Le cheval de Troie bancaire Android connu sous le nom de SpyNote a été disséqué pour révéler ses diverses fonctionnalités de collecte d’informations.
Généralement propagées via des campagnes de phishing par SMS, les chaînes d’attaque impliquant le logiciel espion incitent les victimes potentielles à installer l’application en cliquant sur le lien intégré, selon F-Secure.
En plus de demander des autorisations invasives pour accéder aux journaux d’appels, à l’appareil photo, aux messages SMS et au stockage externe, SpyNote est connu pour masquer sa présence sur l’écran d’accueil d’Android et sur l’écran d’accueil d’Android. Écran Récents dans le but de rendre difficile l’évitement de la détection.
« L’application malveillante SpyNote peut être lancée via un déclencheur externe », Amit Tambe, chercheur chez F-Secure. dit dans une analyse publiée la semaine dernière. « Dès réception de l’intention, l’application malveillante lance l’activité principale. »
Mais plus important encore, il recherche des autorisations d’accessibilité, puis les exploite pour s’accorder des autorisations supplémentaires pour enregistrer des appels audio et téléphoniques, enregistrer les frappes au clavier, ainsi que capturer des captures d’écran du téléphone via le API MediaProjection.
Un examen plus approfondi du malware a révélé la présence de ce que l’on appelle des services purs et durs qui visent à résister aux tentatives, faites par les victimes ou par le système d’exploitation, d’y mettre fin.
Cela se fait en enregistrant un récepteur de diffusion qui est conçu pour le redémarrer automatiquement chaque fois qu’il est sur le point d’être arrêté. De plus, les utilisateurs qui tentent de désinstaller l’application malveillante en accédant aux paramètres en sont empêchés en fermant l’écran du menu via son utilisation abusive des API d’accessibilité.
« L’exemple SpyNote est un logiciel espion qui enregistre et vole diverses informations, notamment les frappes au clavier, les journaux d’appels, les informations sur les applications installées, etc », a déclaré Tambe. « Il reste caché sur l’appareil de la victime, ce qui rend difficile sa détection. Cela rend également la désinstallation extrêmement délicate. »
« La victime n’a finalement plus que la possibilité d’effectuer une réinitialisation d’usine, perdant ainsi toutes les données dans le processus. »
La divulgation intervient alors que la société finlandaise de cybersécurité détaillé une fausse application Android qui se fait passer pour une mise à jour du système d’exploitation pour inciter les cibles à lui accorder des autorisations de services d’accessibilité et à exfiltrer les SMS et les données bancaires.