Desde octubre de 2022, una nueva versión del malware para Android conocida como SpyNote (también conocido como SpyMax) ha estado apuntando a las instituciones financieras como medio para robar información. Es interesante notar que esta nueva versión incorpora tanto características de spyware como de troyanos bancarios.
ThreatFabric informó recientemente que se ha convertido en un fenómeno familiar que los atacantes usen Android Spyware para obtener acceso a datos confidenciales y cometer fraude y robar información personal de sus víctimas.
Como resultado de que el desarrollador del software espía hizo público el código fuente, ha habido un aumento en el número de usuarios, que es el resultado de la venta previa del software espía a otros actores.
SpyNote dirigido a instituciones financieras
Esto ha facilitado el desarrollo y la distribución de software espía por parte de otros actores, que a menudo también se dirigen a los bancos. Vale la pena señalar que el malware se hace pasar por varias instituciones notables, incluidas las que se enumeran a continuación:
Banco alemán
HSBC Reino Unido
Banco Kotak Mahindra
Nubank
Además de sus muchas funciones, SpyNote tiene una gran cantidad de capacidades que pueden permitirle instalar y desinstalar cualquier aplicación en su dispositivo o incluso ejecutar código arbitrario.
Tambien, solicita acceso a servicios de accesibilidad de forma similar a otros malware bancarios. Esto se hace con el fin de llevar a cabo las siguientes actividades ilícitas:
Extraer códigos 2FA de Google Authenticator
Registre las pulsaciones de teclas para desviar las credenciales bancarias
Adicionalmente, SpyNote ofrece una amplia gama de funciones relacionadas con el robo de contraseñas, incluida la piratería de cuentas de Facebook y Google, así como la capacidad de tomar capturas de pantalla utilizando la API MediaProjection de Android para capturar el contenido de la pantalla.
Capacidades de SpyNote
A continuación, mencionamos todas las habilidades clave de SpyNote:
Suplantación de identidad
smishing
colección de SMS
Colección de contactos
Lista de llamadas
Captura de pantalla
Registrador de claves
Capturador 2FA
hRAT
Evitar la desinstalación (aliado)
evasión AV
Además de hacerse pasar por un servicio oficial de Google Play Store, también se ha descubierto que se hace pasar por una aplicación genérica. A continuación, se enumeran algunos artefactos que se entregan comúnmente a través de smishing y son responsables de que SpyNote sea preciso:
BurlaNubank (com.appser.verapp)
Conversations_ (com.appser.verapp )
Current Activity (com.willme.topactivity)
Deutsche Bank Mobile (com.reporting.efficiency)
HSBC UK Mobile Banking (com.employ.mb)
Kotak Bank (splash.app.main)
Virtual SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)
Se estima que, entre agosto de 2021 y octubre de 2022, SpyNote.C fue comprado por 87 compradores diferentes después de que el desarrollador del programa lo anunciara a través de un canal de Telegram llamado CypherRat.
Sin embargo, desde que CypherRat pasó a ser de código abierto en octubre de 2022, la cantidad de muestras detectadas en la naturaleza ha aumentado drásticamente como resultado de la disponibilidad de código abierto. Se ha sugerido que algunos grupos criminales están usando el malware para cooptar al programador para promover sus propias agendas criminales.
Desde entonces, ThreatFabric ha comentado que el autor real ha comenzado a trabajar en CraxsRat, una aplicación de software espía similar que se ofrecerá como un servicio pago.
Siempre hay amenazas nuevas e innovadoras que se presentan a los usuarios móviles a medida que el spyware de Android evoluciona y se vuelve cada vez más frecuente en el ecosistema de Android.
Además de monitorear el panorama de amenazas móviles, los investigadores de ThreatFabric siguen las actividades de varios actores y campañas para garantizar que estén siempre actualizados y ayuden a los usuarios a mitigar tales escenarios.
Fuente: gbhackers.com
