SpyNote, un trojan bancario per Android, è stato analizzato rivelando le sue molteplici funzionalità di raccolta informazioni. Distribuito principalmente attraverso campagne di phishing via SMS, le catene di attacco che coinvolgono questo spyware ingannano le potenziali vittime inducendole a installare l’app cliccando sul link incorporato.
Caratteristiche di SpyNote
Secondo F-Secure, oltre a richiedere permessi invasivi per accedere ai registri delle chiamate, alla fotocamera, ai messaggi SMS e alla memoria esterna, SpyNote è noto per nascondere la sua presenza dalla schermata principale di Android e dalla schermata “Recents”, rendendo difficile la sua individuazione. “L’app malware SpyNote può essere avviata tramite un trigger esterno”, ha dichiarato il ricercatore di F-Secure, Amit Tambe. “Ricevendo l’intento, l’app malware avvia l’attività principale”. Ma soprattutto, cerca permessi di accessibilità, sfruttandoli per concedersi ulteriori permessi per registrare audio e chiamate, registrare i tasti premuti e catturare screenshot del telefono tramite l’API MediaProjection.
Difese del malware
Un’analisi più approfondita del malware ha rivelato la presenza di ciò che viene chiamato servizi “diehard” che mirano a resistere ai tentativi, sia fatti dalle vittime che dal sistema operativo, di terminarlo. Questo viene realizzato registrando un “broadcast receiver” progettato per riavviarlo automaticamente ogni volta che sta per essere chiuso. Inoltre, gli utenti che tentano di disinstallare l’app maliziosa navigando nelle Impostazioni vengono impediti di farlo chiudendo il menu tramite l’abuso delle API di accessibilità. “Il campione di SpyNote è uno spyware che registra e ruba una varietà di informazioni, tra cui i tasti premuti, i registri delle chiamate, le informazioni sulle applicazioni installate e così via”, ha detto Tambe. “Rimane nascosto sul dispositivo della vittima rendendolo difficile da notare. Rende anche estremamente complicata la disinstallazione”.
Conseguenze per le vittime
La vittima alla fine ha solo l’opzione di eseguire un ripristino delle impostazioni di fabbrica, perdendo tutti i dati nel processo. Questa rivelazione arriva mentre la società di cybersecurity finlandese ha dettagliato una falsa app Android che si finge un aggiornamento del sistema operativo per indurre le vittime a concederle i permessi dei servizi di accessibilità e sottrarre SMS e dati bancari.