Ekim 2022’den bu yana, SpyNote (diğer adıyla SpyMax) olarak bilinen Android kötü amaçlı yazılımının yeni bir sürümü, bilgi çalma aracı olarak finansal kurumları hedef alıyor. Bu yeni sürümün hem casus yazılımların hem de bankacılık truva atlarının özelliklerini içerdiğini belirtmek ilginçtir.
ThreatFabric kısa bir süre önce, saldırganların hassas verilere erişmek, dolandırıcılık yapmak ve kurbanlarından kişisel bilgileri çalmak için Android Spyware kullanmasının tanıdık bir fenomen haline geldiğini bildirdi.
Casus yazılımın geliştiricisinin kaynak kodunu herkese açık hale getirmesi sonucunda casus yazılımların daha önce başka aktörlere satılması sonucu kullanıcı sayısında artış olmuştur.
Finansal Kurumları Hedefleyen SpyNote
Bu, genellikle bankaları da hedef alan diğer aktörler tarafından casus yazılımların geliştirilmesini ve dağıtılmasını kolaylaştırdı. Kötü amaçlı yazılımın, aşağıda listelenenler de dahil olmak üzere bir dizi önemli kurumu taklit ettiğini belirtmekte fayda var:-
- Alman bankası
- HSBC İngiltere
- Kotak Mahindra Bankası
- Nubank
SpyNote, birçok özelliğine ek olarak, cihazınıza herhangi bir uygulamayı kurmasını ve kaldırmasını ve hatta rastgele kod çalıştırmasını sağlayan çok sayıda yeteneğe sahiptir.
Ek olarak, diğer bankacılık kötü amaçlı yazılımlarına benzer bir şekilde erişilebilirlik hizmetlerine erişim talep eder. Bu, aşağıdaki yasa dışı faaliyetleri gerçekleştirmek için yapılır:-
Ayrıca, SpyNote, Facebook ve Google hesaplarının ele geçirilmesinin yanı sıra ekran içeriğini yakalamak için Android’in MediaProjection API’sini kullanarak ekran görüntüsü alma yeteneği de dahil olmak üzere şifre hırsızlığıyla ilgili çok çeşitli özellikler sunar.
SpyNote’un Yetenekleri
Aşağıda, SpyNote’un tüm temel yeteneklerinden bahsetmiştik:-
- E-dolandırıcılık
- Smishing
- SMS koleksiyonu
- Kontak Koleksiyonu
- Çağrı listesi
- Ekran görüntüsü al
- Anahtar kaydedici
- 2FA Kapmak
- hRAT
- Kaldırmayı Önle (müttefik)
- kaçırma
Resmi bir Google Play Store hizmeti kılığına girmesinin yanı sıra, genel bir uygulama kılığına girdiği de tespit edildi. Aşağıda, genellikle parçalama yoluyla iletilen ve SpyNote’un doğru olmasından sorumlu olan birkaç eser listelenmiştir:-
- Bank of America Onayı (yps.eton.application)
- BurlaNubank (com.appser.verapp)
- Konuşmalar_ (com.appser.verapp )
- Geçerli Etkinlik (com.willme.topactivity)
- Deutsche Bank Mobil (com.reporting.efficiency)
- HSBC İngiltere Mobil Bankacılık (com.employ.mb)
- Kotak Bankası (splash.app.main)
- Sanal SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)
Ağustos 2021 ile Ekim 2022 arasında SpyNote.C’nin, programın geliştiricisi tarafından CypherRat adlı bir Telegram kanalı üzerinden ilan edilmesinin ardından 87 farklı alıcı tarafından satın alındığı tahmin ediliyor.
Ancak, CypherRat Ekim 2022’de açık kaynak haline geldiğinden beri, açık kaynak kullanılabilirliğinin bir sonucu olarak vahşi doğada tespit edilen örneklerin sayısı önemli ölçüde arttı. Bazı suç gruplarının, programcıyı kendi suç gündemlerini ilerletmek için birlikte kullanmak için kötü amaçlı yazılımı kullandığı öne sürüldü.
ThreatFabric o zamandan beri asıl yazarın ücretli bir hizmet olarak sunulacak benzer bir casus yazılım uygulaması olan CraxsRat üzerinde çalışmaya başladığını belirtti.
Android Spyware geliştikçe ve Android ekosisteminde giderek daha yaygın hale geldikçe, mobil kullanıcılara sunulan yeni ve yenilikçi tehditler her zaman vardır.
ThreatFabric araştırmacıları, mobil tehdit ortamını izlemenin yanı sıra çeşitli aktörlerin ve kampanyaların faaliyetlerini takip ederek bunların her zaman güncel olmasını sağlar ve kullanıcıların bu tür senaryoları hafifletmesine yardımcı olur.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin