Ngày 05 tháng 1 năm 2023Ravie LakshmananBảo mật / giám sát di động
Các tổ chức tài chính đang bị nhắm mục tiêu bởi một phiên bản mới của phần mềm độc hại Android có tên SpyNote ít nhất là kể từ tháng 10 năm 2022.
ThreatFabric cho biết trong một báo cáo được chia sẻ với The Hacker News: “Lý do đằng sau sự gia tăng này là do nhà phát triển phần mềm gián điệp, người trước đây đã bán nó cho các bên khác, đã công khai mã nguồn. “Điều này đã giúp các diễn viên khác [in] phát triển và phân phối phần mềm gián điệp, thường cũng nhắm mục tiêu vào các tổ chức ngân hàng.”
Một số tổ chức đáng chú ý bị phần mềm độc hại mạo danh bao gồm Deutsche Bank, HSBC UK, Kotak Mahindra Bank và Nubank.
SpyNote (hay còn gọi là SpyMax) có nhiều tính năng và đi kèm với rất nhiều khả năng cho phép nó cài đặt các ứng dụng tùy ý; thu thập tin nhắn SMS, cuộc gọi, video và bản ghi âm; theo dõi vị trí GPS; và thậm chí cản trở nỗ lực gỡ cài đặt ứng dụng.
Nó cũng tuân theo phương thức hoạt động của phần mềm độc hại ngân hàng khác bằng cách yêu cầu quyền truy cập vào các dịch vụ trợ năng để trích xuất mã xác thực hai yếu tố (2FA) từ Google Authenticator và ghi lại các lần nhấn phím để hút thông tin đăng nhập ngân hàng.
Ngoài ra, SpyNote còn tích hợp các chức năng để đánh cắp mật khẩu Facebook và Gmail cũng như chụp nội dung màn hình bằng cách tận dụng API MediaProjection của Android.
Công ty bảo mật Hà Lan cho biết phiên bản SpyNote gần đây nhất (được gọi là SpyNote.C) là biến thể đầu tiên tấn công các ứng dụng ngân hàng cũng như các ứng dụng nổi tiếng khác như Facebook và WhatsApp.
Nó còn được gọi là giả mạo là dịch vụ Cửa hàng Google Play chính thức và các ứng dụng chung khác bao gồm các danh mục hình nền, năng suất và trò chơi. Dưới đây là danh sách một số tạo phẩm SpyNote, chủ yếu được phân phối thông qua các cuộc tấn công lén lút:
Xác nhận của Bank of America (yps.eton.application) BurlaNubank (com.appser.verapp) Conversations_ (com.appser.verapp ) Hoạt động hiện tại (com.willme.topactivity) Deutsche Bank Mobile (com.reporting.efficiency) HSBC UK Mobile Banking (com.employ.mb) Kotak Bank (splash.app.main) SimCard ảo (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)
SpyNote.C ước tính đã được 87 khách hàng khác nhau mua trong khoảng thời gian từ tháng 8 năm 2021 đến tháng 10 năm 2022 sau khi nó được nhà phát triển quảng cáo dưới tên CypherRat thông qua kênh Telegram.
Tuy nhiên, sự sẵn có nguồn mở của CypherRat vào tháng 10 năm 2022 đã dẫn đến sự gia tăng đáng kể số lượng mẫu được phát hiện trong tự nhiên, cho thấy rằng một số nhóm tội phạm đang đồng chọn phần mềm độc hại này trong các chiến dịch của riêng chúng.
ThreatFabric lưu ý thêm rằng tác giả ban đầu đã bắt đầu làm việc trên một dự án phần mềm gián điệp mới có tên mã là CraxsRat, được thiết lập để cung cấp dưới dạng một ứng dụng trả phí với các tính năng tương tự.
“Sự phát triển này không phổ biến trong hệ sinh thái Phần mềm gián điệp Android, nhưng cực kỳ nguy hiểm và cho thấy khả năng bắt đầu một xu hướng mới, xu hướng này sẽ chứng kiến sự biến mất dần dần của sự khác biệt giữa phần mềm gián điệp và phần mềm độc hại ngân hàng, do sức mạnh mà việc lạm dụng Các dịch vụ trợ năng cung cấp cho bọn tội phạm,” công ty cho biết.
