Der SpyNote-Trojaner auf Android kann Anrufe aufzeichnen

Laut dem italienischen Cybersicherheitsunternehmen Cleafy wurde eine Kampagne mit SpyNote entdeckt, die seit Juni 2023 auf Finanzinstitute in Europa abzielte.

Sicherheitsexperten von F-Secure sagten, SpyNote (auch bekannt als SpyMax) werde häufig über SMS-Phishing-Kampagnen verbreitet, wobei die Opfer dazu verleitet würden, die Anwendung zu installieren, indem sie auf einen Link mit schädlichem Code klicken.

SpyNote fordert nicht nur Zugriff auf Anrufprotokolle, Kamera, SMS-Nachrichten und externen Speicher an, sondern ist auch dafür bekannt, seine Präsenz zu verbergen, um nicht entdeckt zu werden. Laut der Analyse kann die SpyNote-Malware über ein externes Programm gestartet werden.

Entscheidend ist, dass SpyNote nach Berechtigungen sucht und diese nutzt, um sich zusätzliche Berechtigungen zum Aufzeichnen von Audio- und Telefongesprächen, Tastatureingaben und zum Erstellen von Screenshots des Telefons zu erteilen. Weitere Analysen ergaben, dass SpyNote über Funktionen verfügt, die Versuche zum Beenden der schädlichen App verhindern.

Dies geschieht durch die Registrierung einer Broadcast-Empfängerklasse, die sich beim Beenden des Programms neu startet. Versuche, die schädliche App über die Einstellungen zu deinstallieren, werden durch das Schließen des Bildschirms mithilfe von Barrierefreiheits-APIs verhindert.

F-Secure erklärte, dass die Probleme, die SpyNote auf dem Gerät verursacht, dem Opfer nur die Möglichkeit bieten, einen Werksreset durchzuführen, wodurch alle Daten gelöscht werden. Das finnische Cybersicherheitsunternehmen beschrieb eine Android-App, die sich als Betriebssystem-Update tarnt und Opfer dazu verleitet, Zugriff auf Barrierefreiheitsdienste zu gewähren, die dann Bank- und SMS-Daten stehlen können.