تستخدم SpyNote برامج التجسس على الأندرويد لاستهداف المؤسسات المالية

منذ أكتوبر 2022، تعرضت المؤسسات المالية لهجمات من نسخة جديدة من برامج الأندرويد الخبيثة المعروفة باسم SpyNote (أو SpyMax).

قالت “ThreatFabric“: “أصبح المطور الذي كان يبيع SpyNote في السابق للأفراد عبر قناته على تيليجرام، قد جعل الرمز المصدري عامًا على GitHub. وقد ساعد هذا القراصنة على تطوير وتوزيع البرامج الخبيثة بشكل أكبر، مستهدفين في كثير من الأحيان المؤسسات المصرفية”.

SpyNote هو تطبيق غني بالميزات يمكنه تثبيت التطبيقات التعسفية، وجمع الرسائل القصيرة، والمكالمات، والفيديوهات، والتسجيلات الصوتية، وتتبع مواقع GPS، وحتى منع محاولات إزالة التطبيق.

وفقًا لـThreatFabric، “إحدى الاختلافات الرئيسية بين الإصدارات الأولى، SpyNote.A وSpyNote.B، والأخيرة، SpyNote.C، هو الهدف من الحملة. كان SpyNote.C هو الإصدار الأول الذي يستهدف بشكل علني تطبيقات البنوك، حيث يتظاهر بأنه عدد كبير من المؤسسات المالية الرائدة مثل HSBC، و Deutsche Bank، و Kotak Bank، و BurlaNubank، بالإضافة إلى تطبيقات أخرى معروفة مثل WhatsApp، وFacebook، وGoogle Play.”

بمثلية مع برامج الفدية البنكية الأخرى، يطلب SpyNote الوصول إلى خدمات الوصول لاستخراج رموز التوثيق الثنائي (2FA) من Google Authenticator وتسجيل الضربات على المفاتيح لخداع بيانات الاعتماد المصرفية.

يستخدم SpyNote واجهة برمجة تطبيقات MediaProjection لنظام Android لالتقاط محتوى الشاشة وسرقة كلمات المرور لـ Facebook و Gmail. وهو أيضًا قادر على التظاهر بأنه خدمة متجر Google Play الرسمية والتطبيقات العامة الأخرى في فئات الإنتاجية والألعاب والخلفيات.

وفقًا لـ ThreatFabric، هذه بعض الأدلة من SpyNote التي تتم بشكل أساسي عبر هجمات الـ smishing:

• تأكيد بنك أمريكا (اسم الحزمة – yps.eton.application)
• بنك كوتاك (اسم الحزمة – splash.app.main)
• الخدمات المصرفية المتنقلة لـ HSBC UK (اسم الحزمة – com.employ.mb)
• بورلا نوبانك (اسم الحزمة – com.appser.verapp)
• الخدمات المصرفية المتنقلة لـ Deutsche Bank (اسم الحزمة – com.reporting.efficiency)
• النشاط الحالي (اسم الحزمة – com.willme.topactivity)
• محادثات_ (اسم الحزمة – com.appser.verapp)
• بطاقة سيم افتراضية (اسم الحزمة – cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)

قدرت شركة الأمن الهولندية أن 87 عميلًا مختلفًا اشتروا SpyNote.C بين أغسطس 2021 وأكتوبر 2022 بعد أن عرض المطور البرنامج على تيليجرام تحت اسم CypherRat. ومع ذلك، يبدو أن العديد من الجماعات الإجرامية تستخدم CypherRat في حملاتها منذ أصبح SpyNote مصدرًا مفتوحًا في أكتوبر 2022.

“ستواصل SpyNote استخدام خدمة الوصول لجمع البيانات الأساسية من أجهزة المستخدمين وسيكون بإمكانها التطور نحو التوزيع الناجح. نحن نعتقد أيضًا أن الاتجاه سيستمر في اعتماد تدابير الأمان الأفضل مثل التعتيم والحزم للمساعدة في حماية البرنامج نفسه. من المرجح أن تستمر الإصدارات المختلفة من SpyNote في الظهور، بعد إصدار الشركة لكود المصدر”، كما توقعت الشركة.