SpyNote: Trojan Android que grava áudios e chamadas telefônicas
17 de Outubro de 2023

O trojan bancário para Android conhecido como SpyNote foi dissecado para revelar suas diversas características de coleta de informações.

Normalmente, é espalhado por campanhas de phishing via SMS, onde as cadeias de ataque envolvendo o spyware enganam vítimas potenciais, fazendo-as instalar o aplicativo ao clicar no link incorporado, de acordo com a F-Secure.

Além de solicitar permissões invasivas para acessar registros de chamadas, câmera, mensagens SMS e armazenamento externo, o SpyNote é conhecido por esconder sua presença na tela inicial do Android e na tela Recentes, na tentativa de dificultar a detecção.

"O aplicativo malicioso SpyNote pode ser lançado por meio de um gatilho externo", disse o pesquisador Amit Tambe da F-Secure em uma análise publicada na semana passada.

"Ao receber a intenção, o aplicativo de malware lança a atividade principal."

Mas, mais importante, ele busca permissões de acessibilidade, usando-as posteriormente para conceder a si mesmo permissões adicionais para gravar áudio e chamadas telefônicas, registrar teclas pressionadas e capturar capturas de tela do telefone via API do MediaProjection.

Um exame mais detalhado do malware revelou a presença do que são chamados serviços incansáveis que visam resistir a tentativas, feitas pela vítima ou pelo sistema operacional, de encerrá-lo.

Isso é conseguido registrando um receptor de transmissão projetado para reiniciá-lo automaticamente sempre que estiver prestes a ser desligado.

Além disso, usuários que tentam desinstalar o aplicativo malicioso navegando para Configurações são impedidos de fazê-lo fechando a tela do menu por meio de seu abuso das APIs de acessibilidade.

"A amostra do SpyNote é um spyware que registra e rouba uma variedade de informações, incluindo pressionamentos de teclas, registros de chamadas, informações sobre aplicativos instalados e assim por diante", disse Tambe.

"Ele permanece oculto no dispositivo da vítima, tornando difícil de ser notado.

Ele também torna a desinstalação extremamente complicada."

"A vítima acaba ficando apenas com a opção de realizar uma redefinição de fábrica, perdendo todos os dados, no processo."

A revelação acontece enquanto a empresa de segurança cibernética finlandesa detalhava um aplicativo Android falso que se disfarça como uma atualização do sistema operacional para atrair alvos para conceder a ele permissões de serviços de acessibilidade e extrair SMS e dados bancários.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...