Laut einem Bericht eines Cybersicherheitsunternehmens F-sicherdiese Malware wird hauptsächlich über SMS-Phishing-Kampagnen verbreitet. Der Bericht stellt dies auch festSpyNote nutzt Angriffsketten, die potenzielle Opfer dazu verleiten, die App zu installieren, indem sie sie auffordern, auf einen eingebetteten Link zu klicken.
Abgesehen von der Suche nach Berechtigungen für Anrufprotokolle, Kameras, SMS-Nachrichten und externen Speicherzugriff kann sich SpyNote auch als gefährlich erweisen, da es seine Präsenz sowohl auf dem Android-Startbildschirm als auch im Android-Startbildschirm verbergen kann Neueste Bildschirm. Dadurch wird es für Systeme schwieriger, die Malware zu erkennen.
Wie Hacker diesen Android-Trojaner nutzen
In einer veröffentlichten Analyse haben F-Secure-Forscher Amit Tambe behauptet: „Die SpyNote-Malware-App kann über einen externen Auslöser gestartet werden. Nach Erhalt der Absicht startet die Malware-App die Hauptaktivität.“
Die Malware fragt hauptsächlich nach Zugriffsberechtigungen und missbraucht diese dann, um sich zusätzliche Berechtigungen zum Aufzeichnen von Audio- und Telefongesprächen zu erteilen. Tastatureingaben protokollierensowie Screenshots des Telefons über MediaProjection aufnehmen API.
Eine genauere Untersuchung der Malware ergab auch das Vorhandensein eingefleischter Dienste. Diese Dienste zielen darauf ab, den Versuchen der Opfer oder des Betriebssystems, den Dienst zu beenden, standzuhalten.
Dies wird durch die Registrierung eines Broadcast-Receivers erreicht, der die Malware automatisch neu startet, sobald sie abgeschaltet werden soll. Darüber hinaus werden Benutzer, die versuchen, die schädliche App zu deinstallieren, indem sie zu „Einstellungen“ navigieren, daran gehindert, dies zu tun, da sie aufgrund des Missbrauchs der Barrierefreiheits-APIs ständig den Menübildschirm schließt.
Tambe bemerkt außerdem: „Beim SpyNote-Beispiel handelt es sich um Spyware, die eine Vielzahl von Informationen protokolliert und stiehlt, darunter Tastenanschläge, Anrufprotokolle, Informationen zu installierten Anwendungen usw. Es bleibt auf dem Gerät des Opfers verborgen, sodass es schwierig ist, es zu bemerken. Außerdem wird die Deinstallation dadurch äußerst schwierig. Dem Opfer bleibt letztlich nur die Möglichkeit, einen Werksreset durchzuführen und dabei alle Daten zu verlieren.“