Allarme SpyNote, lo spyware che attacca le istituzioni finanziarie

Grazie agli attenti studi dei ricercatori di Cleafy è stato possibile capire il funzionamento di SpyNote.

Lo spyware Android in questione, a quanto pare, ha cominciato a prendere di mira istituti finanziari a partire dalla fine del 2022, prendendo gradualmente piede nell’ambito delle frodi bancarie.

Secondo gli esperti, il malware sfrutta i servizi di accessibilità e varie autorizzazioni Android per condurre molteplici attività dannose. Il principale canale di diffusione riguarda phishing e smishing, combinando poi alcune funzioni tipiche dei trojan di accesso remoto (RAT) e gli attacchi vishing.

A conferma dell’efficacia di SpyNote vi è il sostanziale aumento dei casi tra giugno e luglio 2023, con campagne che hanno colpito un numero elevato di clienti di diverse banche europee.

SpyNote è uno spyware Android efficace e difficile da rivelare

I dati raccolti dal Cleafy Threat Intelligence Team evidenziano come questa minaccia sia in grado di impersonare in modo convincente applicazioni legittime, rendendosi dunque particolarmente difficile da individuare.

La catena di infezione in genere inizia con un messaggio SMS ingannevole che invita gli utenti a installare una “nuova app bancaria certificata”. Questo è seguito da un link verso un’app TeamViewer verosimile ma fasulla, proposta per il fantomatico supporto tecnico remoto. In realtà, questo è il primo passo che i cybercriminali fanno per ottenere l’accesso remoto al dispositivo della vittima.

Le caratteristiche principali di SpyNote prevedono lo sfruttamento dei servizi di accessibilità per poi eseguire attività di keylogging e non solo. Tracciando le attività degli utenti, lo spyware ottiene l’accesso a informazioni cruciali come applicazioni installate e input di testo, che possono essere tutti utilizzate per rubare credenziali bancarie sensibili e svolgere altre operazioni simili.

Inoltre, SpyNote può intercettare messaggi SMS, inclusi i codici di autenticazione a due fattori, e trasmetterli al server di comando e controllo gestito dagli aggressori. Come se non bastasse, il malware può anche registrare ciò che accade sul display, fornendo agli aggressori un controllo totale del dispositivo.

Per eludere il rilevamento e l’analisi, SpyNote impiega varie tecniche evasive, come l’offuscamento del codice, il che rende tale malware ancora più ostico da trattare.