Ditulis ku Yukihiro Okutomi
Tim Mobile McAfee niténan kampanye gedé-gedéan ngalawan pamaké Android Jepang anu nyamar salaku perusahaan listrik sareng infrastruktur cai dina awal Juni 2023. Kampanye éta sakedap. waktos dimimitian 7 Juni. Pesen SMS ngingetkeun ngeunaan masalah pamayaran pikeun mamingan korban ka situs web phishing pikeun nginféksi alat target nganggo malware SpyNote anu dikawasa jarak jauh. Baheula, penjahat cyber sering nargétkeun lembaga keuangan. Sanajan kitu, dina kasempetan ieu, utilitas publik ditargetkeun pikeun ngahasilkeun rasa urgency jeung ajak korban pikeun meta. Jaga alat sélulér Android sareng ios anjeun nganggo McAfee Mobile Security.
Serangan nyengir Kampanye
Pesen SMS phishing meniru A kakuatan atawa cai klaim supplier masalah pamayaran, ditémbongkeun saperti dina screenshot handap. URL di pesen ngarahkeun korban ka ramatloka phishing pikeun ngundeur malware mobile.
bewara terminasi transmisi kakuatan Sabab teu mayar waragad ti hiji pausahaan listrik di Tokyo (Sumber: Twitter)
Bewara penundaan suplai cai kusabab henteu mayar biaya ti perusahaan cai di Tokyo (Sumber: Twitter)
Nalika diaksés nganggo browser sélulér, éta bakal ngamimitian ngaunduh malware sareng ningalikeun dialog konfirmasi pamasangan malware.
Dialog konfirmasi pamasangan spyware via browser (Sumber: Twitter)
SpyNote malware
SpyNote mangrupikeun kulawarga malware anu kasohor anu ngalobaan saatos kode sumberna bocor dina Oktober 2022. Anyar-anyar ieu, malware ieu dianggo dina kampanye. targeting lembaga keuangan dina Januari Jeung targeting Bank of Japan dina April 2023.
SpyNote malware nyaéta spyware dikawasa jarak jauh anu ngamangpaatkeun jasa aksesibilitas sareng hak istimewa administrator alat. Éta maok inpormasi alat sareng inpormasi pangguna anu sénsitip sapertos lokasi alat, kontak, pesen SMS anu asup sareng kaluar, sareng telepon. Malware trik pamaké ku ngagunakeun ikon aplikasi sah sangkan aranjeunna kasampak nyata.
Ikon aplikasi nyamar ku malware.
Saatos ngaluncurkeun malware, aplikasina muka layar setélan palsu sareng naroskeun pangguna pikeun ngaktipkeun fitur Aksesibilitas. Nalika pangguna ngaklik panah di bagean handap layar, layar setélan jasa Aksesibilitas sistem bakal némbongan.
Layar setelan palsu (kénca), layar setelan sistem (tengah jeung katuhu)
Ku ngawenangkeun jasa Aksesibilitas, malware nganonaktipkeun optimasi batré supados tiasa jalan di latar tukang sareng otomatis masihan idin pamasangan ka sumber anu teu dikenal pikeun masang malware sanés tanpa sepengetahuan pangguna. Salian ti spionase alat korban, éta ogé nyolong auténtikasi dua faktor dina Google Authenticator sareng Gmail sareng inpormasi Facebook tina alat anu kainféksi.
Sanaos metode distribusina béda, léngkah-léngkah naroskeun jasa Aksesibilitas saatos ngaluncurkeun aplikasi sami kasus Bank of Japan anu lumangsung dina April.
Penipu nuturkeun kajadian ayeuna sareng nyobian ngabéréskeun diri salaku perusahaan anu terkenal anu gaduh alesan pikeun ngahontal konsuménna. Serangan malware sélulér nganggo SpyNote mendakan waktos ieu nargétkeun aplikasi sélulér pikeun infrastruktur hirup sapertos listrik sareng cai. Salah sahiji alesan nyaéta tagihan listrik sareng cai anu biasa dikaluarkeun dina kertas ayeuna diurus ngalangkungan wéb sareng aplikasi mobile. Upami anjeun hoyong diajar ngeunaan smishing, pariksa tulisan ieu “Naon Smishing? Ieu Kumaha Milarian Téks Palsu sareng Jaga Inpormasi Anjeun Aman”. McAfee Mobile Security ngadeteksi ancaman ieu salaku Android / SpyNote sareng ngabéjaan pangguna sélulér upami aya sareng ngajagaan aranjeunna tina leungitna data. Kanggo inpo nu leuwih lengkep, mangga buka McAfee Mobile Kaamanan.
Indikator kompromi (IoC)
Server C2:
Sampel Malware:
| SHA256 Hashes | Ngaran pakét | Ngaran aplikasi |
| 075909870a3d16a194e084fbe7a98d2da07c8317fcbfe1f25e5478e585be1954 | com. faceai. boot | キャリア安全設定 |
| e2c7d2acb56be38c19980e6e2c91b00a958c93adb37cb19d65400d9912e6333f | com. faceai. boot | 東京電力 |
| a532c43202c98f6b37489fb019ebe166ad5f32de5e9b395b3fc41404bf60d734 | com. faceai. boot | 東京電力TEPCO |
| cb9e6522755fbf618c57ebb11d88160fb5aeb9ae96c846ed10d6213cdd8a4f5d | com. faceai. boot | 東京電力TEPCO |
| 59cdbe8e4d265d7e3f4deec3cf69039143b27c1b594dbe3f0473a1b7f7ade9a6 | com. faceai. boot | 東京電力TEPCO |
| 8d6e1f448ae3e00c06983471ee26e16f6ab357ee6467b7dce2454fb0814a34d2 | com. faceai. boot | 東京電力TEPCO |
| 5bdbd8895b9adf39aa8bead0e3587cc786e375ecd2e1519ad5291147a8ca00b6 | com. faceai. boot | 東京電力TEPCO |
| a6f9fa36701be31597ad10e1cec51ebf855644b090ed42ed57316c2f0b57ea3c | com. faceai. boot | 東京電力TEPCO |
| f6e2addd189bb534863afeb0d06bcda01d0174f5eac6ee4deeb3d85f35449422 | com. faceai. boot | 東京電力TEPCO |
| 755585571f47cd71df72af0fad880db5a4d443dacd5ace9cc6ed7a931cb9c21d | com. faceai. boot | 東京電力TEPCO |
| 2352887e3fc1e9070850115243fad85c6f1b367d9e645ad8fc7ba28192d6fb85 | com. faceai. boot | 東京電力TEPCO |
| 90edb28b349db35d32c0190433d3b82949b45e0b1d7f7288c08e56ede81615ba | com. faceai. boot | 東京電力TEPCO |
| 513dbe3ff2b4e8caf3a8040f3412620a3627c74a7a79cce7d9fab5e3d08b447b | com. faceai. boot | 東京電力TEPCO |
| f6e2addd189bb534863afeb0d06bcda01d0174f5eac6ee4deeb3d85f35449422 | com. faceai. boot | 東京電力TEPCO |
| 0fd87da37712e31d39781456c9c1fef48566eee3f616fbcb57a81deb5c66cbc1 | com. faceai. boom | 東京水道局アプリ |
| acd36f7e896e3e3806114d397240bd7431fcef9d7f0b268a4e889161e51d802b | com. faceai. boom | 東京水道局アプリ |
| 91e2f316871704ad7ef1ec74c84e3e4e41f557269453351771223496d5de594e | com. faceai. boom | 東京水道局アプリ |
Unduh McAfee Mobile Security
Kaamanan Mobile McAfee – Perlindungan pikeun Android sareng ios
#Android #SpyNote #nyerang #pamaké #utilitas #umum #listrik #jeung #cai #Jepang