Der SpyNote-Trojaner auf Android kann Anrufe aufzeichnen

Nach Angaben des italienischen Cybersicherheitsunternehmens Cleafy wurde eine Kampagne entdeckt, die mit SpyNote arbeitet und seit Juni 2023 Finanzinstitute in Europa ins Visier nimmt.

Sicherheitsexperten von F-Secure erklärten, dass SpyNote (auch bekannt als SpyMax) häufig über SMS-Phishing-Kampagnen verbreitet wird, wobei die Opfer durch Anklicken eines mit Schadcode versehenen Links dazu verleitet werden, die App zu installieren.

SpyNote fordert nicht nur Zugriff auf Anruflisten, Kamera, SMS und externen Speicher, sondern ist auch dafür bekannt, seine Aktivität zu verbergen, um nicht entdeckt zu werden. Laut der Analyse kann die SpyNote-Malware über ein externes Programm gestartet werden.

SpyNote sucht nach Berechtigungen und nutzt diese, um sich zusätzliche Berechtigungen zu erteilen, Audio- und Telefongespräche aufzuzeichnen, Tastatureingaben zu protokollieren und Screenshots des Telefons zu erstellen. Weitere Analysen ergaben, dass SpyNote Funktionen enthält, die Versuche, die Schad-App zu beenden, verhindern.

Dies geschieht durch die Registrierung einer Broadcast-Empfängerklasse, die so konzipiert ist, dass sie sich bei jedem Beenden des Programms automatisch neu startet. Versuche, die schädliche App über die Einstellungen zu deinstallieren, werden durch Schließen des Bildschirms mithilfe von Barrierefreiheits-APIs verhindert.

F-Secure erklärte, dass die von SpyNote verursachten Probleme dem Opfer nur die Möglichkeit böten, das Gerät auf Werkseinstellungen zurückzusetzen, wodurch alle Daten gelöscht würden. Die Ankündigung erfolgt zeitgleich mit der Veröffentlichung einer Android-App durch das finnische Cybersicherheitsunternehmen. Diese App tarnt sich als Betriebssystem-Update, um Opfer dazu zu verleiten, Zugriff auf Bedienungshilfen zu gewähren, mit denen dann Bankdaten und SMS-Nachrichten gestohlen werden können.