SpyNote, un spyware Android care vizează instituțiile financiare încă de la sfârșitul anului 2022, își extinde activitatea în domeniul bancar.
Cleafy a dezvăluit, recent, noi detalii despre SpyNote, arătând că malware-ul exploatează serviciile Accessibility și diverse permisiuni din Android pentru a desfășura mai multe activități rău intenționate.
Distribuția SpyNote are loc prin campanii de phishing și smishing prin e-mail, iar activitățile sale sunt executate folosind o combinație de capabilități troiene de acces la distanță (RAT) și atacuri vishing. În lunile iunie și iulie 2023, a existat o creștere vizibilă a campaniilor direcționate împotriva mai multor clienți europeni ai diferitelor bănci.
Echipa Cleafy Threat Intelligence a monitorizat îndeaproape tendința de creștere a infecțiilor cu spyware, SpyNote fiind unul dintre principalii vinovați. Acest malware este deosebit de periculos deoarece poate uzurpa identitatea aplicațiilor legitime.
Infectarea începe de obicei cu un mesaj SMS înșelător care îndeamnă utilizatorii să instaleze o „nouă aplicație bancară certificată”, urmată de o redirecționare către o aplicație TeamViewer aparent autentică, care este utilizată pentru suport tehnic de la distanță. În realitate, acesta este pasul inițial pentru a obține acces de la distanță la dispozitivul victimei.
Principalele caracteristici ale SpyNote implică exploatarea serviciilor de accesibilitate pentru a accepta automat alte ferestre pop-up de permisiuni și pentru a efectua activități de înregistrare a tastelor. Urmărind activitățile utilizatorilor, programul spyware obține acces la informații esențiale, cum ar fi aplicațiile instalate, proprietăți specifice aplicației și intrări de text, toate acestea putând fi folosite pentru a fura acreditări bancare sensibile.
În plus, SpyNote poate intercepta mesaje SMS, inclusiv coduri de autentificare în doi factori (2FA) și le poate transmite către serverul de comandă și control (C2) al atacatorilor, ocolind nivelul suplimentar de securitate instituit de instituțiile financiare. Malware-ul poate, de asemenea, să înregistreze imaginile de pe ecrane, oferind atacatorilor control și informații substanțiale.
Pentru a evita detectarea și analiza, SpyNote folosește diverse tehnici de evaziune a apărării, cum ar fi afectarea codului, controalele anti-emulator și prevenirea eliminării manuale prin ascunderea pictogramei aplicației.
Cleafy concluzionează că natura agresivă și extinsă a recentei campanii SpyNote indică faptul că atacatorii vor continua, probabil, să exploateze multiplele funcționalități ale acestui spyware pentru a comite fraude bancare.
„Deși nu este prima dată când programul spyware este folosit pentru a comite fraude bancare […] această campanie SpyNote este cu siguranță una dintre cele mai agresive din ultima vreme”, se arată în raport.
„Observând agresivitatea și extinderea acestei campanii SpyNote recente, presupunem că atacatorii vor continua să folosească acest program spyware pentru a efectua fraude bancare deoarece are multiple funcționalități.”
Instituțiile financiare și utilizatorii trebuie să rămână atenți împotriva tentativelor de phishing și smishing și să își actualizeze în mod regulat măsurile de securitate pentru a se apăra împotriva acestor amenințări în evoluție.
Soluţiile Cleafy sunt aduse în România de compania SolvIT Networks.