Jeden z nejrozšířenějších malware na Androidech nově umí během chvíle vybílit celou krypto peněženku
SpyNote je typem malwaru, který je označovaný jako „trojský kůň se vzdáleným přístupem“ (RAT). Ukrývá se totiž za důvěryhodné aplikace a čeká, až mu uživatel umožní přístup ke svému zařízení. Výzkumníci z laboratoří FortiGuard Labs nedávno objevili vzorek tohoto malwaru maskovaný za legitimní krypto peněženku.
Samotný trojský kůň SpyNote se přitom objevil už v roce 2020 a od té doby se stal jedním z nejrozšířenějších typů malwaru pro platformy Android. Od minulého roku se navíc stále častěji zaměřuje na finanční instituce.
Malware napadá krypto peněženky prostřednictvím API rozhraní pro přístupnost
„Jako dnes většina malwaru pro Android, i SpyNote zneužívá rozhraní API pro přístupnost, které slouží primárně osobám se zdravotním postižením, protože dokáže automaticky provádět celou řadu akcí v uživatelském rozhraní,“ říká Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu. „Malware zneužívající toto rozhraní tak dokáže například zaznamenat gesto pro odemčení zařízení nebo nově využívá toto rozhraní při útoku na známé krypto peněženky,“ doplňuje Šťáhlavský.
Škodlivý kód prostřednictvím API rozhraní pro přístupnost dokáže automaticky vyplnit formulář a převést libovolnou částku v kryptoměně do peněženky kyberzločinců. Konkrétně vykoná malware tyto kroky:
Přečte a zapamatuje si adresu krypto peněženky. Přečte a zapamatuje si částku, která je v ní uložena. Upraví cílovou adresu a nahradí ji adresou útočníkovy krypto peněženky. Tuto adresu obdrží malware od vzdáleného serveru, se kterým komunikuje. Zmáčkne tlačítko Max pro převod celé částky z peněženky. Akci potvrdí stiskem tlačítka Next/Continue.
Všechny tyto kroky probíhají automatizovaně prostřednictvím API rozhraní pro přístupnost, tedy bez aktivní spolupráce uživatele.
„Pro přístup k API rozhraní pro přístupnost musí malware přesvědčit uživatele, aby mu udělil potřebná oprávnění. Tady je na místě zvýšená opatrnost. Zatímco v případě aplikací zaměřených na uživatele s hendikepem je žádost o přístup oprávněná, pokud přijde od domnělých krypto peněženek, PDF čteček, videopřehrávačů a podobně, měli bychom k ní vždy přistupovat s velkou obezřetností,“ říká Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu.
Následující dva screenshoty ukazují, jak se SpyNote malware snaží přístup získat. Pokud uživatel žádost potvrdí, objeví se ještě varovné okno přímo od operačního systému Android s vysvětlením možných rizik. V tomto kroku je ještě možné přístup zamítnout, pokud však uživatel i nyní potvrdí, malwaru už nic nestojí v cestě a může se sám pohybovat v uživatelském rozhraní, mačkat tlačítka, číst a upravovat libovolné aplikace.
Tento nově objevený vzorek malwaru SpyNote pro Android ukazuje, že po rostoucím zájmu o finanční instituce se jeho autoři začali zajímat i o kryptoměnu. Škodlivý kód navíc dokáže mnohem více než jen získávat informace – za pomoci API rozhraní pro přístupnost sám provede převod kryptoměny.