SpyNote のオープン化:金融機関を標的とする Android スパイウェアが進化

SpyNote Strikes Again: Android Spyware Targeting Financial Institutions

2023/01/05 TheHackerNews — 2022年10月以降において、SpyNoteと呼ばれる Android マルウェアの新バージョンが、金融機関を標的にしている。ThreatFabric は The Hacker News と共有したレポートの中で、「このスパイウェアが増加した背景には、開発者がソースコードを公開したことにある。つまり、他の脅威アクターによるスパイウェアの開発/ 配布が容易になり、銀行機関をターゲットにするケースが増えている」と述べている。このマルウェアが装う有名な金融機関には、Deutsche Bank/HSBC U.K./Kotak Mahindra Bank/Nubank などがある。


SpyNote (別名 SpyMax) が備える豊富な機能には、任意のアプリのインストール/SMSメッセージ/通話とビデオと音声録音の収集/GPS 位置情報の追跡などに加えて、アプリのアンインストール妨害まである。

また、Google Authenticatorから二要素認証(2FA)コードを抽出し、キーストロークを記録して銀行の認証情報を吸い上げるために、Accessibility サービスへのアクセス許可を要求するなど、他の銀行向けマルウェアの手口も踏襲している。

さらに、SpyNote に搭載されている機能には、Facebook/Gmail のパスワード抜き取りや、Android の MediaProjection API を利用した画面のキャプチャなどもある。

ThreatFabric によると、SpyNote の最新版 (SpyNote.C) は、銀行アプリだけではなく、Facebook/WhatsApp などを攻撃する最初の亜種であるとのことだ。


また、Google Play Store で提供される、オフィシャル・サービス/壁紙/生産性ツール/ゲームといったカテゴリにまたがる、汎用アプリを装うことも知られている。主にスミッシング攻撃で配信される、SpyNote のアーティファクトには、以下のリストも含まれる。

  • Bank of America Confirmation (yps.eton.application)
  • BurlaNubank (com.appser.verapp)
  • Conversations_ (com.appser.verapp )
  • Current Activity (com.willme.topactivity)
  • Deutsche Bank Mobile (com.reporting.efficiency)
  • HSBC UK Mobile Banking (com.employ.mb)
  • Kotak Bank (splash.app.main)
  • Virtual SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)

SpyNote.C は、その開発者が CypherRat という名前で、Telegram チャネルを通じて宣伝した後の、2021年8月〜2022年10月に 87人の顧客たちが購入したと推定される。

しかし、2022年10月に CypherRat がオープンソースで公開されたことで、野放し状態の攻撃で用いられるサンプル数が劇的に増加し、複数の犯罪グループが自身のキャンペーンで、このマルウェアを共用していることが示唆されている。

さらに ThreatFabric は、その後に原作者が、コードネーム CraxsRat と呼ばれる新しいスパイウェア・プロジェクトに着手し、同様の機能を持つ有料アプリケーションとして提供するだろうと指摘している。

同社は、「この開発は、Android スパイウェアのエコシステムの中では、それほど一般的ではないが、非常に危険である。Accessibility サービスの悪用が犯罪者に与えるパワーにより、スパイウェアとバンキング・マルウェアの区別が徐々に消えていくという、新しいトレンドの始まりを示している」と述べている。

2023年が明けてからですが、Twitter の2億人分のメール・アドレスが $2 で販売され、また、GitHub の 2万アカウントが不正に作成されるという、サイバー犯罪におけるコスト的あるいは量的な基準が、ものすごいスピードで動き出している感じがします。そして、この SpyNote はマルウェアのソースをオープン化することで、金融機関を標的とするファミリーを作ろうとしているのかもしれません。従来からのスパイウェアを共有化し、進化した次世代バージョンでビジネスを展開するという、シナリオでも用意しているのでしょうか。2023年は、サイバー犯罪の分業化がさらに進み、強固なエコシステムが確立される年になるかもしれませんね。

%d bloggers like this: