Uma família de malware para Android, SpyNote (também conhecida como SpyMax), foi muito usada em ataques no quarto trimestre de 2022, revelaram pesquisadores. Esse aumento acentuado foi associado a um vazamento recente do código-fonte da variante mais recente do malware, conhecida como CypherRat ou SpyNote.C.
Variantes do SpyNote
Os pesquisadores do ThreatFabric identificaram várias variantes do SpyNote: SpyNote.A, SpyNote.B e SpyNote.C.
- Os invasores espalham esses malwares disfarçados de aplicativos genéricos, como jogos, aplicativos de produtividade e aplicativos de papel de parede para promover o malware.
- Os malwares dessa família são projetados para rastrear e rastrear as atividades do usuário em dispositivos Android, além de conceder recursos de acesso remoto ao invasor.
- Além disso, o SpyNote.C é a primeira variante que também visa abertamente os aplicativos bancários.
Ele se faz passar por um grande número de empresas financeiras, incluindo Deutsche Bank e HSBC, e aplicativos conhecidos como Facebook, Google Play e WhatsApp.
Incidente de vazamento de código-fonte
Entre agosto de 2021 e outubro de 2022, o malware SpyNote.C foi desenvolvido por seu desenvolvedor e estava sendo vendido para invasores individuais em canais privados do Telegram, sob a marca CypherRat.
- Em outubro de 2022, o código-fonte do CypherRat vazou no GitHub. Logo depois, muitos incidentes de fraude foram observados em fóruns de hackers representando o projeto.
- Após o vazamento, vários invasores aproveitaram o código-fonte do malware e lançaram suas próprias campanhas, resultando em um aumento significativo na contagem de amostras observadas na natureza.
Recursos de malware
Todas as variantes do SpyNote dependem da solicitação de acesso ao Serviço de Acessibilidade do Android para poder instalar novos aplicativos, bisbilhotar chamadas, interceptar mensagens SMS (2FA bypass) e gravar áudio e vídeo.
- Alguns dos recursos incluem o uso da API da câmera para gravar e enviar vídeos para o servidor C2, rastrear a localização da rede GPS e roubar credenciais da conta do Facebook/Google.
- Para ocultar o código malicioso, as versões mais recentes usam ofuscação de string e empacotadores comerciais para agrupar APKs.
- Além disso, todas as informações são enviadas para o servidor C2, que é ofuscado com base64.
Conclusão
Os especialistas estimam que várias variantes adicionais dessa ameaça podem aparecer com mais recursos nos próximos meses. Portanto, sugere-se que os usuários do Android fiquem muito atentos durante a instalação de novos aplicativos.
3 thoughts on “Infecções do SpyNote aumentam após vazamento do código-fonte”
Comments are closed.