I ricercatori di ThreatFabric hanno identificato nuovi attacchi effettuati con la famiglia di malware SpyNote che permette ai cybercriminali di rubare i dati di login ai conti online e di intercettare i codici dell’autenticazione in due fattori. L’ultima versione integra le funzionalità di CyberRat, tra cui l’accesso remoto al dispositivo Android. Il consiglio è ovviamente installare una soluzione di sicurezza che rileva e blocca il malware.
SpyNote: spyware con funzionalità RAT
I ricercatori di ThreatFabric hanno rilevato un incremento degli attacchi a fine 2022. L’ultima variante, ovvero SpyNote.C, prende di mira le app di note banche, tra cui HSBC, Deutsche Bank, oltre ad altre app popolari, come WhatsApp e Facebook. Le funzionalità di RAT sono state aggiunte quando il codice sorgente di CyberRat è stato pubblicato su GitHub. Il malware esegue quindi le tradizionali operazioni di trojan bancario insieme a quelle di spyware e controllo remoto.
Non è noto come sia stato distribuito (probabilmente tramite siti di phishing, store di terze parti o social media), ma si conoscono le conseguenze degli attacchi. Le app che nascondono SpyNote chiedono all’utente di concedere i permessi per i servizi di accessibilità. In questo modo, il malware viene eseguito con privilegi elevati e può rubare le credenziali delle app bancarie, intercettare gli SMS dell’autenticazione in due fattori, registrare audio e video, accedere all’elenco dei contatti e tracciare la posizione geografica.
Tutti i dati sono quindi inviati al server remoto. Secondo i ricercatori di ThreatFabric, gli attacchi continueranno nel corso del 2023. È necessario evitare l’installazione di app da store non ufficiali e utilizzare un buon antivirus. Google consiglia di attivare la funzionalità Play Protect che blocca le app infette.