Finansal kurumlar, Android kötü amaçlı yazılımının yeni bir sürümü tarafından hedefleniyor. SpyNote en azından Ekim 2022’den beri.
ThreatFabric, The Hacker News ile paylaştığı bir raporda, “Bu artışın arkasındaki neden, daha önce başka aktörlere satan casus yazılımın geliştiricisinin kaynak kodunu herkese açık hale getirmesidir.” Dedi. “Bu, diğer aktörlere yardımcı oldu [in] genellikle bankacılık kurumlarını da hedef alan casus yazılımları geliştirmek ve dağıtmak.”
Kötü amaçlı yazılım tarafından taklit edilen önemli kurumlardan bazıları Deutsche Bank, HSBC UK, Kotak Mahindra Bank ve Nubank’tır.
SpyNote (diğer adıyla SpyMax) zengin özelliklere sahiptir ve isteğe bağlı uygulamaları yüklemesine izin veren çok sayıda yetenekle birlikte gelir; SMS mesajları, aramalar, videolar ve ses kayıtları toplayın; GPS konumlarını takip edin; ve hatta uygulamayı kaldırma çabalarını engeller.
Ayrıca, Google Authenticator’dan iki faktörlü kimlik doğrulama (2FA) kodlarını çıkarmak ve banka kimlik bilgilerini sifonlamak için tuş vuruşlarını kaydetmek üzere erişilebilirlik hizmetlerinden izin isteyerek diğer bankacılık kötü amaçlı yazılımlarının işleyiş biçimini takip eder.
Ek olarak SpyNote, Android’in MediaProjection API’sinden yararlanarak Facebook ve Gmail şifrelerini yağmalamak ve ekran içeriğini yakalamak için işlevler içerir.
Hollandalı güvenlik firması, SpyNote’un (SpyNote.C olarak adlandırılan) en son yinelemesinin, bankacılık uygulamalarının yanı sıra Facebook ve WhatsApp gibi diğer iyi bilinen uygulamaları vuran ilk varyant olduğunu söyledi.
Resmi Google Play Store hizmeti ve duvar kağıtları, üretkenlik ve oyun kategorilerini kapsayan diğer genel uygulamalar olarak da bilinir. Temel olarak smishing saldırıları yoluyla iletilen bazı SpyNote yapıtlarının bir listesi aşağıdaki gibidir –
- Bank of America Onayı (yps.eton.application)
- BurlaNubank (com.appser.verapp)
- Konuşmalar_ (com.appser.verapp )
- Geçerli Etkinlik (com.willme.topactivity)
- Deutsche Bank Mobil (com.reporting.efficiency)
- HSBC İngiltere Mobil Bankacılık (com.employ.mb)
- Kotak Bankası (splash.app.main)
- Sanal SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)
SpyNote.C’nin, geliştiricisi tarafından bir Telegram kanalı üzerinden CypherRat adı altında tanıtılmasının ardından Ağustos 2021 ile Ekim 2022 arasında 87 farklı müşteri tarafından satın alındığı tahmin ediliyor.
Bununla birlikte, CypherRat’ın Ekim 2022’de açık kaynak olarak kullanıma sunulması, vahşi doğada tespit edilen örneklerin sayısında çarpıcı bir artışa yol açarak, birkaç suç grubunun kötü amaçlı yazılımı kendi kampanyalarında kullandığını gösteriyor.
ThreatFabric ayrıca, orijinal yazarın o zamandan beri benzer özelliklere sahip ücretli bir uygulama olarak sunulacak olan CraxsRat kod adlı yeni bir casus yazılım projesi üzerinde çalışmaya başladığını kaydetti.
“Bu gelişme, Android Casus Yazılım ekosisteminde o kadar yaygın değil, ancak son derece tehlikeli ve casus yazılım ile Bankacılık kötü amaçlı yazılımı arasındaki ayrımın kötüye kullanılmasının gücü nedeniyle kademeli olarak ortadan kalkacağını görecek yeni bir trendin potansiyel başlangıcını gösteriyor. Erişilebilirlik hizmetleri suçlulara veriyor” dedi.