Слив кода новейшей итерации SpyNote породил рост детектов Android-трояна

Татьяна Никитина 09 Января 2023 - 15:48

...

Слив кода новейшей итерации SpyNote породил рост детектов Android-трояна

В IV квартале эксперты ThreatFabric зафиксировали заметное увеличение количества семплов SpyNote — семейства зловредов для Android с функциями шпиона, банкера и инструмента удаленного доступа. Исследователи полагают, что рост вредоносной активности связан с публикацией исходников версии C трояна, которую автор продавал под именем CypherRAT.

Вредонос SpyNote, он же SpyMax, известен ИБ-сообществу с 2016 года. Его основной задачей является слежка за действиями жертвы на Android-устройстве. В ThreatFabric различают три основных варианта мобильного трояна: A, B и C.

Последний развивался как кастомная версия с августа 2021 года; его можно было приобрести через частный Telegram-канал, собравший более 80 клиентов. В минувшем октябре вирусописатель выложил исходные коды CypherRAT (SpyNote.C) на GitHub, решив таким образом избавиться от многочисленных подделок; взамен он начал развивать новый коммерческий проект — CraxsRat — с такими же возможностями.

Стоит отметить, что CypherRAT отличается от предыдущих версий тем, что вдобавок к шпионским функциям (отслеживание СМС, звонков, аудио- и видеозаписи) умеет воровать учетные данные из банковских и некоторых других приложений. Вредонос также обеспечивает удаленный доступ к зараженному устройству, а использование спецвозможностей Android (Accessibility Service) позволяет ему обновляться и устанавливать новые приложения.

С октября прошлого года в базе ThreatFabric скопилось более 1100 образцов SpyNote; большинство из них представляют собой CypherRAT. Подобных зловредов обычно выдают за банковские приложения (HSBC, Deutsche Bank, Kotak Bank и т. п.), иногда — за клиенты WhatsApp, Facebook (признана экстремистской и запрещена в России), Google Play, игровое приложение, программу для установки обоев, инструмент повышения производительности.

В своей блог-записи эксперты привели список характерных особенностей CypherRAT:

использование Camera API для записи и отправки на C2 видеоматериалов;
определение текущих координат GPS и Network через взаимодействие со службой расположения Android (используется класс LocationManager);
кража учетных данных Google и Facebook с помощью фишинговых страниц-оверлеев;
извлечение 2FA-кодов из Google Authenticator;
регистрация клавиатурного ввода с целью кражи банковских учеток.

Чтобы затруднить анализ, CypherRAT использует строковую обфускацию и коммерческие упаковщики APK. Вся отсылаемая оператору информация кодируется по base64, что помогает скрыть местоположение хоста.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 31 Марта 2025 - 08:51

Сбои программ Сбои оборудования Общее Anti-Malware.ru Яндекс

Авария в ЦОД Яндекса вызвала массовый сбой. AM он тоже затронул

Из-за аварии в одном из центров обработки данных (ЦОД) компании «Яндекс» стали недоступны как собственные сервисы компании, так и ресурсы её клиентов, пользующихся услугами «Яндекс Облака». Среди пострадавших оказались службы доставки, федеральные розничные сети, стриминговые платформы и онлайн-кинотеатры.

Первым о неполадках сообщил сервис «Яндекс.Музыка». По информации портала «Сбой.рф», массовые жалобы пользователей начали поступать с 12:00 по московскому времени, причем большинство обращений было из московского региона.

«У части пользователей наблюдались временные сложности с доступом к некоторым сервисам Яндекса», — заявили в пресс-службе «Яндекс.Музыки» агентству «РИА Новости». К 14:40 сервис сообщил о восстановлении своей работы.

«30 марта с 12:45 до 14:20 Центр мониторинга и управления сетью связи общего пользования фиксировал резкий рост обращений пользователей о проблемах в работе сервисов, использующих ресурсы "Яндекс Облака". Причиной стал сбой в электроснабжении одного из ЦОД компании "Яндекс"», — сообщил Центр мониторинга и управления сетями связи общего пользования (ЦМУ ССОП), подведомственный Роскомнадзору.

Как сообщает «Газета.Ru», помимо сервисов «Яндекса», неполадки также затронули онлайн-площадки таких компаний, как «М.Видео», «Вкусно — и точка», Delivery Club, KFC, «Кинопоиск» и «Аптека.ру». Сбой также отразился на работе ряда мобильных операторов. По информации РБК, проблемы возникли у пользователей мобильных приложений «Купер», «Магнит» и ЦИАН. Наш собственный сайт также оказался недоступен.

Компания «Яндекс» начала официально фиксировать инцидент с 12:25. Примерно через 40 минут появилось сообщение об аварии: «В настоящий момент зона ru-central1-b полностью обесточена. Команда выясняет причины и работает над устранением последствий. Рекомендуем клиентам временно перенести нагрузку в другие зоны».

В 15:30 «Яндекс» сообщил о начале восстановления электроснабжения. К 17:04 было объявлено о полном восстановлении подачи электроэнергии и запуске оборудования, а ещё через час компания подтвердила возобновление работы базовой инфраструктуры.

Ранее, 29 ноября 2024 года, «Яндекс» уже сталкивался с масштабным сбоем, вызванным отказом коммутатора ядра сети.