È da inizio anno che è stato osservato lo spyware Android SpyNote particolarmente attivo nelle frodi bancarie grazie alle sue numerose funzionalità, sebbene lo spyware venga solitamente utilizzato per raccogliere dati degli utenti o condurre campagne di spionaggio.
Diverse banche nel mirino
In particolare i ricercatori di Cleafy negli ultimi mesi avrebbero osservato una vasta campagna contro i clienti europei di diverse banche. Sebbene tale spyware venga distribuito tramite phishing e smishing le attività fraudolente verrebbero eseguite combinando l’uso di trojan di accesso remoto (RAT) e il vhishing.
La catena d’infezione
La catena di infezione di solito inizierebbe con un falso messaggio SMS in cui viene chiesto all’utente di installare una presunta nuova app bancaria, seguito anche da un secondo messaggio, che reindirizza l’utente all’app legittima di TeamViewer per ricevere supporto tecnico remoto e telefonico.
Una volta installato furtivamente anche con la collaborazione inconsapevole dell’utente, SpyNote abuserbbe dei servizi di accessibilità e di altri permessi di Android per:
– Raccogliere i messaggi SMS e l’elenco dei contatti;
– Registrare audio e schermo;
– Attività di keylogging;
– Bypass 2FA;
– Tracciamento delle posizioni GPS.
Tutti i dati vengono scambiati e impacchettati secondo uno schema personalizzato, contattando il server C2 tramite una comunicazione socket con indirizzo IP e numero porta entrambi codificati in Base64.
Conclusioni
“Sebbene non sia la prima volta che lo spyware viene utilizzato per compiere frodi bancarie questa campagna di SpyNote è sicuramente una delle più aggressive degli ultimi tempi. – commenta Francesco Iubatti
Mobile Malware Analyst & Threat Intelligence Analyst – “Infine, osservando l’aggressività e l’estensione di questa recente campagna SpyNote, presumiamo che i TA continueranno a utilizzare questo spyware per effettuare frodi bancarie a causa delle molteplici funzionalità.“
