Android ‘SpyNote’ kötü amaçlı yazılımının, ziyaretçilere bilgi çalan kötü amaçlı yazılım bulaştıran sahte bir ‘BT uyarısı’ genel uyarı hizmeti kullanarak İtalya’yı hedef alan saldırılarda gözlemlendiği görüldü.
BT uyarısı, İtalyan hükümeti, özellikle Sivil Koruma Departmanı tarafından, orman yangınları, sel, deprem vb. gibi yakın veya devam eden felaketler sırasında halka acil durum uyarıları ve rehberlik sağlamak için işletilen meşru bir kamu hizmetidir.
D3Lab’daki İtalyan araştırmacılar, yaklaşan bir yanardağ patlaması olasılığının yüksek olduğu konusunda uyarıda bulunan ve ziyaretçilerin bilgi sahibi olmaları için uygulamayı yüklemelerini isteyen sahte BT uyarı sitesini ilk kez fark etti.
Bir iOS cihazından indirme düğmesine tıklanırsa kullanıcı gerçek BT uyarı sitesine yönlendirilir, ancak uygulamayı indirmeye çalışan Android kullanıcıları doğrudan ‘IT-Alert.apk’ alır.
APK (Android paketi) dosyası, cihaza SpyNote kötü amaçlı yazılımını yükleyerek, saldırganların ele geçirilen cihazda çok çeşitli tehlikeli ve istilacı eylemler gerçekleştirmesine olanak tanıyan Erişilebilirlik hizmetlerini kullanma izni verir.
(D3Lab)
SpyNote ayrıca kurban bankacılık, kripto para cüzdanı ve sosyal medya uygulamalarını açtığında kullanıcı kimlik bilgilerini çalmak için yer paylaşımlı enjeksiyon saldırıları da gerçekleştirebilir.
Belirli kötü amaçlı yazılımın belgelenen diğer yetenekleri arasında kamera kaydı, GPS ve ağ konumu takibi, standart tuş kaydı, ekran görüntüsü yakalama, telefon görüşmesi kaydı ve Google ve Facebook hesaplarını hedefleme yer alıyor.
SpyNote, kaynak kodu sızıntısından sonra artış gösterdi
SpyNote Android kötü amaçlı yazılımı ilk olarak 2022’de belgelendi ve şu anda üçüncü ana sürümünde bulunuyor ve Telegram aracılığıyla siber suçlulara satılıyor.
Ocak 2023’te bir ThreatFabric raporu, SpyNote tespitlerinin ‘CypherRat’ kod adlı varyantlarından birinin kaynak kodu sızıntısının ardından arttığı konusunda uyardı.
Sızan kaynak kodunu ele geçirenlerden bazıları belirli bankaları hedef alan özel varyantlar oluştururken, diğerleri bunu Google’ın Play Store, Play Protect, WhatsApp ve Facebook gibi göstermeyi tercih etti.
Geçen haftanın sonlarında, F-Secure’den gelen bir rapor, SpyNote’un artan önemine dikkat çekerek, özelliklerinin ve yeteneklerinin ayrıntılı bir analizini sağladı.
Bu tehditlere karşı korunmak için yayıncıya özellikle güvenmediğiniz sürece APK’ları Play Store dışından indirip yüklemekten kaçının.