Theo công ty an ninh mạng Cleafy của Ý, một chiến dịch sử dụng SpyNote đã được phát hiện, nhắm mục tiêu vào các tổ chức tài chính ở châu Âu từ tháng 6.2023.
Các chuyên gia bảo mật đến từ F-Secure cho biết SpyNote (còn có tên SpyMax) thường lây lan qua những chiến dịch lừa đảo từ SMS, lừa nạn nhân cài đặt ứng dụng bằng cách nhấp vào liên kết được nhúng mã độc.
Ngoài yêu cầu quyền truy cập nhật ký cuộc gọi, máy ảnh, tin nhắn SMS và bộ nhớ ngoài, SpyNote nổi tiếng với việc che giấu sự hiện diện nhằm tránh bị phát hiện. Theo phân tích, phần mềm độc hại SpyNote có thể được khởi chạy thông qua một chương trình từ bên ngoài.
Khách hàng của các ngân hàng tại châu Âu đang bị SpyNote nhắm đến
Điểm quan trọng là SpyNote tìm kiếm các quyền truy cập, sau đó tận dụng chúng để tự cấp các quyền bổ sung nhằm ghi lại âm thanh và cuộc gọi điện thoại, các lần nhấn phím cũng như chụp ảnh màn hình điện thoại. Phân tích sâu hơn, các nhà nghiên cứu cho biết SpyNote có chứa chức năng chống lại các nỗ lực nhằm chấm dứt ứng dụng độc hại này.
Nó thực hiện bằng cách đăng ký lớp nhận thông tin broadcast, được thiết kế để tự khởi động lại bất cứ khi nào chương trình bị tắt đi. Những nỗ lực gỡ cài đặt ứng dụng độc hại bằng cách vào Cài đặt sẽ bị ngăn chặn bằng cách đóng màn hình nhờ dùng các API trợ năng.
F-Secure cho biết sự khó khăn do SpyNote gây ra trên máy khiến nạn nhân cuối cùng chỉ còn lại tùy chọn thực hiện khôi phục cài đặt gốc, thao tác sẽ làm mất tất cả dữ liệu. Công bố này được công ty an ninh mạng Phần Lan trình bày chi tiết về một ứng dụng Android giả dạng bản cập nhật hệ điều hành để dụ nạn nhân cấp quyền truy cập dịch vụ trợ năng, từ đó có thể lấy cắp dữ liệu ngân hàng và SMS.
