SpyNote è uno spyware per Android finalizzato al furto dati e al controllo remoto del dispositivo. Da qualche mese è sempre più attivo in Italia
SpyNote: che cosa sappiamo
SpyNote ha iniziato la propria attività nel 2016, subendo un costante aggiornamento di funzionalità e tecnologie. Oggi è alla terza versione.
E’ venduto come malware as a service (MaaS) principalmente su Telegram, ma non solo. Nato come trojan bancario ha subito l’aggiunta di svariate funzionalità comprese quelle da remote access trojan dopo che il suo codice è finito esposto su GitHub.
Ad ora quindi, oltre alle tradizionali funzionalità da trojan bancario e spyware può garantire all’attaccante il controllo remoto del dispositivo.
Le funzionalità dannose
Per prima cosa, SpyNote è noto per le capacità di nascondere la propria presenza dalla schermata principale di Android, così come dalla schermata che elenca le app usate più recentemente. Quindi richiede permissioni molto invasive per accedere ai log delle chiamate, alla fotocamera, ai messaggi SMS e agli storage esterni ecc…
Ecco un elenco delle funzionalità dannose:
tramite i servizi di accessibilità ottiene permissioni ulteriori e la capacità di simulare tap e gesti sullo schermo come se fosse un utente umano ad eseguirli.
Sempre grazie i servizi di accessibilità può intercettare i codici di autenticazione 2FA.
Esegue verifiche di specifiche keyword per verificare la presenza di sandbox o ambienti di test. Se individua ambienti atti allo studio del suo funzionamento, si mette in standby.
Le keyword ricercate da SpyNote
Esegue attacchi di tipo overlay. Quando gli utenti aprono le app bancarie legittime. SpyNote sovrappone delle schermate fake tramite le quali sottrae i dati e le credenziali inserite. Può effettuare registrazioni tramite la fotocamera, acquisire schermate, registrare telefonate, intercettare SMS. Ha funzionalità che gli consentono di rilevare la posizione GPS del dispositivo e lo fa aggiiornandola costantemente.
La localizzazione del dispositivo
SpyNote è, ovviamente, anche un keylogger. Raccoglie le battiture e le codifica in base64, quindi le conserva entro un file txt chiamato “/Config/sys/apps/log/log-yyyy–MM–dd.txt“. Questo file è poi inviato al server C&C del malware
La funzionalità di keylogging di SpyNote
Come si diffonde
SpyNote, come detto, è sempre più attivo in Italia. Il CERT, nel solo 2023, ha individuato più campagne di diffusione di SpyNote. Ad Ottobre ad esempio, i ricercatori di sicurezza hanno segnalato una campagna di diffusione, ovviamente via SMS, che ha sfruttato il tema IT-Alert, il sistema di allarme pubblico implementato in Italia.
NOTA BENE: non esiste alcuna app IT-Alert. Ogni app che sfrutti tale denominazione è fake.
L’SMS truffaldino conteneva il link che conduceva ad un dominio di recente registrazione nel quale erano visibili intestazioni relative alla Presidenza del Consiglio dei Ministri.
In un secondo caso invece il dominio falso riproduceva le fattezze del sito web legittimo di un importante istituto bancario italiano.
Immagina di poter verificare un pc, un tablet o uno smartphone e certificare se è intercettato o compromesso con un software spia oppure no. Tutto da remoto!
