Der SpyNote-Trojaner auf Android kann Anrufe aufzeichnen

Laut dem italienischen Cybersicherheitsunternehmen Cleafy wurde eine Kampagne mit SpyNote entdeckt, die seit Juni 2023 auf Finanzinstitute in Europa abzielte.

Sicherheitsexperten von F-Secure sagten, SpyNote (auch bekannt als SpyMax) werde häufig durch SMS-Phishing-Kampagnen verbreitet, wobei die Opfer dazu verleitet würden, die Anwendung zu installieren, indem sie auf einen Link mit eingebettetem Schadcode klicken.

SpyNote verlangt nicht nur Zugriff auf Anrufprotokolle, Kamera, SMS-Nachrichten und externen Speicher, sondern ist auch dafür berüchtigt, seine Präsenz zu verbergen, um einer Entdeckung zu entgehen. Der Analyse zufolge kann die SpyNote-Malware über ein externes Programm gestartet werden.

Der entscheidende Punkt ist, dass SpyNote nach Berechtigungen sucht und diese dann nutzt, um sich selbst zusätzliche Berechtigungen zum Aufzeichnen von Audio- und Telefonanrufen sowie Tastatureingaben und zum Erstellen von Screenshots des Telefons zu erteilen. Bei genauerem Hinsehen stellten die Forscher fest, dass SpyNote eine Funktion enthält, die Versuche abwehrt, die bösartige Anwendung zu beenden.

Dies geschieht durch die Registrierung einer Broadcast-Empfängerklasse, die so konzipiert ist, dass sie sich bei jedem Herunterfahren des Programms selbst neu startet. Versuche, schädliche Apps über die Einstellungen zu deinstallieren, werden verhindert, indem der Bildschirm mithilfe von Eingabehilfe-APIs geschlossen wird.

Laut F-Secure bleibt den Opfern aufgrund der von SpyNote verursachten Probleme auf dem Rechner nur die Möglichkeit, einen Werksreset durchzuführen, was zum Verlust aller Daten führt. Die Ankündigung erfolgt, während das finnische Cybersicherheitsunternehmen eine Android-App beschreibt, die sich als Betriebssystem-Update tarnt, um Opfer dazu zu verleiten, Zugriff auf Eingabehilfedienste zu gewähren, die dann Bank- und SMS-Daten stehlen können.