Les institutions financières sont ciblées par une nouvelle version du malware Android appelée Note d’espion au moins depuis octobre 2022.
« La raison de cette augmentation est que le développeur du logiciel espion, qui le vendait auparavant à d’autres acteurs, a rendu public le code source », a déclaré ThreatFabric. m’a dit dans un rapport partagé avec The Hacker News. « Cela a aidé d’autres acteurs [in] développant et distribuant les logiciels espions, ciblant souvent aussi les institutions bancaires. »
Certaines des institutions notables qui sont usurpées par le logiciel malveillant incluent Deutsche Bank, HSBC UK, Kotak Mahindra Bank et Nubank.
SpyNote (alias SpyMax) est riche en fonctionnalités et est livré avec une pléthore de fonctionnalités qui lui permettent d’installer des applications arbitraires ; recueillir des messages SMS, des appels, des vidéos et des enregistrements audio ; suivre les emplacements GPS ; et même entraver les efforts de désinstallation de l’application.
Il suit également le mode opératoire d’autres logiciels malveillants bancaires en demandant des autorisations aux services d’accessibilité pour extraire les codes d’authentification à deux facteurs (2FA) de Google Authenticator et enregistrer les frappes au clavier pour siphonner les identifiants bancaires.
De plus, SpyNote intègre des fonctionnalités pour piller les mots de passe Facebook et Gmail ainsi que pour capturer le contenu de l’écran en tirant parti d’Android. API MediaProjection.
La société de sécurité néerlandaise a déclaré que la version la plus récente de SpyNote (appelée SpyNote.C) est la première variante à frapper les applications bancaires ainsi que d’autres applications bien connues comme Facebook et WhatsApp.
Il est également connu pour se faire passer pour le service officiel Google Play Store et d’autres applications génériques couvrant les catégories de fonds d’écran, de productivité et de jeux. Une liste de certains des artefacts SpyNote, qui sont principalement livrés via attaques par smishingest comme suit –
- Confirmation de Bank of America (yps.eton.application)
- BurlaNubank (com.appser.verapp)
- Conversations_ (com.appser.verapp )
- Activité actuelle (com.willme.topactivity)
- Deutsche Bank Mobile (com.reporting.efficiency)
- HSBC UK Mobile Banking (com.employ.mb)
- Kotak Bank (splash.app.main)
- Carte SIM virtuelle (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)
On estime que SpyNote.C a été acheté par 87 clients différents entre août 2021 et octobre 2022 après avoir été annoncé par son développeur sous le nom de CypherRat via un canal Telegram.
Cependant, la disponibilité open source de CypherRat en octobre 2022 a entraîné une augmentation spectaculaire du nombre d’échantillons détectés dans la nature, ce qui suggère que plusieurs groupes criminels cooptent le malware dans leurs propres campagnes.
ThreatFabric a en outre noté que l’auteur original a depuis commencé à travailler sur un nouveau projet de logiciel espion nommé CraxsRat, qui devrait être proposé en tant qu’application payante avec des fonctionnalités similaires.
« Ce développement n’est pas aussi courant au sein de l’écosystème Android Spyware, mais est extrêmement dangereux et montre le début potentiel d’une nouvelle tendance, qui verra une disparition progressive de la distinction entre les logiciels espions et les logiciels malveillants bancaires, en raison de la puissance que l’abus de Les services d’accessibilité donnent aux criminels », a déclaré la société.
