SpyNote se vraća: Zlonamjerni softver maskiran kao popularne Android aplikacije ponovno prijeti korisnicima

· Sanja Ledinek

SpyNote se vraća

Stručnjaci za kibernetičku sigurnost upozoravaju na novu špijunsku kampanju usmjerenu na Android korisnike, u kojoj je zlonamjerni softver SpyNote prerušena u poznate aplikacije kako bi prevario korisnike da sami instaliraju zlonamjerni kod na svoje uređaje.

Što je SpyNote?

SpyNote je trojanac za Android uređaje poznat još od kraja 2022., kada je njegov izvorni kod procurio na internet. Od tada su se pojavile brojne verzije, svaka sofisticiranija od prethodne. Napadači sada koriste legitimno izgledajuće aplikacije, poput Google Translatea, Temp Maila ili Deutsche Postbank aplikacije, kako bi zavarali korisnike i potaknuli ih na preuzimanje.

Kako funkcionira SpyNote?

1. Krivotvorenje aplikacija
Zlonamjerni APK-ovi nose ista imena i sučelje kao poznate aplikacije (npr. Translate.apk), što otežava njihovo prepoznavanje kao prijetnju. Istraživači su uspjeli otkriti jednu varijantu upravo zahvaljujući pogrešci u definiciji pristupnih dozvola unutar koda.

2. Iskorištavanje sustavnih dozvola – SpyNote koristi zatražene dozvole za pristup sljedećim podacima:

  • GPS lokaciji korisnika
  • SMS porukama, kontaktima i povijesti poziva
  • Aktivnostima korisnika na zaslonu
  • Potpunu daljinsku kontrolu uređaja putem pristupačnosti i administratorskih dozvola

3. Komunikacija s C2 poslužiteljima
Jednom kada je instaliran, SpyNote se povezuje sa svojim Command & Control (C2) poslužiteljem — često smještenim na istoj infrastrukturi s koje je distribuirana aplikacija.
Naprednije varijante koriste alate kao što su Cobalt Strike i Sliver, što ukazuje na povezanost s organiziranim cyber kriminalnim grupama.

SpyNote se vraća

Znakovi upozorenja

  • Aplikacija traži prekomjerne dozvole (npr. pristupačnost, administrator uređaja)
  • Instalacija putem neslužbenih izvora (npr. linkovi sa Google Diska, otvorene datoteke na webu)
  • Ime aplikacije ne odgovara aplikaciji iz službene trgovine (npr. Translate.apk)
  • Neobično ponašanje nakon instalacije – npr. iznenadni zahtjevi za unos podataka bankovnog računa

Preporuke za korisnike i administratore

Za IT administratore:

  • Ograničite pristup otvorenim mapama bez zaštite
  • Aktivno pratite mrežni promet prema sumnjivim C2 domenama
  • Implementirajte EDR/MDR alate na Android uređajima unutar poslovne mreže

Za krajnje korisnike:

  • Instalirajte aplikacije isključivo iz službenih trgovina (Google Play, App Store)
  • Provjerite ime programera prije preuzimanja aplikacije
  • Nemojte davati pristup pristupačnosti osim ako nije apsolutno potrebno
  • Koristite mobilne antivirusne aplikacije renomiranih proizvođača

Zaključak

SpyNoteov povratak u obliku široko rasprostranjenih kampanja naglašava da su mobilni uređaji postali glavna meta kibernetičkih napada. Napadači ih ne koriste samo za krađu osobnih podataka, već i kao ulaznu točku za infiltraciju u poslovne mreže. Kako bi se spriječile ozbiljne posljedice, važno je kombinirati sigurnosno osviješteno korisničko ponašanje, tehničke mjere zaštite i kontinuirani nadzor nad prijetnjama.

DRUGE NOVOSTI