最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

源代码泄露后SpyNote Android恶意软件感染激增

网络安全 快米云 来源:28U.CC 26浏览

安卓

被追踪为 SpyNote(或 SpyMax)的 Android 恶意软件系列在 2022 年最后一个季度的检测数量突然增加,这归因于其最新版本之一“CypherRat”的源代码泄漏。

“CypherRat”结合了 SpyNote 的间谍功能,例如提供远程访问、GPS 跟踪以及设备状态和活动更新,以及冒充银行机构窃取帐户凭据的银行木马功能。

从 2021 年 8 月到 2022 年 10 月,CypherRat 通过私人 Telegram 渠道出售,当时其作者决定在 GitHub 上发布其源代码,此前黑客论坛上发生了一系列冒充该项目的诈骗事件。

威胁行为者迅速获取了恶意软件的源代码并发起了他们自己的活动。几乎立即,针对汇丰银行和德意志银行等知名银行的自定义变体出现了。

SpyNote 针对的一些银行
 SpyNote (ThreatFabric)针对的一些银行

与此同时,其他攻击者选择将他们的 CypherRat 版本伪装成 Google Play、WhatsApp 和 Facebook,以瞄准更广泛的受众。

模拟应用程序
模拟应用程序 (ThreatFabric)

ThreatFabric 分析师观察到了这一活动 ,他们警告说 CypherRat 可能成为更广泛的威胁。

SpyNote 恶意软件功能

流通中的所有 SpyNote 变体都依赖于请求访问 Android 的辅助功能服务,以允许安装新应用程序、拦截 SMS 消息(用于绕过 2FA)、窥探电话以及在设备上录制视频和音频。

请求访问辅助功能服务的恶意应用程序
请求访问辅助功能服务 (ThreatFabric)的恶意应用程序

ThreatFabric 将以下内容列为“突出”功能:

  • 使用 Camera API 录制视频并将其从设备发送到 C2 服务器
  • GPS 和网络位置跟踪信息
  • 窃取 Facebook 和 Google 帐户凭据。
  • 使用辅助功能 (A11y) 从 Google 身份验证器中提取代码。
  • 使用由辅助功能服务提供支持的键盘记录来窃取银行凭证。

为了隐藏其恶意代码不受审查,最新版本的 SpyNote 使用字符串混淆并使用商业打包程序来包装 APK。

此外,从 SpyNote 泄露到其 C2 服务器的所有信息都使用 base64 进行混淆以隐藏主机。

威胁行为者目前将 CypherRat 用作银行木马,但该恶意软件也可用作小批量目标间谍活动中的间谍软件。

ThreatFabric 认为,SpyNote 将继续对 Android 用户构成风险,并估计随着 2023 年的深入,该恶意软件的各种分支将会出现。

虽然 ThreatFabric 没有透露这些恶意应用程序是如何传播的,但它们很可能通过钓鱼网站、第三方 Android 应用程序网站和社交媒体传播。

因此,建议用户在安装新应用时要非常谨慎,尤其是来自 Google Play 以外的应用时,并拒绝授予访问无障碍服务权限的请求。

不幸的是,尽管谷歌 不断努力 阻止 Android 恶意软件滥用辅助功能服务 API,但仍然有 办法绕过 强加的限制。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 源代码泄露后SpyNote Android恶意软件感染激增