در روزهای اخیر با بازگشت جاسوس‌افزار اندروید SpyNote مواجه شدیم. این جاسوس افزار از اکسپلویت APIهای دسترسی پذیری برای هدف قرار دادن کیف پول‌های کریپتو و کاربران ناآگاه استفاده می‌کند و در نهایت ارز دیجیتال آنها را می‌دزدد.

جدیدترین گزارش تحقیقاتی آزمایشگاه FortiGuard نشان می‌دهد که توسعه‌دهندگان نرم‌افزار جاسوسی اندروید SpyNote ، درحال حاضر دیگر از جاسوسی اعتبار گذشته و شروع به انتقال ارزهای دیجیتال کرده اند.

محققان خاطرنشان کردند که Spynote، یک تروجان دسترسی از راه دور یا همان RAT می باشد. Spynote اکنون با سوء استفاده از Accessibility API، «کیف پول‌های معروف کریپتو» را هدف قرار داده است. وظیفه API این است که به طور خودکار اقدامات UI را انجام دهد، مانند ضبط حرکات باز کردن قفل دستگاه و عمدتاً برای افراد دارای معلولیت مفید است.

هدف اصلی نرم‌افزار مخرب SpyNote دزدیدن اطلاعات موجود در موبایل و ارسال آن به لپ تاپ مهاجم است. اسپای نوت نرم افزاری جاسوسی است که از راه پیامک منتشر می شود و قربانیان را به دانلود این برنامه ترغیب می کند.

این کد مخرب از API دسترسی پذیری برای پر کردن خودکار فرم و انتقال ارز دیجیتال به مجرمان سایبری سوء استفاده می کند. آدرس و مقدار کیف پول مقصد را می خواند و به خاطر می سپارد و آدرس کیف پول کریپتو مهاجم را جایگزین آن می کند.

اندروید برای مدت زیادی همیشه با مشکل بدافزارها مواجه بوده است و یکی از روش‌های مهم هکرها، حمله ازطریق سرویس‌های دسترسی‌پذیری گوشی‌های هوشمند است. API‌های دسترسی‌پذیری ابزارهای قدرتمندی هستند که برای توسعه‌دهندگان در نظر گرفته شده‌‌اند تا با استفاده از آن‌ها به کاربران معلول کمک کنند. این ابزارها امکاناتی مثل خواندن محتوای روی صفحه و واردکردن ورودی‌ها را دردسترس این دسته از کاربران قرار می‌دهد.

اطلاعات به یک سرور ریموت فرستاده می‌شود که بدافزار قبلاً برای تکمیل عملیات با آن ارتباط برقرار کرده است.

شایان ذکر است که کل عمل به صورت خودکار و بدون هشدار به کاربر انجام می شود.

طبق پست وبلاگ فورتی نت، در اول فوریه 2024 ، یک نمونه مخرب به عنوان یک والت کریپتو قانونی ظاهر می شد و دارای SpyNote RAT و ویژگی های ضد تجزیه و تحلیل بود. آنها همچنین مشاهده کردند که بازیگران تهدید عمدتاً کاربران را با والت های کریپتو موبایل یا برنامه های بانکی هدف قرار می دهند.

محققان اسکرین‌شات‌هایی را نشان دادند که در آن بدافزار SpyNote در حال درخواست سرویس دسترسی و کاربر با سیستم‌عامل اندروید اجازه دسترسی را مشاهده کرد. بدیهی است که کلیک کردن بر روی “Allow” به بدافزار سیگنال می‌دهد تا عمل پلید خود را انجام دهد در حالی که کلیک کردن روی “رد کردن” مانع از دسترسی آن می‌شود.

بدافزار SpyNote اولین بار در سال 2016 ظاهر شد.

زمانی که Palo Alto’s Unit 42 این RAT را در تالار گفتگوی دارکنت کشف کرد که عمدتاً کاربرانی را که برنامه های APK را نصب می کنند، هدف قرار می دهد. محققان خاطرنشان کردند که SpyNote به مهاجمان کمک کرد تا دستگاه‌های آلوده را از راه دور کنترل کنند و بارگذاری جانبی را در دستگاه‌های اندرویدی فعال کرد.

خانواده بدافزاری Spynote چیست؟
یک تروجان دسترسی از راه دور اندرویدی (RAT) است. به این معنا که می‌توان از راه دور و از طریق سرور بدافزار، به هر دستگاه اندرویدی که بدافزار بر روی آن نصب است، دسترسی پیدا کرد. کارهای مخربی که در گوشی کاربر انجام می‌شوند شامل مواردی مانند دزدیدن اطلاعات کاربران از جمله پیام‌ها و لیست مخاطبان، گوش دادن به مکالمات قربانی، ضبط صدا، کنترل دوربین، دریافت دسترسی ادمین (Admin) و امکان برقراری تماس در گوشی کاربر هستند.

در سال 2017، محققان امنیتی Zscaler IT برنامه‌های جعلی آلوده به SpyNote RAT را کشف کردند که به مهاجمان اجازه می‌داد کنترل ریموت ادمین بر روی دستگاه‌های اندرویدی به دست آورند. محققان اپلیکیشن های مختلفی از جمله نتفلیکس جعلی، واتس اپ، یوتیوب، فیس بوک، فتوشاپ، اسکای تی وی، هات استار، Trump Dash PokemonGo و غیره را شناسایی کردند که به نوع جدیدی از SpyNote RAT آلوده شده اند.

محققان FortiGuard خاطرنشان کردند که در طول سال‌ها، SpyNote با بیش از 10000 نمونه و انواع مختلف به خانواده رایج بدافزارهای اندروید تبدیل شده است.

سال گذشته، نویسندگان بدافزار تمرکز خود را به کلاهبرداری بانکی معطوف کردند، زیرا تیم اطلاعاتی Cleafy Threat گزارش داد که SpyNote موسسات مالی اروپایی را با تاکتیک‌های مهندسی اجتماعی و سوء استفاده از خدمات دسترسی مورد هدف قرار داده است. این حمله با کمپین‌های فریبنده‌ای آغاز شد که قربانیان را به نصب یک «برنامه بانکداری تأیید شده جدید» و امکان دسترسی از راه دور به دستگاه‌هایشان هدایت می‌کرد.

شایان ذکر است که بدافزار اغلب قربانیان را فریب می دهد تا از طریق فریب های مختلف به آنها حقوق لازم برای دسترسی به Accessibility API را بدهند و تهدیدی برای کاربران، به ویژه افراد دارای معلولیت باشد.

به کاربران اندروید توصیه می شود که به برنامه هایی که درخواست Accessibility API دارند توجه کنند. کاربران نهایی باید این درخواست‌ها را مشکوک بدانند، به‌ویژه از کیف پول‌های ارزدیجیتال، پی‌دی‌اف‌خوان‌ها و پخش‌کننده‌های ویدیو.