ThreatFabric หน่วยงานด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่ข้อมูลการพบ SpyNote (หรือที่รู้จักกันในชื่อ SpyMax) ซึ่งเป็น Android malware ที่ได้รับการปรับปรุงเอาลักษณะเฉพาะของสปายแวร์ และโทรจันสำหรับขโมยข้อมูลธนาคารรวมเข้าด้วยกัน ซึ่งเริ่มถูกพบครั้งแรกเมื่อเดือนตุลาคม 2022
การโจมตี
โดย SpyNote มีความสามารถมากมาย ได้แก่ การอนุญาตให้ติดตั้งแอปพลิเคชันโดยพลการ, การรวบรวมข้อมูล, ข้อความ SMS, การโทร, วิดีโอ และการบันทึกเสียง, การติดตามตำแหน่ง GPS, การขัดขวางการถอนการติดตั้งแอปพลิเคชัน
นอกจากนี้ SpyNote ยังมีฟังก์ชันการขอสิทธิ์การเข้าถึงบริการ เพื่อให้สามารถเข้าถึงรหัสการรับรองความถูกต้องสองขั้นตอน (2FA) จาก Google Authenticator และบันทึกการกดแป้นพิมพ์เพื่อขโมยข้อมูลที่เกี่ยวข้องกับแอปพลิเคชันของธนาคาร การขโมยรหัสผ่าน Facebook และ Gmail ตลอดจนจับภาพหน้าจอโดยใช้ MediaProjection API ของ Android
ThreatFabric ได้ระบุว่า ขณะนี้ SpyNote (เรียกว่า SpyNote.C) ได้มุ่งเป้าหมายไปยังสถาบันทางการเงิน โดยปลอมแปลงเป็นแอปพลิเคชันของธนาคารต่างๆ เช่น Deutsche Bank, HSBC UK, Kotak Mahindra Bank และ Nubank รวมไปถึงปลอมแปลงเป็นแอปพลิเคชันยอดนิยมเช่น Facebook และ WhatsApp
ตัวอย่างของการปลอมแปลงเป็นแอปพลิเคชันของธนาคาร เพื่อโจมตีแบบ Smishing
- Bank of America Confirmation (yps.eton.application)
- BurlaNubank (com.appser.verapp)
- Conversations_ (com.appser.verapp )
- Current Activity (com.willme.topactivity)
- Deutsche Bank Mobile (com.reporting.efficiency)
- HSBC UK Mobile Banking (com.employ.mb)
- Kotak Bank (splash.app.main)
- Virtual SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)
ThreatFabric พบว่า SpyNote.C ได้ถูกขายให้แก่ Hackers กว่า 87 ราย เพื่อใช้เผยแพร่ซอร์สโค้ดสู่สาธารณะ ตั้งแต่เดือนสิงหาคม - ตุลาคม 2022 หลังจากนั้นจึงได้พบการแพร่กระจายเป็นจำนวนมาก แสดงให้เห็นว่ากลุ่ม Hackers ได้ใช้ SpyNote.C เป็นหนึ่งในเครื่องมือที่ใช้ในการโจมตี
การป้องกัน
- ไม่ดาวน์โหลดแอปจากแหล่งที่ไม่น่าเชื่อถือ
- เปิดสิทธิ์การใช้งานที่เกี่ยวข้องกับวัตถุประสงค์ของแอปพลิเคชันเท่านั้น
- ใช้งาน Google Play Protect เพื่อตรวจสอบแอปพลิเคชันที่อาจเป็นอันตราย บนอุปกรณ์ Android
ที่มา : thehackernews
You must be logged in to post a comment.