SpyNote Yeniden İş Başında: Finansal Kurumları Hedefleyen Android Casus Yazılımları

Finansal kurumlar, en azından Ekim 2022'den bu yana SpyNote adlı yeni bir kötü amaçlı Android sürümü tarafından hedefleniyor .

ThreatFabric , paylaştığı bir raporda , "Bu artışın arkasındaki neden, daha önce başka aktörlere satan casus yazılımın geliştiricisinin kaynak kodunu herkese açık hale getirmesidir ." Dedi. " Bu, genellikle bankacılık kurumlarını da hedef alan casus yazılımları geliştiren ve dağıtan diğer aktörlere yardımcı oldu."

Kötü amaçlı yazılım tarafından taklit edilen önemli kurumlardan bazıları Deutsche Bank, HSBC UK, Kotak Mahindra Bank ve Nubank'tır.

SpyNote (diğer adıyla SpyMax) zengin özelliklere sahiptir ve isteğe bağlı uygulamaları yüklemesine izin veren çok sayıda yetenekle birlikte gelir; SMS mesajları, aramalar, videolar ve ses kayıtları toplayın; GPS konumlarını takip edin; ve hatta uygulamayı kaldırma çabalarını engeller.

Ayrıca , Google Authenticator'dan iki faktörlü kimlik doğrulama (2FA) kodlarını çıkarmak ve banka kimlik bilgilerini sifonlamak için tuş vuruşlarını kaydetmek üzere erişilebilirlik hizmetlerinden izin isteyerek diğer bankacılık kötü amaçlı yazılımlarının işleyiş biçimini takip eder.

Ek olarak SpyNote, Android'in MediaProjection API'sinden yararlanarak Facebook ve Gmail şifrelerini yağmalamak ve ekran içeriğini yakalamak için işlevler içerir.

Hollandalı güvenlik firması, SpyNote'un (SpyNote.C olarak adlandırılan) en son yinelemesinin, bankacılık uygulamalarının yanı sıra Facebook ve WhatsApp gibi diğer iyi bilinen uygulamaları vuran ilk varyant olduğunu söyledi.

Resmi Google Play Store hizmeti ve duvar kağıtları, üretkenlik ve oyun kategorilerini kapsayan diğer genel uygulamalar olarak da bilinir. Temel olarak parçalama saldırıları yoluyla iletilen bazı SpyNote yapıtlarının bir listesi aşağıdaki gibidir.

Bank of America Onayı (yps.eton.application)

BurlaNubank (com.appser.verapp)

Konuşmalar_ (com.appser.verapp )

Geçerli Etkinlik (com.willme.topactivity)

Deutsche Bank Mobil (com.reporting.efficiency)

HSBC İngiltere Mobil Bankacılık (com.employ.mb)

Kotak Bankası (splash.app.main)

Sanal SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)

SpyNote.C'nin, geliştiricisi tarafından bir Telegram kanalı üzerinden CypherRat adı altında tanıtılmasının ardından Ağustos 2021 ile Ekim 2022 arasında 87 farklı müşteri tarafından satın alındığı tahmin ediliyor.

Bununla birlikte, CypherRat'ın Ekim 2022'de açık kaynak olarak kullanıma sunulması, vahşi doğada tespit edilen örneklerin sayısında çarpıcı bir artışa yol açarak, birkaç suç grubunun kötü amaçlı yazılımı kendi kampanyalarında kullandığını gösteriyor.

ThreatFabric ayrıca, orijinal yazarın o zamandan beri benzer özelliklere sahip ücretli bir uygulama olarak sunulacak olan CraxsRat kod adlı yeni bir casus yazılım projesi üzerinde çalışmaya başladığını kaydetti.

"Bu gelişme, Android Casus Yazılım ekosisteminde o kadar yaygın değil, ancak son derece tehlikeli ve kötüye kullanılmasının gücü nedeniyle casus yazılım ile bankacılık kötü amaçlı yazılımı arasındaki ayrımın kademeli olarak ortadan kalkacağını görecek yeni bir trendin potansiyel başlangıcını gösteriyor. Erişilebilirlik hizmetleri suçlulara veriyor" dedi.