Finanzinstitute werden mindestens seit Oktober 2022 von einer neuen Version der Android-Malware namens SpyNote angegriffen, die sowohl Spyware- als auch Banking-Trojaner-Eigenschaften vereint.

„Der Grund für diesen Anstieg ist, dass der Entwickler der Spyware, der sie zuvor an andere Akteure verkauft hatte, den Quellcode veröffentlicht hat“, so ThreatFabric in einem Bericht, der The Hacker News vorliegt. „Das hat anderen Akteuren geholfen, die Spyware zu entwickeln und zu verbreiten, die es oft auch auf Bankinstitute abgesehen haben.

Zu den bekannten Instituten, für die sich die Malware ausgibt, gehören die Deutsche Bank, HSBC U.K., Kotak Mahindra Bank und Nubank.

SpyNote (auch bekannt als SpyMax) verfügt über eine Vielzahl von Funktionen, die es ihm ermöglichen, beliebige Dateien zu installieren, SMS-Nachrichten, Anrufe, Videos und Audioaufnahmen zu sammeln, GPS-Standorte zu verfolgen und sogar die Deinstallation der App zu verhindern.

Er folgt auch dem Modus Operandi anderer Banking-Malware, indem er Berechtigungen für Zugangsdienste anfordert, um Zwei-Faktor-Authentifizierungscodes (2FA) von Google Authenticator zu extrahieren und Tastatureingaben aufzuzeichnen, um Bankdaten abzuschöpfen.

Darüber hinaus verfügt SpyNote über Funktionen, um Facebook- und Gmail-Passwörter zu erbeuten und Bildschirminhalte zu erfassen, indem er die MediaProjection-API von Android nutzt.

Nach Angaben des niederländischen Sicherheitsunternehmens ist die neueste Version von SpyNote (SpyNote.C) die erste Variante, die Banking-Apps und andere bekannte Apps wie Facebook und WhatsApp angreift.

Es ist auch bekannt, dass er sich als offizieller Google Play Store-Dienst und andere generische Anwendungen aus den Kategorien Wallpaper, Produktivität und Spiele ausgibt. Im Folgenden findest du eine Liste einiger SpyNote-Artefakte, die hauptsächlich durch Smishing-Angriffe verbreitet werden.

  • Bank of America Confirmation (yps.eton.application)
  • BurlaNubank (com.appser.verapp)
  • Unterhaltungen_ (com.appser.verapp )
  • Aktuelle Aktivität (com.willme.topactivity)
  • Deutsche Bank Mobile (com.reporting.efficiency)
  • HSBC UK Mobile Banking (com.employ.mb)
  • Kotak Bank (splash.app.main)
  • Virtual SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)

SpyNote.C wurde Schätzungen zufolge zwischen August 2021 und Oktober 2022 von 87 verschiedenen Kunden gekauft, nachdem es von seinem Entwickler unter dem Namen CypherRat über einen Telegram-Kanal beworben wurde.

Die Open-Source-Verfügbarkeit von CypherRat im Oktober 2022 hat jedoch zu einem dramatischen Anstieg der Zahl der in freier Wildbahn entdeckten Samples geführt, was darauf hindeutet, dass mehrere kriminelle Gruppen die Malware für ihre eigenen Kampagnen nutzen.

ThreatFabric stellte außerdem fest, dass der ursprüngliche Autor inzwischen mit der Arbeit an einem neuen Spyware-Projekt mit dem Codenamen CraxsRat begonnen hat, das als kostenpflichtige Anwendung mit ähnlichen Funktionen angeboten werden soll.

„Diese Entwicklung ist im Android-Spyware-Ökosystem nicht so häufig, aber sie ist extrem gefährlich und zeigt den potenziellen Beginn eines neuen Trends, bei dem die Unterscheidung zwischen Spyware und Banking-Malware aufgrund der Macht, die der Missbrauch von Zugangsdiensten den Kriminellen verleiht, allmählich verschwinden wird“, so das Unternehmen.

Den Nutzern wird empfohlen, keine Apps aus nicht vertrauenswürdigen Quellen herunterzuladen, die Bewertungen zu prüfen, bevor sie eine App installieren, und nur die Berechtigungen zu erteilen, die für den Zweck der App relevant sind.

Google Play Protect überprüft Android-Geräte mit Google Play Services auf potenziell schädliche Apps aus anderen Quellen“, so ein Google-Sprecher gegenüber The Hacker News. „Die Nutzer werden durch Google Play Protect geschützt, das die Nutzer warnen oder identifizierte schädliche Apps auf Android-Geräten blockieren kann.“

Die Ergebnisse kommen zu einem Zeitpunkt, an dem eine Gruppe von Forschern einen neuartigen Angriff auf Android-Geräte mit dem Namen EarSpy vorgeführt hat, der Zugang zu Audiogesprächen, Innenraumstandorten und Touchscreen-Eingaben ermöglicht, indem er die eingebauten Bewegungssensoren und den Ohrlautsprecher der Smartphones als Seitenkanal nutzt.