Finansal kurumlar, Android kötü amaçlı yazılımının yeni bir sürümü tarafından hedefleniyor. SpyNote en azından Ekim 2022’den beri.
ThreatFabric, “Bu artışın arkasındaki neden, daha önce başka aktörlere satan casus yazılımın geliştiricisinin kaynak kodunu herkese açık hale getirmesidir” dedi. dedim The Hacker News ile paylaşılan bir raporda. “Bu, diğer aktörlere yardımcı oldu [in] genellikle bankacılık kurumlarını da hedef alan casus yazılımları geliştirmek ve dağıtmak.”
Kötü amaçlı yazılım tarafından taklit edilen önemli kurumlardan bazıları Deutsche Bank, HSBC UK, Kotak Mahindra Bank ve Nubank’tır.
SpyNote (diğer adıyla SpyMax) zengin özelliklere sahiptir ve isteğe bağlı uygulamaları yüklemesine izin veren çok sayıda yetenekle birlikte gelir; SMS mesajları, aramalar, videolar ve ses kayıtları toplayın; GPS konumlarını takip edin; ve hatta uygulamayı kaldırma çabalarını engeller.
Ayrıca, Google Authenticator’dan iki faktörlü kimlik doğrulama (2FA) kodlarını ayıklamak ve banka kimlik bilgilerini sifonlamak için tuş vuruşlarını kaydetmek üzere erişilebilirlik hizmetlerinden izin isteyerek diğer bankacılık kötü amaçlı yazılımlarının işleyiş biçimini takip eder.
Ek olarak SpyNote, Facebook ve Gmail şifrelerini yağmalamak ve Android’in özelliklerinden yararlanarak ekran içeriğini yakalamak için işlevler içerir. MediaProjection API’si.
Hollandalı güvenlik firması, SpyNote’un (SpyNote.C olarak adlandırılan) en son yinelemesinin, bankacılık uygulamalarının yanı sıra Facebook ve WhatsApp gibi diğer iyi bilinen uygulamaları vuran ilk varyant olduğunu söyledi.
Ayrıca, resmi Google Play Store hizmeti ve duvar kağıtları, üretkenlik ve oyun kategorilerini kapsayan diğer genel uygulamalar kılığına girdiği de biliniyor. Temelde aracılığıyla teslim edilen bazı SpyNote yapıtlarının bir listesi vurucu saldırılarŞöyleki –
- Bank of America Onayı (yps.eton.application)
- BurlaNubank (com.appser.verapp)
- Konuşmalar_ (com.appser.verapp )
- Geçerli Etkinlik (com.willme.topactivity)
- Deutsche Bank Mobil (com.reporting.efficiency)
- HSBC İngiltere Mobil Bankacılık (com.employ.mb)
- Kotak Bankası (splash.app.main)
- Sanal SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)
SpyNote.C’nin, geliştiricisi tarafından bir Telegram kanalı aracılığıyla CypherRat adı altında tanıtılmasının ardından Ağustos 2021 ile Ekim 2022 arasında 87 farklı müşteri tarafından satın alındığı tahmin ediliyor.
Bununla birlikte, Ekim 2022’de CypherRat’ın açık kaynak olarak kullanıma sunulması, vahşi ortamda tespit edilen örneklerin sayısında çarpıcı bir artışa yol açarak, birkaç suç grubunun kötü amaçlı yazılımı kendi kampanyalarında kullandığını gösteriyor.
ThreatFabric ayrıca, orijinal yazarın o zamandan beri benzer özelliklere sahip ücretli bir uygulama olarak sunulacak olan CraxsRat kod adlı yeni bir casus yazılım projesi üzerinde çalışmaya başladığını kaydetti.
“Bu gelişme, Android Casus Yazılım ekosisteminde o kadar yaygın değil, ancak son derece tehlikeli ve kötüye kullanılmasının gücü nedeniyle casus yazılım ile bankacılık kötü amaçlı yazılımı arasındaki ayrımın kademeli olarak ortadan kalkacağını görecek yeni bir trendin potansiyel başlangıcını gösteriyor. Erişilebilirlik hizmetleri suçlulara veriyor” dedi.