Kötü şöhretli SpyNote Android casus yazılımı, Erişilebilirlik API’lerini kullanarak kripto cüzdanlarını ve şüphelenmeyen kullanıcıları hedef alarak geri dönüyor ve sonuçta kripto para birimlerini çalıyor.
FortiGuard Labs’ın en son araştırma raporuna göre, Android casus yazılımı SpyNote geliştiricileri artık kripto para transferlerini başlatmak için kimlik bilgileri casusluğunun ötesine geçen kripto para birimlerini değerlendiriyor.
Araştırmacılar, kötü şöhretli bir Uzaktan Erişim Truva Atı olan Spynote’un (FARE), artık Erişilebilirlik API’sini kötüye kullanarak “ünlü kripto cüzdanlarını” hedef alıyor. API’nin görevi, cihazın kilit açma hareketlerini kaydetmek gibi kullanıcı arayüzü eylemlerini otomatik olarak gerçekleştirmektir ve esas olarak engelli kişiler için faydalıdır.
Kötü amaçlı kod, bir formu otomatik olarak doldurmak ve kripto para birimini siber suçlulara aktarmak için Erişilebilirlik API’sini kötüye kullanıyor. Hedef cüzdan adresini ve miktarını okuyup ezberliyor ve bunu saldırganın kripto cüzdan adresiyle değiştiriyor.
Bilgiler, eylemi tamamlamak için kötü amaçlı yazılımın bağlantı kurduğu uzak bir sunucuya gönderilir. Kullanıcıyı uyarmadan tüm işlemin otomatik olarak tamamlandığını belirtmekte fayda var.
Fortinet’in raporuna göre Blog yazısı1 Şubat’ta, meşru bir kripto cüzdanı gibi görünen, SpyNote RAT ve anti-analiz özelliklerini içeren kötü amaçlı bir örnek bulundu. Ayrıca, finansal motivasyonlu, orta şiddetteki bu hackleme destanında tehdit aktörlerinin esas olarak mobil kripto cüzdanları veya bankacılık uygulamalarına sahip kullanıcıları hedef aldığını da gözlemlediler.
Araştırmacılar, SpyNote kötü amaçlı yazılımının Erişilebilirlik Hizmeti talep ederken ve kullanıcının Android işletim sistemiyle erişim izni verirken ek uyarılar gösterdiğini gösteren ekran görüntüleri gösterdi. “İzin Ver” seçeneğine tıklamanın, kötü amaçlı yazılımın hain eylemini gerçekleştirmesine işaret ettiği, “Reddet” seçeneğine tıklamanın ise kötü amaçlı yazılımın erişim kazanmasını engellediği açıktır.
Hackread, ilk ortaya çıkışından bu yana SpyNote’un gelişimini takip ediyor 2016 yılında Palo Alto’nun Birim 42’si bu RAT’ı karanlık bir ağ forumunda keşfettiğinde, esas olarak APK uygulamaları yükleyen kullanıcıları hedef alıyordu. Araştırmacılar, SpyNote’un saldırganların virüslü cihazların uzaktan kontrolünü ele geçirmesine yardımcı olduğunu ve Android cihazlarda yan yüklemeyi etkinleştirdiğini belirtti.
2017 yılında Zscaler BT güvenliği araştırmacıları keşfetti SpyNote RAT bulaşmış sahte uygulamalar, saldırganların Android cihazlarda uzaktan yönetim kontrolü elde etmesine olanak tanıyor. Araştırmacılar sahte Netflix, WhatsApp, YouTube, Facebook, Photoshop, SkyTV, Hotstar, Trump Dash PokemonGo gibi çeşitli uygulamaların SpyNote RAT’ın yeni bir çeşidiyle enfekte olduğunu tespit etti.
FortiGuard araştırmacıları, yıllar geçtikçe SpyNote’un 10.000’den fazla örnek ve birden fazla varyantla ortak bir Android kötü amaçlı yazılım ailesi haline geldiğini belirtti.
Geçen yıl kötü amaçlı yazılım yazarları, Cleafy Tehdit İstihbarat Ekibi’nin bankacılık dolandırıcılığına odaklanmasını sağladı. rapor edildi SpyNote, sosyal mühendislik taktikleriyle Avrupa finans kurumlarını hedef alıyor ve Erişilebilirlik hizmetlerini kötüye kullanıyor. Saldırı, kurbanları “yeni sertifikalı bankacılık uygulaması” yüklemeye yönlendiren ve cihazlarına uzaktan erişim sağlayan aldatıcı cezalandırma kampanyalarıyla başladı.
Kötü amaçlı yazılımların sıklıkla mağdurları, farklı yöntemler aracılığıyla Erişilebilirlik API’sine erişmeleri için gerekli hakları vermeye yönlendirdiğini ve kullanıcılar, özellikle de engelli kişiler için bir tehdit oluşturduğunu belirtmekte fayda var.
Android kullanıcılarının Erişilebilirlik API’si isteyen uygulamalara dikkat etmeleri önerilir. Son kullanıcılar, özellikle kripto para cüzdanı olduğu iddia edilenlerden, PDF okuyuculardan ve video oynatıcılardan gelen bu istekleri şüpheli olarak değerlendirmelidir.
İLGİLİ MAKALELER
- Dikkat edin: Yeni Android casus yazılımı aramalarınızı gizlice kaydediyor
- LetMeSpy Android Casus Yazılım Hizmeti Veri İhlalinden Sonra Kapatılıyor
- Konfüçyüs Android casus yazılımı Pakistan’daki askeri ve nükleer birimleri vuruyor
- Xamalicious Backdoor 25 Android Uygulamasını Etkiliyor, 327 Bin Cihazı Etkiliyor
- Bilgisayar korsanları, Sahte profiller kullanarak Facebook aracılığıyla Android casus yazılımını yaydı