نرم افزار جاسوسی اندروید SpyNote به عنوان کیف پول های کریپتو قانونی ظاهر می شود، وجوه را سرقت می کند.
در روزهای اخیر با بازگشت جاسوسافزار اندروید SpyNote مواجه شدیم. این جاسوس افزار از اکسپلویت APIهای دسترسی پذیری برای هدف قرار دادن کیف پولهای کریپتو و کاربران ناآگاه استفاده میکند و در نهایت ارز دیجیتال آنها را میدزدد.
جدیدترین گزارش تحقیقاتی آزمایشگاه FortiGuard نشان میدهد که توسعهدهندگان نرمافزار جاسوسی اندروید SpyNote ، درحال حاضر دیگر از جاسوسی اعتبار گذشته و شروع به انتقال ارزهای دیجیتال کرده اند.
محققان خاطرنشان کردند که Spynote، یک تروجان دسترسی از راه دور یا همان RAT می باشد. Spynote اکنون با سوء استفاده از Accessibility API، «کیف پولهای معروف کریپتو» را هدف قرار داده است. وظیفه API این است که به طور خودکار اقدامات UI را انجام دهد، مانند ضبط حرکات باز کردن قفل دستگاه و عمدتاً برای افراد دارای معلولیت مفید است.
هدف اصلی نرمافزار مخرب SpyNote دزدیدن اطلاعات موجود در موبایل و ارسال آن به لپ تاپ مهاجم است. اسپای نوت نرم افزاری جاسوسی است که از راه پیامک منتشر می شود و قربانیان را به دانلود این برنامه ترغیب می کند.
این کد مخرب از API دسترسی پذیری برای پر کردن خودکار فرم و انتقال ارز دیجیتال به مجرمان سایبری سوء استفاده می کند. آدرس و مقدار کیف پول مقصد را می خواند و به خاطر می سپارد و آدرس کیف پول کریپتو مهاجم را جایگزین آن می کند.
اندروید برای مدت زیادی همیشه با مشکل بدافزارها مواجه بوده است و یکی از روشهای مهم هکرها، حمله ازطریق سرویسهای دسترسیپذیری گوشیهای هوشمند است. APIهای دسترسیپذیری ابزارهای قدرتمندی هستند که برای توسعهدهندگان در نظر گرفته شدهاند تا با استفاده از آنها به کاربران معلول کمک کنند. این ابزارها امکاناتی مثل خواندن محتوای روی صفحه و واردکردن ورودیها را دردسترس این دسته از کاربران قرار میدهد.
اطلاعات به یک سرور ریموت فرستاده میشود که بدافزار قبلاً برای تکمیل عملیات با آن ارتباط برقرار کرده است.
شایان ذکر است که کل عمل به صورت خودکار و بدون هشدار به کاربر انجام می شود.
طبق پست وبلاگ فورتی نت، در اول فوریه 2024 ، یک نمونه مخرب به عنوان یک والت کریپتو قانونی ظاهر می شد و دارای SpyNote RAT و ویژگی های ضد تجزیه و تحلیل بود. آنها همچنین مشاهده کردند که بازیگران تهدید عمدتاً کاربران را با والت های کریپتو موبایل یا برنامه های بانکی هدف قرار می دهند.
محققان اسکرینشاتهایی را نشان دادند که در آن بدافزار SpyNote در حال درخواست سرویس دسترسی و کاربر با سیستمعامل اندروید اجازه دسترسی را مشاهده کرد. بدیهی است که کلیک کردن بر روی “Allow” به بدافزار سیگنال میدهد تا عمل پلید خود را انجام دهد در حالی که کلیک کردن روی “رد کردن” مانع از دسترسی آن میشود.
بدافزار SpyNote اولین بار در سال 2016 ظاهر شد.
زمانی که Palo Alto’s Unit 42 این RAT را در تالار گفتگوی دارکنت کشف کرد که عمدتاً کاربرانی را که برنامه های APK را نصب می کنند، هدف قرار می دهد. محققان خاطرنشان کردند که SpyNote به مهاجمان کمک کرد تا دستگاههای آلوده را از راه دور کنترل کنند و بارگذاری جانبی را در دستگاههای اندرویدی فعال کرد.
خانواده بدافزاری Spynote چیست؟
یک تروجان دسترسی از راه دور اندرویدی (RAT) است. به این معنا که میتوان از راه دور و از طریق سرور بدافزار، به هر دستگاه اندرویدی که بدافزار بر روی آن نصب است، دسترسی پیدا کرد. کارهای مخربی که در گوشی کاربر انجام میشوند شامل مواردی مانند دزدیدن اطلاعات کاربران از جمله پیامها و لیست مخاطبان، گوش دادن به مکالمات قربانی، ضبط صدا، کنترل دوربین، دریافت دسترسی ادمین (Admin) و امکان برقراری تماس در گوشی کاربر هستند.
در سال 2017، محققان امنیتی Zscaler IT برنامههای جعلی آلوده به SpyNote RAT را کشف کردند که به مهاجمان اجازه میداد کنترل ریموت ادمین بر روی دستگاههای اندرویدی به دست آورند. محققان اپلیکیشن های مختلفی از جمله نتفلیکس جعلی، واتس اپ، یوتیوب، فیس بوک، فتوشاپ، اسکای تی وی، هات استار، Trump Dash PokemonGo و غیره را شناسایی کردند که به نوع جدیدی از SpyNote RAT آلوده شده اند.
محققان FortiGuard خاطرنشان کردند که در طول سالها، SpyNote با بیش از 10000 نمونه و انواع مختلف به خانواده رایج بدافزارهای اندروید تبدیل شده است.
سال گذشته، نویسندگان بدافزار تمرکز خود را به کلاهبرداری بانکی معطوف کردند، زیرا تیم اطلاعاتی Cleafy Threat گزارش داد که SpyNote موسسات مالی اروپایی را با تاکتیکهای مهندسی اجتماعی و سوء استفاده از خدمات دسترسی مورد هدف قرار داده است. این حمله با کمپینهای فریبندهای آغاز شد که قربانیان را به نصب یک «برنامه بانکداری تأیید شده جدید» و امکان دسترسی از راه دور به دستگاههایشان هدایت میکرد.
شایان ذکر است که بدافزار اغلب قربانیان را فریب می دهد تا از طریق فریب های مختلف به آنها حقوق لازم برای دسترسی به Accessibility API را بدهند و تهدیدی برای کاربران، به ویژه افراد دارای معلولیت باشد.
به کاربران اندروید توصیه می شود که به برنامه هایی که درخواست Accessibility API دارند توجه کنند. کاربران نهایی باید این درخواستها را مشکوک بدانند، بهویژه از کیف پولهای ارزدیجیتال، پیدیافخوانها و پخشکنندههای ویدیو.