Der Trojaner SpyNote auf Android kann Telefongespräche aufzeichnen.

Nach Angaben des italienischen Cybersicherheitsunternehmens Cleafy wurde eine Kampagne unter Verwendung von SpyNote entdeckt, die seit Juni 2023 auf Finanzinstitute in Europa abzielt.

Sicherheitsexperten von F-Secure geben an, dass SpyNote (auch bekannt als SpyMax) typischerweise über SMS-Phishing-Kampagnen verbreitet wird, indem die Opfer durch Anklicken von Links, die mit Schadcode versehen sind, zur Installation der Anwendung verleitet werden.

SpyNote fordert nicht nur Zugriff auf Anruflisten, Kamera, SMS und externen Speicher, sondern ist auch dafür bekannt, seine Aktivität zu verschleiern, um nicht entdeckt zu werden. Analysen deuten darauf hin, dass die SpyNote-Malware über ein externes Programm gestartet werden kann.

Der entscheidende Punkt ist, dass SpyNote nach Zugriffsberechtigungen sucht und diese anschließend nutzt, um sich zusätzliche Berechtigungen zu erteilen, Audio- und Telefongespräche aufzuzeichnen, Tastatureingaben zu protokollieren und Screenshots zu erstellen. Weitere Analysen der Forscher ergaben, dass SpyNote Funktionen enthält, die Versuche, diese Schadsoftware zu beenden, verhindern.

Dies geschieht durch die Registrierung einer Klasse zum Empfangen von Broadcast-Informationen, die so konzipiert ist, dass sie sich bei jedem Beenden des Programms neu startet. Versuche, die schädliche Anwendung über die Einstellungen zu deinstallieren, werden durch Schließen des Bildschirms mithilfe von Barrierefreiheits-APIs verhindert.

F-Secure erklärte, dass die von SpyNote verursachten Probleme auf dem Gerät den Opfern nur die Möglichkeit eines Werksresets lassen, wodurch alle Daten gelöscht werden. Diese Mitteilung des finnischen Cybersicherheitsunternehmens beschreibt eine Android-Anwendung, die sich als Betriebssystem-Update tarnt, um Opfer zur Erteilung von Zugriffsrechten zu verleiten und so Bankdaten und SMS-Nachrichten zu stehlen.