Selon la société italienne de cybersécurité Cleafy, une campagne utilisant SpyNote a été détectée, ciblant les institutions financières en Europe depuis juin 2023.

Les experts en sécurité de F-Secure ont déclaré que SpyNote (également connu sous le nom de SpyMax) se propage souvent via des campagnes de phishing par SMS, incitant les victimes à installer l'application en cliquant sur un lien contenant un code malveillant.

En plus de demander l'accès aux journaux d'appels, à l'appareil photo, aux messages SMS et au stockage externe, SpyNote est connu pour cacher sa présence pour éviter d'être détecté. Selon l'analyse, le malware SpyNote peut être lancé via un programme externe.

Le point clé est que SpyNote recherche des autorisations, puis les exploite pour s'accorder des autorisations supplémentaires pour enregistrer l'audio et les appels téléphoniques, les frappes au clavier et prendre des captures d'écran du téléphone. En creusant plus profondément, les chercheurs ont déclaré que SpyNote contient une fonctionnalité permettant de contrer les tentatives de suppression de l'application malveillante.

Il le fait en enregistrant une classe de récepteur de diffusion, qui est conçue pour redémarrer elle-même chaque fois que le programme est arrêté. Les tentatives de désinstallation d'applications malveillantes en accédant aux Paramètres seront empêchées en fermant l'écran à l'aide des API d'accessibilité.

F-Secure a déclaré que la difficulté causée par SpyNote sur la machine laisse aux victimes la seule option restante : effectuer une réinitialisation d'usine, ce qui entraînera la perte de toutes les données. L'annonce intervient alors que la société finlandaise de cybersécurité détaille une application Android qui se fait passer pour une mise à jour du système d'exploitation pour inciter les victimes à accorder l'accès à des services d'accessibilité, qui peuvent ensuite voler des données bancaires et SMS.