艺高胆大!木马竟敢伪装成Avast杀毒软件！

逆向病毒分析 3天前 admin

25 0 0

Cyfirma研究人员最近发现了一种名为SpyNote的新型Android木马，该木马伪装成Avast防病毒软件，通过模仿官方Avast网站进行分发，已欺骗用户下载超过37,000次。SpyNote安装后能访问设备系统功能，请求管理屏幕和通知的权限，自动批准必要权限以躲避防病毒软件。该木马功能广泛，能监视通话和消息，访问摄像头和麦克风，窃取其他应用数据，阻止卸载，并主动搜寻加密货币钱包，窃取密码和交易数据。它还利用流行应用和社交网络漏洞收集个人信息。SpyNote使用代码混淆隐藏行为，隐藏图标，并向攻击者服务器发送命令下载其他组件，即使安装数月后也能更新和扩展功能。其恶意活动不仅限于移动设备，还涉及Windows和macOS计算机。为防范SpyNote，专家建议用户不要从可疑来源下载应用，安装可靠的防病毒解决方案，并保持良好的数字卫生。

Cyfirma公司在其《SpyNote：揭露复杂的Android恶意软件》的技术分析报告中，全面分析揭示了该恶意软件伪装自身、提升权限、保持持久性和逃避检测的复杂方法。通过详细的代码检查和执行观察， Cyfirma发现SpyNote如何利用无障碍服务，伪装成受信任的防病毒应用程序，并不断尝试与其命令和控制服务器通信，尽管存在网络障碍。这些发现突出了该恶意软件的功能以及采取强有力的安全措施来应对此类威胁的迫切需要。SpyNote是一种臭名昭著的Android恶意软件，现已演变为一种高度先进的威胁，能够对受感染的设备进行广泛的控制。

主要发现

Cyfirma研究了SpyNote如何伪装自己、获取权限并试图在受感染的设备上保持持久存在。通过探索该恶意软件的网络通信尝试、权限请求和规避技术，旨在揭示其复杂的操作，并强调采取全面的安全措施来减轻此类威胁的重要性。

该恶意软件以假冒防病毒软件的形式进行传播，安装后，它会采用“Avast Mobile Security for Android”的名称和图标来欺骗用户。
SpyNote利用可访问性权限，授予自己对设备的广泛控制权，包括排除自己进行电池优化和启用通知。
SpyNote模拟用户手势，在后台默默地授予自己进一步的权限。
显示有关虚假系统更新的持续静默通知。
通过模拟用户操作来阻止删除尝试，从而防止卸载。
在后台运行，如果服务停止，可以重新启动其服务。
采用混淆技术来对抗静态分析和逆向工程。
实现特定于设备的适配，以确保在各种设备品牌中的持久性。
目标是加密货币和钱包。
积极寻求窃取设备上安装的其他应用程序的数据。
收集数据，例如外部存储器（sdcard）上的凭证，然后在之后删除它们以消除痕迹。
监控网络流量以检查是否存在活动的互联网连接，并尝试连接到命令和控制(C2)服务器以进行数据泄露。
恶意软件会检查分析环境，例如模拟器或虚拟机。

归因

SpyNote是一种远程访问木马(RAT)，于2020年首次出现。自出现以来，它已成为针对Android设备的最流行的恶意软件家族之一。该恶意软件已发生重大变化，拥有多个变种并集成了其他RAT。研究人员已发现超过10,000个SpyNote样本，表明其分布广泛且影响深远。

2022年底，其变体之一CypherRat的源代码泄露导致感染数量激增。该恶意软件归因于名为EVLF（也称为CypherRat）的威胁行为者。该行为者在Telegram等平台上积极分发SpyNote。

该版本的SpyNote以适用于Android平台的假Avast防病毒软件(Avastavv.apk)的形式在模仿合法Avast防病毒网站的钓鱼网站(https[:]//avastop[.]com/Avastavv.apk)上进行分发。下载页面如下所示。

艺高胆大!木马竟敢伪装成Avast杀毒软件！

同样，该网站的桌面版还会下载适用于Windows和Mac的AnyDesk可执行文件。AnyDesk是一款远程桌面应用程序，下载该应用程序表明该活动范围更广，旨在跨多个平台远程访问设备。下载页面如下所示。

艺高胆大!木马竟敢伪装成Avast杀毒软件！

已确定参与此活动的域名有以下14个，它们均托管相同的钓鱼网站和针对不同平台的假冒Avast防病毒软件，其中包括SpyNote：均为avastXX[.]com这种形式的域名。

SpyNote的主要功能

分析SpyNote RAT可以深入了解其操作功能。基于此分析，以下几点突出了此信息窃取恶意软件的功能：

采用混淆技术来逃避分析工具。
检测分析环境。
利用无障碍服务权限进行广泛的设备控制。
模拟用户手势在后台默默地授予自己额外的权限。
持续运行，若停止则重新启动服务。
通过禁用Google的网络钓鱼检测来避免被标记。
混淆数据收集过程。
收集凭证和敏感数据，并在删除之前将其存储在外部存储中。
针对多个品牌，采用针对特定设备的方法，以保持持久性。
目标是加密货币和钱包。
主动窃取其他应用程序的数据。
防止自己被卸载。
防止用户更改权限或强制停止。
它可以在受感染的设备上下载并安装其他应用程序/恶意软件。
泄露所收集的数据。

结论

对SpyNote恶意软件的全面分析揭示了其复杂的功能和广泛的恶意活动。通过利用混淆技术、无障碍服务权限以及用于持久性和规避的高级方法，SpyNote展示了高水平的技术独创性，旨在窃取敏感信息、操纵用户交互并保持对受感染设备的控制。它能够持续运行、收集和泄露数据以及安装其他恶意软件或应用程序，这凸显了它所构成的重大威胁。

随着SpyNote RAT等威胁不断演变，组织必须实施强大的网络安全措施和主动防御策略。用户在打开来自不受信任来源的文件或点击不熟悉的链接时应谨慎行事，尤其是那些推广可疑软件或内容的链接。此外，采用强大的网络安全措施（例如使用信誉良好的防病毒软件、保持所有软件更新以及警惕社会工程攻击）可以显著增强对SpyNote RAT等复杂恶意软件的防护。

参考资源

1、https://www.cyfirma.com/research/spynote-unmasking-a-sophisticated-android-malware/

2、https://www.securitylab.ru/news/553801.php