неизвестной APT-группы или другого киберпреступного субъекта.

SpyNote остаётся серьёзной угрозой из-за его доступности на подпольных форумах и Telegram-каналах. Атаки с использованием этого инструмента подтверждают предпочтение злоумышленников к проверенным и мощным инструментам для компрометации высокопрофильных целей.

Public Release.