Les institutions financières sont ciblées par une nouvelle version de malware Android appelée SpyNote au moins depuis octobre 2022 qui combine à la fois les caractéristiques des logiciels espions et des chevaux de Troie bancaires.

« La raison de cette augmentation est que le développeur du logiciel espion, qui le vendait auparavant à d’autres acteurs, a rendu public le code source », a déclaré ThreatFabric dans un rapport partagé avec breachtrace. « Cela a aidé d’autres acteurs [à] développer et distribuer les logiciels espions, ciblant souvent également les institutions bancaires. »

Certaines des institutions notables qui sont usurpées par le malware incluent Deutsche Bank, HSBC U.K., Kotak Mahindra Bank et Nubank.

SpyNote (alias SpyMax) est riche en fonctionnalités et est livré avec une pléthore de fonctionnalités qui lui permettent d’installer arbitrairement ; recueillir des messages SMS, des appels, des vidéos et des enregistrements audio ; suivre les emplacements GPS ; et même entraver les efforts de désinstallation de l’application.

Il suit également le mode opératoire d’autres logiciels malveillants bancaires en demandant des autorisations aux services d’accessibilité pour extraire les codes d’authentification à deux facteurs (2FA) de Google Authenticator et enregistrer les frappes au clavier pour siphonner les identifiants bancaires.

De plus, SpyNote intègre des fonctionnalités pour piller les mots de passe Facebook et Gmail ainsi que pour capturer le contenu de l’écran en tirant parti de l’API MediaProjection d’Android.

La société de sécurité néerlandaise a déclaré que la version la plus récente de SpyNote (appelée SpyNote.C) est la première variante à frapper les applications bancaires ainsi que d’autres applications bien connues comme Facebook et WhatsApp.

Il est également connu pour se faire passer pour le service officiel Google Play Store et d’autres applications génériques couvrant les catégories de fonds d’écran, de productivité et de jeux. Une liste de certains des artefacts SpyNote, qui sont principalement livrés par des attaques de smishing, est la suivante –

  • Bank of America Confirmation (yps.eton.application)
  • BurlaNubank (com.appser.verapp)
  • Conversations_ (com.appser.verapp )
  • Current Activity (com.willme.topactivity)
  • Deutsche Bank Mobile (com.reporting.efficiency)
  • HSBC UK Mobile Banking (com.employ.mb)
  • Kotak Bank (splash.app.main)
  • Virtual SimCard (cobi0jbpm.apvy8vjjvpser.verapchvvhbjbjq)

Cependant, la disponibilité open source de CypherRat en octobre 2022 a entraîné une augmentation spectaculaire du nombre d’échantillons détectés dans la nature, ce qui suggère que plusieurs groupes criminels cooptent le malware dans leurs propres campagnes.

ThreatFabric a en outre noté que l’auteur original a depuis commencé à travailler sur un nouveau projet de logiciel espion nommé CraxsRat, qui devrait être proposé en tant qu’application payante avec des fonctionnalités similaires.

« Ce développement n’est pas aussi courant au sein de l’écosystème des logiciels espions Android, mais il est extrêmement dangereux et montre le début potentiel d’une nouvelle tendance, qui verra une disparition progressive de la distinction entre les logiciels espions et les logiciels malveillants bancaires, en raison de la puissance que l’abus de services d’accessibilité donne aux criminels », a déclaré la société.

Les résultats surviennent alors qu’un groupe de chercheurs a démontré une nouvelle attaque contre les appareils Android appelée EarSpy, qui donne accès aux conversations audio, aux emplacements intérieurs et aux entrées d’écran tactile en exploitant les capteurs de mouvement et le haut-parleur intégrés des smartphones comme canal latéral.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *