SpyNote: безсмъртният троянец, срещу който няма защита
Аналитиците от компанията за осведомителни услуги F-Secure са направили изчерпателен разбор на троянския кон SpyNote за Android и са разкрили неговата голяма дарба да събира сензитивна информация.
Обикновено SpyNote се популяризира посредством smishing акции, при които нападателите убеждават жертвите да кликнат върху линк в SMS и да конфигурират приложението. По време на инсталацията SpyNote изисква достъп до дневниците на позвъняванията, камерата, SMS известията и външното вместилище, като ловко скрива следите си на началния екран на Android и екрана с последните задания, с цел да затрудни откриването си.
Изследователите настояват, че зловредният програмен продукт SpyNote може да се задейства посредством външен тригер. При приемане на съответния сигнал (обикновено поредност от символи) зловредното приложение задейства главната си активност.
SpyNote се отличава с това, че получава права, а по-късно ги употребява, с цел да си даде автоматизирано спомагателни права за записване на аудио и телефонните диалози, вписване на натисканията на клавишите и основаване на скрийншоти на екрана посредством API MediaProjection.
По-подробното разглеждане на зловредния програмен продукт разкри съществуването на по този начин наречените „ diehard “ услуги, които пазят приложението от опити за прекратяването му, без значение дали от страна на жертвата или на операционната система.
Троянският кон SpyNote подсигурява своята резистентност, като записва Broadcast Receiver, който автоматизирано рестартира зловредния програмен продукт при опит за преустановяване. Освен това, когато потребителят се опита да отстрани вредоносната стратегия посредством менюто с настройки, менюто автоматизирано се затваря заради изпозлвания API. Единственото решение на казуса е да се извърши възобновяване на фабричните настройки, при което се губят всички данни на устройството.
