SpyNote Trojan op Android kan gesprekken opnemen

Volgens het Italiaanse cybersecuritybedrijf Cleafy is er een campagne ontdekt die gebruikmaakt van SpyNote en die sinds juni 2023 gericht is op financiële instellingen in Europa.

Volgens beveiligingsexperts van F-Secure wordt SpyNote (ook bekend als SpyMax) vaak verspreid via sms-phishingcampagnes. Hierbij worden slachtoffers misleid om de app te installeren door te klikken op een link met schadelijke code.

Naast het opvragen van toegang tot oproeplogboeken, camera, sms-berichten en externe opslag, staat SpyNote erom bekend zijn aanwezigheid te verbergen om detectie te voorkomen. Volgens de analyse kan de SpyNote-malware via een extern programma worden gestart.

Cruciaal is dat SpyNote naar toestemmingen zoekt en deze vervolgens gebruikt om zichzelf extra toestemmingen te geven om audio- en telefoongesprekken, toetsaanslagen op te nemen en screenshots van de telefoon te maken. Verdere analyse wees uit dat SpyNote functionaliteit bevat om pogingen om de kwaadaardige app te verwijderen, tegen te gaan.

Dit gebeurt door een broadcast-ontvangerklasse te registreren, die is ontworpen om zichzelf opnieuw op te starten wanneer het programma wordt afgesloten. Pogingen om de schadelijke app te verwijderen via Instellingen worden voorkomen door het scherm te sluiten met behulp van toegankelijkheids-API's.

F-Secure meldde dat de problemen die SpyNote op het apparaat veroorzaakt, het slachtoffer de mogelijkheid geven om een ​​fabrieksreset uit te voeren, waardoor alle gegevens worden gewist. De aankondiging komt op het moment dat het Finse cybersecuritybedrijf een Android-app beschrijft die zich voordoet als een update van het besturingssysteem om slachtoffers te misleiden en toegang te verlenen tot toegankelijkheidsdiensten, die vervolgens bankgegevens en sms-berichten kunnen stelen.