وبحسب شركة الأمن السيبراني الإيطالية Cleafy، تم اكتشاف حملة باستخدام SpyNote تستهدف المؤسسات المالية في أوروبا منذ يونيو 2023.

قال خبراء الأمن من شركة F-Secure إن SpyNote (المعروف أيضًا باسم SpyMax) ينتشر غالبًا من خلال حملات التصيد عبر الرسائل النصية القصيرة، حيث يخدع الضحايا لتثبيت التطبيق من خلال النقر فوق رابط مضمن برمز ضار.

بالإضافة إلى طلب الوصول إلى سجلات المكالمات والكاميرا والرسائل النصية القصيرة والتخزين الخارجي، تشتهر SpyNote بإخفاء وجودها لتجنب الاكتشاف. وفقًا للتحليل، يمكن تشغيل برنامج SpyNote الخبيث من خلال برنامج خارجي.

النقطة الأساسية هي أن SpyNote يبحث عن الأذونات، ثم يستغلها لمنح نفسه أذونات إضافية لتسجيل المكالمات الصوتية والهاتفية، وضربات المفاتيح، والتقاط لقطات شاشة للهاتف. وبعد البحث المعمق، قال الباحثون إن SpyNote يحتوي على وظيفة لمواجهة محاولات إنهاء التطبيق الخبيث.

يتم ذلك عن طريق تسجيل فئة مستقبل البث، والتي تم تصميمها لإعادة تشغيل نفسها عند إيقاف تشغيل البرنامج. سيتم منع محاولات إلغاء تثبيت التطبيقات الضارة بالانتقال إلى الإعدادات عن طريق إغلاق الشاشة باستخدام واجهات برمجة التطبيقات الخاصة بإمكانية الوصول.

وقالت شركة F-Secure إن الصعوبة التي يسببها SpyNote على الجهاز تترك للضحايا الخيار الأخير وهو إجراء إعادة ضبط المصنع، وهو ما سيؤدي إلى فقدان جميع البيانات. ويأتي هذا الإعلان في الوقت الذي تفصل فيه شركة الأمن السيبراني الفنلندية تطبيقًا يعمل بنظام أندرويد يتنكر في صورة تحديث لنظام التشغيل لخداع الضحايا ومنحهم حق الوصول إلى خدمات إمكانية الوصول، والذي يمكنه بعد ذلك سرقة البيانات المصرفية والرسائل النصية القصيرة.