イタリアのサイバーセキュリティ企業Cleafyによると、2023年6月以降、ヨーロッパの金融機関を標的としたSpyNoteを使った攻撃キャンペーンが検出されている。

F-Secure のセキュリティ専門家によると、SpyNote (別名 SpyMax) は SMS フィッシング キャンペーンを通じて拡散されることが多く、悪意のあるコードが埋め込まれたリンクをクリックすることで被害者を騙してアプリケーションをインストールさせようとするという。

SpyNote は、通話記録、カメラ、SMS メッセージ、外部ストレージへのアクセスを要求するだけでなく、検出を避けるためにその存在を隠すことでも有名です。分析によると、SpyNote マルウェアは外部プログラムを通じて起動される可能性があります。

重要な点は、SpyNote が権限を探し、それを利用して音声や電話の通話、キーストロークを記録したり、電話のスクリーンショットを撮ったりするための追加の権限を自身に付与することです。さらに詳しく調査したところ、研究者らは、SpyNote には悪意のあるアプリケーションを終了させようとする試みに対抗する機能が含まれていると述べた。

これは、プログラムがシャットダウンされるたびに自動的に再起動するように設計されたブロードキャスト レシーバー クラスを登録することによって行われます。アクセシビリティ API を使用して画面を閉じることにより、[設定] に移動して悪意のあるアプリをアンインストールしようとする試みが防止されます。

F-Secure 社は、SpyNote がマシンにもたらす困難により、被害者には工場出荷時設定へのリセットしか選択肢がなく、その結果すべてのデータが失われることになると述べた。この発表は、オペレーティングシステムのアップデートを装い、ユーザー補助サービスへのアクセスを許可させ、銀行やSMSのデータを盗むAndroidアプリの詳細をフィンランドのサイバーセキュリティ企業が明らかにしたことを受けて行われた。