גרסה חדשה של הרוגלה SpyNote שמה על הכוונת שלה אפליקציות בנקאות, ומשתמשת ביכולות מתקדמות כמו העתקת קודים ורישום הקלדות (Keylogging) כדי לגנוב שמות משתמש וסיסמאות לחשבונות בנק, מדיה חברתית ועוד. על פי חוקרי אבטחה בחברת ThreatFabric, תוכנת הריגול החדשה היא כאמור חלק ממשפחת הרוגלות SpyNote, שהן סוס טרויאני בעל יכולות מתקדמות כמו יכולת להפעיל את המצלמה במכשיר כדי לצלם תמונות וסרטונים, גניבת פרטים כמו מיקום דרך רכיב ה-GPS ומעקב אחרי רשתות, גניבת פרטי משתמש של רשתות חברתיות כמו פייסבוק, גניבת שם משתמש וסיסמא לאפליקציות ואתרי בנקאות על ידי מעקב הקלדה, ואפילו יכולת לגנוב קודים חד-פעמיים של אימות דו-שלבי מאפליקציית Google Authenticator.
הגירסה החדשה, בשם CypherRat, פעילה מאז שנת 2021, והקוד שלה זלג לרשת באוקטובר האחרון, ומאז חוקרים מזהים עליה משמעותית במתקפות המבוססות עליה. החלק המתוחכם ברוגלה החדשה הוא שהיא מתחזה לאפליקציות של בנקים מוכרים כמו דויטשה בנק או HSBC (האחרון פעיל גם בישראל) וגרוע מכך - לאפליקציות מוכרות כמו וואטסאפ, פייסבוק או אפילו האפליקציה של חנות האפליקציות של גוגל, Google Play. יצויין, שהיא מסוגלת להתחזות לכל אפליקציה לגיטימית שהיא.
הגירסאות המזויפות של האפליקציות המוכרות מופצות באמצעות אתרים ועמודי נחיתה מצד שלישי, בצורה מתוחכמת למדי, ובאמצעות פתיונות דיוג, המוליכים את הקורבנות להורדה והתקנה ישירה של האפליקציות מאתרים שנראים לכאורה לגיטימיים - ורבים נופלים בפח הזדוני ומתקינים את האפליקציה שנראית תמימה, אך המכילה את תוכנת הריגול בתוכה.
"ה-SpyNote הוא כלי מאוד מוכר בשנים האחרונות לעולמות האנדרואיד והרבה תוקפים משתמשים בו על מנת "להזריק" קוד זדוני לאפליקציה לגיטימית ובכך ליצור אפליקציה חדשה אשר מאפשרת גישה מלאה למכשיר", מסביר בשיחה עם "וואלה! טכנולוגיה" סהר אביטן, המנכ"ל והבעלים של חברת קייראן.
"רוב האנטי-וירוסים האיכותיים היום בשוק יוכלו לזהות את החתימות ש-SpyNote משאיר אחריו ולהגן על המכשיר מפניו", מרגיע אביטן. עוד הוא ממליץ תמיד לבדוק את המקור שממנו אתם עומדים להוריד את האפליקציה, ולוודא שאכן אתם רוצים להוריד משם תוכן. אם אתם לא בטוחים, סהר ממליץ לחפש את האפליקציה שאתם רוצים ב-Play Store הרשמית של גוגל בלבד (זו שהגיעה כבר מותקנת עם הסמארטפון שלכם), ולהוריד רק משם.
בהקשר הזה, אומר לנו חוקר מודיעין הסייבר תום מלכה, כי חשוב לשים לב שהאפליקציה לא מבקשת מאיתנו לשנות הגדרות בטלפון לצורך התקנתה, ובמיוחד לא לאשר את האפשרות של התקנה ממקורות חיצוניים, מה שיאפשר לרוגלה המסוכנת לחדור לכם לטלפון.
עוד מציין מלכה את התחכום של מפעילי גל המתקפות הנוכחי המבוסס על SpyNote, שעשו שימוש אפילו בקמפיין פרסומי של מודעות גוגל כדי לקדם את אתרי המלכודות שלהם. המזל הוא כאמור, ש-SpyNote משאירה אחריה עקבות שתוכנות אנטי וירוס מסוגלות לגלות, ומלכה ממליץ להתקין תוכנות אנטי וירוס (בהן MalwareBytes, נורטון או קספרסקי) על הסמארטפון ולבצע סריקה תקופתית, לוודא שלא נדבקנו.
נריה באשה, SecOps Leader בחברת ELPC Networks LTD, מוסיף כי חשוב לבדוק "מה מקור האפליקציה? האם האפליקציה נמצאת בחנות האפליקציות הרשמית וניתנת להורדה על ידי המפתח הרשמי? בדרך כלל נסיונות הונאה ופישינג ינסו ל"הלחיץ" את המשתמשים ויגרמו להם להוריד אפליקציות בטענה שהחשבון נפרץ, לכן יש להיות זהירים ולבחון את ההודעה שהתקבלה".