Forscher haben behauptet, dass eine aktualisierte Version der Android-Malware SpyNote mit hoher Geschwindigkeit bereitgestellt wird.
SpyNote (auch bekannt als SpyMax) war eine Android-Malware, deren neueste Version namens CypherRat gegen einen Preis ausschließlich über private Telegram-Kanäle verbreitet wurde. Das Tool bot eine Vielzahl von Funktionen, darunter Fernzugriff, GPS-Tracking und Gerätestatus- und Aktivitätsupdates, aber auch Kontodiebstahl für Banking-Apps.
Experten haben den plötzlichen Anstieg darauf zurückgeführt, dass die Malware kostenlos auf GitHub veröffentlicht und von unzähligen Bedrohungsakteuren aufgegriffen wurde, die es jetzt auf Banken wie HSBC und die Deutsche Bank abgesehen haben, sowie auf die Veröffentlichung gefälschter WhatsApp-, Facebook- und anderer Apps den Google-Play-Store.
Steigende Bedrohung
Es wurde angenommen, dass die ursprünglichen Autoren die Malware von August 2021 bis Oktober 2022 verkauften, aber nach einer Reihe von Betrugsvorfällen, bei denen Betrüger sich als das Projekt ausgaben und gefälschte Programme verkauften, veröffentlichten die Autoren den Quellcode auf GitHub.
Anschließend wurde der Quellcode wohl von unzähligen Bedrohungsakteuren abgegriffen, was zu einem Anstieg der Infektionen führte. Analysten von ThreatFabric, die CypherRat im Auge behalten, glauben, dass die Infektionen in den kommenden Wochen und Monaten noch größer werden könnten.
Neben den oben genannten Funktionen hat ThreatFabric festgestellt, dass CypherRat in der Lage ist, die Kamera-API zu verwenden, um Videos von den kompromittierten Endpunkten aufzuzeichnen und zu senden, GPS- und Netzwerk-Standortverfolgungsdaten zu teilen, Anmeldeinformationen für Facebook- und Google-Konten zu stehlen, Google Authenticator-Codes zu extrahieren und Keylogging durchzuführen.
Um einsatzbereit zu sein, muss SpyNote Zugriff auf den Android Accessibility Service erhalten, der immer noch der beste Weg ist, um festzustellen, ob eine App bösartig ist oder nicht.
Die genauen Verbreitungskanäle müssen die Forscher noch bestimmen, aber es ist sehr wahrscheinlich, dass CypherRat über Phishing-Sites und Android-App-Repositories von Drittanbietern verbreitet wird.
Über: Piepender Computer (öffnet in neuem Tab)