SpyNote
#マルウェア
分類・用途
Android向けのRemote Access Trojan(RAT)/スパイウェア。MITRE ATT&CKはSpyNote RATをAndroid上の悪性アプリファミリとして分類している。
https://attack.mitre.org/software/S0305/
金融詐欺にも利用されており、Cleafyは2022年末以降に銀行詐欺目的のSpyNote感染を観測している。
https://www.cleafy.com/cleafy-labs/spynote-continues-to-attack-financial-institutions
別名
CypherRat
(Malpedia掲載の別名)
利用する攻撃グループ
OilRig
(MalpediaがActor(s)として掲載)
https://malpedia.caad.fkie.fraunhofer.de/details/apk.spynote
発見時期
Zscalerは2017年1月、Netflixを装うSpyNote RAT亜種を報告している。
https://www.zscaler.com/blogs/security-research/spynote-rat-posing-netflix-app
FortinetはSpyNoteが2020年に初めて表面化したと説明している。
https://www.fortinet.com/blog/threat-research/android-spynote-moves-to-crypto-currencies
プログラム言語
不明
機能・特徴
AndroidのAccessibility Serviceや各種権限を悪用し、SMSと連絡先の収集、音声と画面の記録、キーロギング、2FA回避、GPS位置情報追跡を行う。Cleafy:
https://www.cleafy.com/cleafy-labs/spynote-continues-to-attack-financial-institutions
C2通信では、ハードコードされたIPアドレスとポートをBase64で保持し、ソケット通信を行う例が確認されている。Cleafy:
https://www.cleafy.com/cleafy-labs/spynote-continues-to-attack-financial-institutions
Zscalerは、マイク有効化、コマンド実行、ファイル窃取、スクリーンキャプチャ、連絡先閲覧、SMS読み取りなどの機能を報告している。
https://www.zscaler.com/blogs/security-research/spynote-rat-posing-netflix-app
Fortinetは、暗号資産ウォレットを装う検体でAccessibility APIを使ったオーバーレイ表示、自動フォーム操作、暗号資産送金処理の改変を報告している。
https://www.fortinet.com/blog/threat-research/android-spynote-moves-to-crypto-currencies
CypherRat
はSpyNoteのスパイ機能に銀行トロイの木馬機能を組み合わせた亜種として報告されている。BleepingComputer:
https://www.bleepingcomputer.com/news/security/spynote-android-malware-infections-surge-after-source-code-leak/
オープンソース情報
CypherRat
のソースコードは2022年10月にGitHubで公開され、その後SpyNote系検体の検出増加につながったと報告されている。BleepingComputer:
https://www.bleepingcomputer.com/news/security/spynote-android-malware-infections-surge-after-source-code-leak/