El troyano bancario de Android conocido como SpyNote ha sido diseccionado para revelar sus diversas funciones de recopilación de información, graba audio y llamadas telefónicas.
Por lo general, se propagan a través de campañas de phishing por SMS, las cadenas de ataque que involucran el spyware engañan a las víctimas potenciales para que instalen la aplicación haciendo clic en el enlace incrustado.
Además de solicitar permisos invasivos para acceder a los registros de llamadas, la cámara, los mensajes SMS y el almacenamiento externo, SpyNote es conocido por ocultar su presencia en la pantalla de inicio de Android y en la pantalla de Recientes en un intento por dificultar la detección de Evasión.
“La aplicación de malware SpyNote se puede iniciar a través de un trigger externo”, dijo el investigador de F-Secure, Amit Tambe, en un análisis publicado la semana pasada. “Al recibir la intención, la aplicación de malware inicia la actividad principal”.
Pero lo más importante es que busca permisos de accesibilidad, aprovechándolos posteriormente para otorgarse permisos adicionales para grabar audio y llamadas telefónicas, registrar pulsaciones de teclas, así como tomar capturas de pantalla del teléfono a través de la API MediaProjection.
Un examen más detallado del malware ha revelado la presencia de lo que se denominan servicios intransigentes que tienen como objetivo resistir los intentos, ya sea de las víctimas o del sistema operativo, de eliminarlo.
Esto se logra registrando un receptor de transmisión que está diseñado para reiniciarlo automáticamente cada vez que está a punto de apagarse. Además, los usuarios que intentan desinstalar la aplicación maliciosa navegando a Configuración no pueden hacerlo cerrando la pantalla del menú a través de su abuso de las API de accesibilidad.
“La muestra de SpyNote es un software espía que registra y roba una variedad de información, incluidas las pulsaciones de teclas, los registros de llamadas, la información sobre las aplicaciones instaladas, etc.”, dijo Tambe. “Permanece oculto en el dispositivo de la víctima, lo que dificulta su percepción. También hace que la desinstalación sea extremadamente complicada”.
“Al final, a la víctima solo le queda la opción de realizar un restablecimiento de fábrica, perdiendo así todos los datos en el proceso”.
La revelación se produce cuando la firma finlandesa de ciberseguridad detalló una aplicación falsa para Android que se hace pasar por una actualización del sistema operativo para atraer a los objetivos para que le otorguen permisos de servicios de accesibilidad y exfiltren SMS y datos bancarios.
