SpyNote: si diffonde il malware su dispositivi Android che entra in possesso dei dati bancari degli utenti.
La famiglia di malware Android, individuata come SpyNote (o SpyMax) ha avuto un improvvisa diffusione, in base ai rilevamenti nell’ultimo trimestre del 2022: tale fenomeno è attribuibile alla una fuga di codice sorgente, noto come CypherRat.
SpyNote: malware android che ruba dati bancari
SpyNote fa tremare gli utenti Android, in quanto è un malware che ruba dati bancari. Ciò è possibile grazie CypherRat, un codice sorgente che combina le capacità di spionaggio di SpyNote, basate sull’accesso remoto, tracciamento GPS e aggiornamenti dello stato e le attività del dispositivo, con funzionalità di trojan bancari che si fingono istituti bancari per rubare le credenziali dell’account.
CypherRat è stato venduto tramite canali Telegram privati dall’agosto 2021 all’ottobre 2022, quando il suo autore ha deciso di pubblicare il suo codice sorgente su GitHub, a seguito di una serie di episodi di truffa sui forum di hacking.
I responsabili delle minacce hanno rapidamente carpito il codice sorgente del malware e lanciato le proprie campagne. Quasi immediatamente, sono apparse varianti personalizzate che hanno preso di mira banche affidabili come HSBC e Deutsche Bank.
Parallelamente, altri hanno scelto di mascherare le loro versioni di CypherRat come Google Play, WhatsApp e Facebook, rivolgendosi a un pubblico più ampio. Questa attività è stata osservata dagli analisti di ThreatFabric, che avvertono della possibilità che CypherRat può diventare una minaccia ancora più diffusa.
Funzionalità del malware
Tutte le varianti di SpyNote in circolazione si basano sulla richiesta di accesso al servizio di accessibilità di Android per poter installare nuove app, intercettare messaggi SMS (per il bypass 2FA), spiare le chiamate e registrare video e audio sul dispositivo.
ThreatFabric elenca quanto segue come funzionalità “straordinarie”:
- Utilizza l’API Camera per registrare e inviare video dal dispositivo al server C2;
- Fa uso di GPS e informazioni sulla localizzazione della rete;
- Ruba le credenziali dell’account Facebook e Google;
- Utilizza l’accessibilità (A11y) per estrarre i codici da Google Authenticator;
- Usa il keylogging alimentato dai servizi di accessibilità per rubare le credenziali bancarie.
Per nascondere il suo codice dannoso dal controllo, le ultime versioni di SpyNote utilizzano l’offuscamento delle stringhe e utilizzano packer commerciali per avvolgere gli APK. Inoltre, tutte le informazioni esfiltrate da SpyNote al suo server C2 vengono offuscate utilizzando Base64 che nascondere l’host.
Anche se ThreatFabric non ha specificato il modo in cui queste app dannose vengono distribuite, è probabile che si diffondano attraverso siti di phishing, siti di app Android di terze parti e social media.
Per questo motivo si consiglia agli utenti di prestare molta attenzione durante l’installazione di nuove app, soprattutto se esterne a Google Play e di rifiutare le richieste di concessione dei permessi per accedere al Servizio di Accessibilità.
Sfortunatamente, nonostante i continui sforzi di Google per fermare l’abuso delle API del servizio di accessibilità da parte del malware Android, esistono ancora modi per aggirare le restrizioni imposte.