0
0
SpyNote tem como alvo instituições financeiras desde o final de 2022, enquanto expande seus recursos para realizar fraudes bancárias
Pesquisadores de segurança da Cleafy compartilharam recentemente novas descobertas sobre o SpyNote, dizendo que o spyware explora os serviços de acessibilidade e várias permissões do Android para realizar várias atividades maliciosas.
A distribuição do SpyNote ocorre por meio de campanhas de phishing e smishing por e-mail, e suas atividades fraudulentas são executadas usando uma combinação de recursos de trojan de acesso remoto (RAT) e ataques de vishing — ligações por voz, como de supostos serviços de telefonia IP (VoIP) para enganar as vítimas. Durante os meses. de junho e julho, houve um aumento notável em campanhas direcionadas contra vários clientes europeus de diferentes bancos.
Ao descrever as descobertas em um comunicado publicado nesta terça-feira, 1º, a Cleafy Threat Intelligence Team disse que tem monitorado de perto a tendência crescente de infecções por spyware, sendo o SpyNote um dos principais responsáveis. O que torna esse malware particularmente perigoso é a sua capacidade de se passar por aplicativos legítimos de forma convincente.
A cadeia de infecção geralmente começa com uma mensagem SMS enganosa pedindo ao usuário que instale um “novo aplicativo bancário certificado”, seguido de um redirecionamento para um aplicativo TeamViewer aparentemente autêntico, usado para suporte técnico remoto. Na realidade, esse é o passo inicial para obter acesso remoto ao dispositivo da vítima.
Os principais recursos do SpyNote envolvem a exploração dos serviços de acessibilidade para aceitar automaticamente outros pop-ups de permissão e realizar atividades de keylogging. Ao rastrear as atividades do usuário, o spyware obtém acesso a informações cruciais, como aplicativos instalados, propriedades específicas do aplicativo e entradas de texto, que podem ser usadas para roubar credenciais bancárias confidenciais.
Além disso, o SpyNote pode interceptar mensagens SMS, incluindo códigos de autenticação de dois fatores (2FA), e transmiti-los ao servidor de comando e controle (C&C) dos invasores, contornando a camada extra de segurança implementada pelas instituições financeiras. O malware também pode gravar telas, fornecendo aos invasores controle e informações substanciais.
Para evitar a detecção e análise, o SpyNote emprega várias técnicas de evasão de defesa, como ofuscação de código, controles anti-emulador e prevenção de remoção manual ocultando o ícone do aplicativo.
A Cleafy concluiu seu relatório dizendo que a natureza agressiva e extensa da recente campanha do SpyNote indica que os agentes de ameaças provavelmente continuarão a explorar as múltiplas funcionalidades desse spyware para perpetrar fraudes bancárias. “Embora não seja a primeira vez que o spyware é usado para realizar fraudes bancárias […] esta campanha do SpyNote é certamente uma das mais agressivas dos últimos tempos”, diz o relatório.
FONTE: CISO ADVISOR