O trojan bancário para Android conhecido como SpyNote foi dissecado para revelar suas diversas características de coleta de informações.
Normalmente, é espalhado por campanhas de phishing via SMS, onde as cadeias de ataque envolvendo o spyware enganam vítimas potenciais, fazendo-as instalar o aplicativo ao clicar no link incorporado, de acordo com a F-Secure.
Além de solicitar permissões invasivas para acessar registros de chamadas, câmera, mensagens SMS e armazenamento externo, o SpyNote é conhecido por esconder sua presença na tela inicial do Android e na tela Recentes, na tentativa de dificultar a detecção.
"O aplicativo malicioso SpyNote pode ser lançado por meio de um gatilho externo", disse o pesquisador Amit Tambe da F-Secure em uma análise publicada na semana passada.
"Ao receber a intenção, o aplicativo de malware lança a atividade principal."
Mas, mais importante, ele busca permissões de acessibilidade, usando-as posteriormente para conceder a si mesmo permissões adicionais para gravar áudio e chamadas telefônicas, registrar teclas pressionadas e capturar capturas de tela do telefone via API do MediaProjection.
Um exame mais detalhado do malware revelou a presença do que são chamados serviços incansáveis que visam resistir a tentativas, feitas pela vítima ou pelo sistema operacional, de encerrá-lo.
Isso é conseguido registrando um receptor de transmissão projetado para reiniciá-lo automaticamente sempre que estiver prestes a ser desligado.
Além disso, usuários que tentam desinstalar o aplicativo malicioso navegando para Configurações são impedidos de fazê-lo fechando a tela do menu por meio de seu abuso das APIs de acessibilidade.
"A amostra do SpyNote é um spyware que registra e rouba uma variedade de informações, incluindo pressionamentos de teclas, registros de chamadas, informações sobre aplicativos instalados e assim por diante", disse Tambe.
"Ele permanece oculto no dispositivo da vítima, tornando difícil de ser notado.
Ele também torna a desinstalação extremamente complicada."
"A vítima acaba ficando apenas com a opção de realizar uma redefinição de fábrica, perdendo todos os dados, no processo."
A revelação acontece enquanto a empresa de segurança cibernética finlandesa detalhava um aplicativo Android falso que se disfarça como uma atualização do sistema operacional para atrair alvos para conceder a ele permissões de serviços de acessibilidade e extrair SMS e dados bancários.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...