SpyNote: si diffonde il malware su dispositivi Android che entra in possesso dei dati bancari degli utenti.
La famiglia di malware Android, individuata come SpyNote (o SpyMax) ha avuto un improvvisa diffusione, in base ai rilevamenti nell’ultimo trimestre del 2022: tale fenomeno è attribuibile alla una fuga di codice sorgente, noto come CypherRat.
SpyNote fa tremare gli utenti Android, in quanto è un malware che ruba dati bancari. Ciò è possibile grazie CypherRat, un codice sorgente che combina le capacità di spionaggio di SpyNote, basate sull’accesso remoto, tracciamento GPS e aggiornamenti dello stato e le attività del dispositivo, con funzionalità di trojan bancari che si fingono istituti bancari per rubare le credenziali dell’account.
CypherRat è stato venduto tramite canali Telegram privati dall’agosto 2021 all’ottobre 2022, quando il suo autore ha deciso di pubblicare il suo codice sorgente su GitHub, a seguito di una serie di episodi di truffa sui forum di hacking.
I responsabili delle minacce hanno rapidamente carpito il codice sorgente del malware e lanciato le proprie campagne. Quasi immediatamente, sono apparse varianti personalizzate che hanno preso di mira banche affidabili come HSBC e Deutsche Bank.
Parallelamente, altri hanno scelto di mascherare le loro versioni di CypherRat come Google Play, WhatsApp e Facebook, rivolgendosi a un pubblico più ampio. Questa attività è stata osservata dagli analisti di ThreatFabric, che avvertono della possibilità che CypherRat può diventare una minaccia ancora più diffusa.
Tutte le varianti di SpyNote in circolazione si basano sulla richiesta di accesso al servizio di accessibilità di Android per poter installare nuove app, intercettare messaggi SMS (per il bypass 2FA), spiare le chiamate e registrare video e audio sul dispositivo.
ThreatFabric elenca quanto segue come funzionalità “straordinarie”:
Per nascondere il suo codice dannoso dal controllo, le ultime versioni di SpyNote utilizzano l’offuscamento delle stringhe e utilizzano packer commerciali per avvolgere gli APK. Inoltre, tutte le informazioni esfiltrate da SpyNote al suo server C2 vengono offuscate utilizzando Base64 che nascondere l’host.
Anche se ThreatFabric non ha specificato il modo in cui queste app dannose vengono distribuite, è probabile che si diffondano attraverso siti di phishing, siti di app Android di terze parti e social media.
Per questo motivo si consiglia agli utenti di prestare molta attenzione durante l’installazione di nuove app, soprattutto se esterne a Google Play e di rifiutare le richieste di concessione dei permessi per accedere al Servizio di Accessibilità.
Sfortunatamente, nonostante i continui sforzi di Google per fermare l’abuso delle API del servizio di accessibilità da parte del malware Android, esistono ancora modi per aggirare le restrizioni imposte.
La corretta gestione del Sistema Tessera Sanitaria rappresenta un aspetto fondamentale per tutti gli operatori…
Il volto di una madre che ha perso una figlia racconta spesso più di mille…
Un silenzio solenne avvolgeva le strade, rotto solo dal suono cadenzato dei passi e dal…
Ci sono momenti in cui sembra impossibile mantenere la concentrazione. La mente vaga, le distrazioni…
La stagione fredda porta con sé molte domande sulla routine quotidiana, ma c’è un gesto…
Se c'è un momento in cui tutto sembra sospeso, è quando un atleta raggiunge un…