در روزهای اخیر با بازگشت جاسوسافزار اندروید SpyNote مواجه شدیم. این جاسوس افزار از اکسپلویت APIهای دسترسی پذیری برای هدف قرار دادن کیف پولهای کریپتو و کاربران ناآگاه استفاده میکند و در نهایت ارز دیجیتال آنها را میدزدد.
جدیدترین گزارش تحقیقاتی آزمایشگاه FortiGuard نشان میدهد که توسعهدهندگان نرمافزار جاسوسی اندروید SpyNote ، درحال حاضر دیگر از جاسوسی اعتبار گذشته و شروع به انتقال ارزهای دیجیتال کرده اند.
محققان خاطرنشان کردند که Spynote، یک تروجان دسترسی از راه دور یا همان RAT می باشد. Spynote اکنون با سوء استفاده از Accessibility API، «کیف پولهای معروف کریپتو» را هدف قرار داده است. وظیفه API این است که به طور خودکار اقدامات UI را انجام دهد، مانند ضبط حرکات باز کردن قفل دستگاه و عمدتاً برای افراد دارای معلولیت مفید است.
هدف اصلی نرمافزار مخرب SpyNote دزدیدن اطلاعات موجود در موبایل و ارسال آن به لپ تاپ مهاجم است. اسپای نوت نرم افزاری جاسوسی است که از راه پیامک منتشر می شود و قربانیان را به دانلود این برنامه ترغیب می کند.
این کد مخرب از API دسترسی پذیری برای پر کردن خودکار فرم و انتقال ارز دیجیتال به مجرمان سایبری سوء استفاده می کند. آدرس و مقدار کیف پول مقصد را می خواند و به خاطر می سپارد و آدرس کیف پول کریپتو مهاجم را جایگزین آن می کند.
اندروید برای مدت زیادی همیشه با مشکل بدافزارها مواجه بوده است و یکی از روشهای مهم هکرها، حمله ازطریق سرویسهای دسترسیپذیری گوشیهای هوشمند است. APIهای دسترسیپذیری ابزارهای قدرتمندی هستند که برای توسعهدهندگان در نظر گرفته شدهاند تا با استفاده از آنها به کاربران معلول کمک کنند. این ابزارها امکاناتی مثل خواندن محتوای روی صفحه و واردکردن ورودیها را دردسترس این دسته از کاربران قرار میدهد.
زمانی که Palo Alto’s Unit 42 این RAT را در تالار گفتگوی دارکنت کشف کرد که عمدتاً کاربرانی را که برنامه های APK را نصب می کنند، هدف قرار می دهد. محققان خاطرنشان کردند که SpyNote به مهاجمان کمک کرد تا دستگاههای آلوده را از راه دور کنترل کنند و بارگذاری جانبی را در دستگاههای اندرویدی فعال کرد.
خانواده بدافزاری Spynote چیست؟
یک تروجان دسترسی از راه دور اندرویدی (RAT) است. به این معنا که میتوان از راه دور و از طریق سرور بدافزار، به هر دستگاه اندرویدی که بدافزار بر روی آن نصب است، دسترسی پیدا کرد. کارهای مخربی که در گوشی کاربر انجام میشوند شامل مواردی مانند دزدیدن اطلاعات کاربران از جمله پیامها و لیست مخاطبان، گوش دادن به مکالمات قربانی، ضبط صدا، کنترل دوربین، دریافت دسترسی ادمین (Admin) و امکان برقراری تماس در گوشی کاربر هستند.
در سال 2017، محققان امنیتی Zscaler IT برنامههای جعلی آلوده به SpyNote RAT را کشف کردند که به مهاجمان اجازه میداد کنترل ریموت ادمین بر روی دستگاههای اندرویدی به دست آورند. محققان اپلیکیشن های مختلفی از جمله نتفلیکس جعلی، واتس اپ، یوتیوب، فیس بوک، فتوشاپ، اسکای تی وی، هات استار، Trump Dash PokemonGo و غیره را شناسایی کردند که به نوع جدیدی از SpyNote RAT آلوده شده اند.
به کاربران اندروید توصیه می شود که به برنامه هایی که درخواست Accessibility API دارند توجه کنند. کاربران نهایی باید این درخواستها را مشکوک بدانند، بهویژه از کیف پولهای ارزدیجیتال، پیدیافخوانها و پخشکنندههای ویدیو.
