По Информация Эксперты Threatfactory, хакеры все чаще используют новое вредоносное ПО SpyNote (также известное как SpyMax) для тайного наблюдения за пользователями и управления зараженными Android-смартфонами. Исследователи связывают рост популярности вредоносного ПО с утечкой его исходного кода, которая произошла еще в октябре прошлого года.

В отчете компании говорится, что в последнее время на зараженных устройствах чаще всего встречается версия Spinote, получившая название CypherRat. Вредонос объединил все возможности Spinote Spino, включая удаленный доступ, GPS-отслеживание, статус устройства и обновления активности, с функциональностью банковских троянцев.

Эксперты говорят, что за последние несколько лет CypherRat продавался в Telegram, а с августа 2021 года по октябрь 2022 года малварь успели купить не менее 80 человек. Однако в октябре 2022 года код вредоносного ПО появился в открытом доступе (на GitHub). Произошло это после утечки источника, которой предшествовало несколько случаев мошенничества с хакерскими группами: мошенники выдавали себя за настоящих разработчиков CypherRat, чтобы украсть деньги у других преступников.

После утечки количество атак с использованием Spinote резко возросло, особенно это касается атак на приложения онлайн-банкинга. Например, были обнаружены пользовательские версии вредоносного ПО, нацеленные на крупные банки, включая HSBC и Deutsche Bank.

Параллельно некоторые хакеры начали маскировать собственные версии CypherRat под Google Play, WhatsApp и так далее, видимо, ориентируясь на более широкую аудиторию.

Тем временем настоящие разработчики вредоносного ПО обращают внимание на новый проект — шпионское ПО CraxsRat, обладающее схожими с CypherRat возможностями.

Эксперты говорят, что все активные в настоящее время варианты Spinote стремятся получить доступ к службе специальных возможностей, чтобы позволить себе устанавливать новые приложения, перехватывать SMS-сообщения (для обхода 2FA), прослушивать звонки и записывать видео и аудио на устройстве. Среди наиболее интересных особенностей зловреда ThreatFabric выделяет следующие:

• Используйте Camera API для записи и отправки видео с устройства на сервер управления;
• сбор данных о местоположении GPS и сети;
• Кража учетных данных Facebook* и Google;
• Используйте службу специальных возможностей (A11y) для получения кодов из Google Authenticator;
• Используйте кейлоггер, основанный на службе специальных возможностей, для кражи банковских учетных данных.

Также отмечается, что для сокрытия вредоносного кода от проверок последние версии SpyNote используют обфускацию и платные упаковщики для APK. Кроме того, вся информация, передаваемая из SpyNote на C&C-сервер, запутывается с помощью base64, чтобы скрыть хост.

Хотя CypherRat в настоящее время в основном используется хакерами в качестве банковского троянца, исследователи полагают, что это вредоносное ПО также может использоваться в качестве шпионского ПО в рамках целевых шпионских кампаний. ThreatFabric считает, что SpyNote продолжит представлять угрозу для пользователей Android, и в 2023 году стоит ожидать появления новых «форков» вредоносных программ.

* Запрещен в России. Принадлежит Meta Platforms, которая признана экстремистской организацией и ее деятельность запрещена в России