Ekibimiz, internet genelinde açık dizinlerde gizlenen rahatsız edici bir spynote casus yazılımı örneklerine tökezledi.
Genellikle sadece depolama alanları olarak gözden kaçan bu yanlış yapılandırılmış dijital depolar, Android kullanıcılarını hedefleyen tehlikeli kötü amaçlı yazılımlara farkında olmayan ana bilgisayarlar haline gelmiştir.
Açık dijital depolarda gizli tehditlerin ortaya çıkarılması
Google Translat, Temp Mail ve hatta Deutsche Postbank gibi meşru uygulamalar olarak gizlenen bu kötü amaçlı Android Paketi (APK) dosyaları, güvenilir yazılım kisvesi altında hassas verileri hasat ederek şüphesiz kullanıcılar için ciddi bir tehdit oluşturur.
.png
)
Bu keşif, web’in görünüşte zararsız köşelerindeki gizli tehlikelerin altını çiziyor ve güçlü siber güvenlik önlemlerine acil ihtiyacı vurguluyor.
Kötü şöhretli bir Android casus yazılımı olan Spynote, kaynak kodu 2022’nin sonlarında sızdırıldığından beri büyüyen bir tehdit olmuştur ve siber suçluların endişe verici bir şekilde özelleştirmesini ve dağıtmasını sağlar.
Kötü amaçlı yazılım, cihaz konumu, SMS mesajları ve kişiler gibi kritik bilgileri sifonlamak için erişilebilirlik hizmetleri ve cihaz yöneticisi ayrıcalıklarından yararlanır.
Hunt analizi, çarpıcı hassasiyetle meşru uygulamaları taklit eden birden fazla spynot örneğini ortaya çıkardı.
Spynote’un aldatıcı operasyonlarının teknik dökümü
Örneğin, IP 18.219.97.209:8081 numaralı telefondan bir AWS sunucusunda barındırılan “Translate.apk” adlı bir dosya, Google Translate arabirimini kusursuz bir şekilde çoğaltır.
Ancak, bir geliştirici gözetimini yer tutucu bir metin bırakarak “etkinleştir [MY-NAME]“Erişilebilirlik izni isteğinde kötü niyetli niyetine ihanet eder.
Kurulum sonrası, uygulama ağ isteklerini Kyabhai.duckdns.org:8080 adresindeki bir komut ve kontrol (C2) sunucusuna başlatır ve örtülü veri eklemesini kolaylaştırır.
Benzer şekilde, 156.245.13.61:8000 numaralı telefondan bir SonderCloud Limited sunucusunda barındırılan başka bir örnek olan “Temp_20mail.apk”, tek kullanımlık e -posta üretimi için Temp Mail uygulaması olarak maskelenirken, 156.245.20.17:7771’de bir C2 IP’ye işaret ediyor.
Üçüncü bir örnek olan “PostBank.APK”, Cloudflare London üzerinden barındırılan IP 95.214.177.114:3210’da bir C2 alanı oebonur600.dickdns.org ile iletişim kurarak bu tehditlerin arkasındaki gelişmiş altyapıyı gösteren bir Alman bankacılık uygulamasını taklit eder.
Av platformunda kataloglanan bulgular, her biri dinamik alanlardan ve C2 sunucularını algılamadan kaçınmak için kaydıran açık dizinlerde 40’tan fazla Spynote APKS’yi vurgulamaktadır.
İki ayı kapsayan geçmiş veriler, bu casus yazılımın kalıcı aktivitesini ortaya çıkarır, genellikle sunucu alanını kobalt grevi ve Windows sistemlerini hedefleyen şeridi ikili işleri gibi diğer kötü amaçlı yazılımlarla paylaşır.
Çıkarımlar yüklendikten sonra korkunçtur, bu uygulamalar çalınan verileri sürekli olarak uzak sunuculara iletebilir ve kullanıcı gizliliğinden ve güvenliğinden ödün verebilir.
Meşru uygulama simgelerinin ve arayüzlerinin aldatıcı kullanımı, kullanıcıların kötü amaçlı yazılımları gerçek uygulamalardan ayırmasını ve enfeksiyon riskini artırmasını zorlaştırır.
Bu durum, siber suçlular tarafından günlük dijital araçlara olan güvenden yararlanmak için kullanılan gelişen taktiklerin kesin bir hatırlatıcısıdır.
Spynot’un açık dizinlerde çoğalması, gelişmiş uyanıklık ve proaktif tehdit avı için bir harekete geçirici mesajdır.
Hunt gibi platformlardan yararlanarak, kullanıcılar ve kuruluşlar kötü amaçlı yazılım aileleri hakkındaki gerçek zamanlı verilere erişebilir, altyapılarını izleyebilir ve riskleri etkili bir şekilde azaltabilir.
Bu tehditler gelişmeye devam ettikçe, bilgilendirilmiş kalmak ve gelişmiş siber güvenlik araçlarını benimsemek, dijital ortamları spynot gibi casus yazılımların sinsi erişiminden korumak için çok önemlidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin