SpyNote Android 间谍软件冒充合法加密钱包，窃取资金

臭名昭著的 SpyNote Android 间谍软件卷土重来，利用可访问性 API 针对加密钱包和毫无戒心的用户，最终窃取他们的加密货币。

FortiGuard Labs 的最新研究报告显示，Android 间谍软件 SpyNote 开发人员现在正在考虑加密货币，而不仅仅是凭证间谍来启动加密货币转账。

研究人员指出，臭名昭著的远程访问木马 （RAT） Spynote 现在通过滥用可访问性 API 来瞄准“著名的加密钱包”。API 的工作是自动执行 UI 操作，例如录制设备解锁手势，主要对残障人士有帮助。

恶意代码滥用辅助功能 API 自动填写表单并将加密货币转移给网络犯罪分子。它读取并记住目标钱包地址和金额，并将其替换为攻击者的加密钱包地址。

该信息将发送到恶意软件已与该远程服务器建立连接以完成操作。值得注意的是，整个行为是自动完成的，不会提醒用户。

根据 Fortinet 的博客文章，2 月 1 日，发现了一个恶意样本，该样本冒充合法的加密钱包，其中包含 SpyNote RAT 和反分析功能。他们还观察到，在这种出于经济动机的中等严重程度的黑客传奇中，威胁行为者主要针对拥有移动加密钱包或银行应用程序的用户。

研究人员展示了屏幕截图，其中可以看到 SpyNote 恶意软件请求辅助功能服务，以及使用 Android 操作系统授予访问权限的用户显示其他警告。很明显，单击“允许”会向恶意软件发出信号以执行其恶意操作，而单击“拒绝”会阻止其访问。

自 2016 年帕洛阿尔托的 Unit 42 在暗网论坛上发现这个 RAT 以来，Hackread 一直在关注 SpyNote 的发展，该论坛主要针对安装 APK 应用程序的用户。研究人员指出，SpyNote 帮助攻击者获得对受感染设备的远程控制，并在 Android 设备上启用侧载。

2017 年，Zscaler IT 安全研究人员发现了感染了 SpyNote RAT 的虚假应用程序，使攻击者能够在 Android 设备上获得远程管理控制权。研究人员发现了各种应用程序，包括假冒的 Netflix、WhatsApp、YouTube、Facebook、Photoshop、SkyTV、Hotstar、Trump Dash PokemonGo 等，感染了 SpyNote RAT 的新变种。

FortiGuard 研究人员指出，多年来，SpyNote 已成为 Android 恶意软件的常见家族，拥有超过 10,000 个样本和多种变体。

去年，恶意软件作者将重点转移到银行欺诈上，因为 Cleafy 威胁情报团队报告说，SpyNote 以社会工程策略和滥用辅助功能服务为目标，针对欧洲金融机构。这次攻击始于欺骗性的短信钓鱼活动，引导受害者安装“新的认证银行应用程序”并授予对其设备的远程访问权。

值得注意的是，恶意软件经常通过不同的诱饵引诱受害者授予他们访问辅助功能 API 的必要权限，从而对用户（尤其是残障人士）构成威胁。

建议 Android 用户注意请求 Accessibility API 的应用程序。最终用户应将这些请求视为可疑请求，尤其是来自所谓的加密钱包、PDF 阅读器和视频播放器的请求。

原文始发于微信公众号（HackSee）：SpyNote Android 间谍软件冒充合法加密钱包，窃取资金