Trojan SpyNote na Androida potrafi nagrywać rozmowy telefoniczne.

Według włoskiej firmy zajmującej się bezpieczeństwem cybernetycznym Cleafy, od czerwca 2023 r. wykryto kampanię wykorzystującą oprogramowanie SpyNote, której celem były instytucje finansowe w Europie.

Eksperci ds. bezpieczeństwa z F-Secure twierdzą, że aplikacja SpyNote (znana również jako SpyMax) rozprzestrzenia się zazwyczaj za pośrednictwem kampanii phishingowych SMS, w których ofiary są oszukiwane i instalowane przez kliknięcie linków zawierających złośliwy kod.

Oprócz żądania dostępu do rejestrów połączeń, aparatu, wiadomości SMS i pamięci zewnętrznej, SpyNote znany jest ze swojej zdolności do ukrywania swojej obecności, aby uniknąć wykrycia. Analiza sugeruje, że złośliwe oprogramowanie SpyNote może zostać uruchomione za pośrednictwem programu zewnętrznego.

Kluczowym punktem jest to, że SpyNote wyszukuje uprawnienia dostępu, a następnie wykorzystuje je do przyznawania sobie dodatkowych uprawnień do nagrywania dźwięku i rozmów telefonicznych, naciśnięć klawiszy oraz robienia zrzutów ekranu. Dalsza analiza przeprowadzona przez badaczy wykazała, że ​​SpyNote zawiera funkcje, które przeciwdziałają próbom zamknięcia tej złośliwej aplikacji.

Odbywa się to poprzez rejestrację klasy do odbioru informacji rozgłoszeniowych, zaprojektowanej tak, aby uruchamiała się ponownie po każdym zamknięciu programu. Próby odinstalowania złośliwej aplikacji za pośrednictwem Ustawień są blokowane przez zamknięcie ekranu za pomocą interfejsów API ułatwień dostępu.

F-Secure oświadczyło, że problemy, jakie SpyNote stwarza na urządzeniu, pozostawiają ofiarom jedynie możliwość przywrócenia ustawień fabrycznych, czyli usunięcia wszystkich danych. W ogłoszeniu fińskiej firmy zajmującej się cyberbezpieczeństwem opisano aplikację na Androida podszywającą się pod aktualizację systemu operacyjnego, mającą na celu nakłonienie ofiar do udzielenia uprawnień dostępu, a tym samym kradzież danych bankowych i wiadomości SMS.