Một loại mã độc ngân hàng Android được biết đến là SpyNote đã được phân tích để tiết lộ các tính năng thu thập thông tin đa dạng của nó.
Thường được lan truyền qua các chiến dịch lừa đảo qua tin nhắn với mục tiêu làm cho người dùng cài đặt ứng dụng bằng cách nhấp vào liên kết được nhúng, theo F-Secure.
Ngoài việc yêu cầu quyền truy cập xâm nhập để truy cập vào nhật ký cuộc gọi, máy ảnh, tin nhắn SMS và bộ nhớ ngoại vi, SpyNote còn được biết đến với khả năng ẩn mình khỏi màn hình chính của Android và màn hình Recents nhằm làm cho nó khó bị phát hiện.
"Ứng dụng malware SpyNote có thể được khởi chạy thông qua một tác nhân bên ngoài," nhà nghiên cứu F-Secure Amit Tambe nói trong một bài phân tích được công bố tuần trước. "Khi nhận được ý định, ứng dụng malware khởi chạy hoạt động chính."
Nhưng quan trọng nhất, nó tìm kiếm quyền truy cập tiện ích, sau đó tận dụng nó để cấp cho chính nó các quyền truy cập bổ sung để ghi âm và cuộc gọi điện thoại, ghi lại các phím đã gõ, cũng như chụp ảnh chụp màn hình điện thoại thông qua API MediaProjection.
Một cuộc kiểm tra kỹ lưỡng của phần mềm độc hại đã tiết lộ sự hiện diện của những gì được gọi là dịch vụ kiên nhẫn nhằm chống lại các nỗ lực, dù là do nạn nhân hay hệ điều hành, để chấm dứt nó.
Điều này được thực hiện bằng cách đăng ký một bộ thu sóng phát thanh được thiết kế để khởi động lại nó tự động mỗi khi nó sắp bị tắt. Hơn nữa, người dùng cố gắng gỡ bỏ ứng dụng độc hại bằng cách điều hướng đến Cài đặt sẽ không thể làm điều đó do việc đóng màn hình menu qua việc lạm dụng các API truy cập tiện ích.
"Mẫu SpyNote là phần mềm gián điệp ghi và đánh cắp nhiều thông tin khác nhau, bao gồm cả các phím đã gõ, nhật ký cuộc gọi, thông tin về các ứng dụng đã được cài đặt, và nhiều hơn nữa," Tambe nói. "Nó ẩn mình trên thiết bị của nạn nhân làm cho nó khó nhận thấy. Nó cũng làm cho việc gỡ cài đặt cực kỳ phức tạp."
Sự tiết lộ này đến khi công ty an ninh mạng Phần Lan đã mô tả một ứng dụng Android giả mạo như một bản cập nhật hệ điều hành để lừa đảo mục tiêu cấp quyền truy cập dịch vụ tiện ích và lấy cắp tin nhắn và dữ liệu ngân hàng.
.jpg)
**Tiếp theo, F-Secure đã phân tích cách SpyNote gửi dữ liệu đã thu thập về một máy chủ từ xa.** Mã độc này sử dụng một tài khoản Google Drive để lưu trữ dữ liệu đã thu thập. Khi tài khoản Google Drive được cấu hình, SpyNote sẽ tạo ra một thư mục mới trong thư mục ứng dụng của Drive và tải lên dữ liệu đã thu thập vào đó. Điều này cho phép kẻ tấn công truy cập dễ dàng vào dữ liệu đã thu thập thông qua giao diện web của Google Drive.
Tuy nhiên, F-Secure đã tìm thấy một lỗ hổng trong quá trình này. Khi SpyNote tải lên một tệp tin mới, nó không tạo một tệp tin mới trong ứng dụng Drive như dự kiến. Thay vào đó, nó ghi đè lên một tệp tin đã tồn tại trong ứng dụng Drive. Điều này dẫn đến việc một tệp tin lớn chứa dữ liệu đã thu thập và một số dữ liệu ngẫu nhiên từ tệp tin gốc. Khi kẻ tấn công truy cập vào tệp tin này, dữ liệu sẽ không còn có cấu trúc và khó đọc.
Điều này cho thấy SpyNote không phải là một công cụ hoàn hảo và có thể để lại dấu vết. Tuy nhiên, với tính năng mạnh mẽ của nó trong việc thu thập thông tin và khả năng chống lại các nỗ lực để chấm dứt nó, nó vẫn là một mối đe dọa nghiêm trọng. Để bảo vệ khỏi SpyNote và các loại mã độc tương tự, người dùng nên luôn cập nhật phần mềm của mình, cẩn thận với các ứng dụng không rõ nguồn gốc và cài đặt một ứng dụng bảo mật di động đáng tin cậy.