SpyNote: Android-Malware-Infektionen steigen nach Quellcode-Leak an

Seit über sechs Jahren sorgt die Android-Malware-Familie SpyNote für Ärger. Sie tarnte sich bereits als Netflix-App, spionierte Anwender im großen Stil aus und stahl Nutzerdaten von zigtausend Android-Usern. Jetzt gibt es einen neuen sprunghaften Anstieg an Aktivitäten. Das meldet das Online-Magazin Bleeping Computer und bezieht sich dabei auf eine Meldung der Sicherheitsspezialisten von ThreatFabric. Dort hatte man vor der datenstehlenden Android-Malware gewarnt, die seit einem Quellcode-Leak nun häufiger eingesetzt wird und sich daher zu einer größeren Bedrohung entwickelt.

ThreatFabric verzeichnete im letzten Quartal des Jahres 2022 einen plötzlichen Anstieg der Entdeckungen. Man bringt das in Verbindung mit der Malware CypherRat.

CypherRat kombiniert die Spionagefunktionen von SpyNote, wie den Fernzugriff, GPS-Ortung und Aktualisierungen von Gerätestatus und -aktivitäten, mit Banking-Trojaner-Funktionen, die sich als Bankinstitute ausgeben, um Kontodaten zu stehlen. CypherRat wurde von August 2021 bis Oktober 2022 voranging über private Telegram-Kanäle vertrieben. Dann wurde der Quellcode auf GitHub veröffentlicht. Seither nehmen die Angriffe mit SpyNote wieder zu. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing Die noch unbekannten Bedrohungsakteure schnappten sich den Code und starteten ihre eigenen Kampagnen. Im Visier standen renommierte Banken wie HSBC oder die Deutsche Bank. Parallel dazu tauchten Fake-Apps auf - dort tarnte sich die Malware zum Beispiel als WhatsApp oder Facebook-App.

Merkmale der SpyNote-Malware

Alle im Umlauf befindlichen SpyNote-Varianten fordern Zugriff auf Android an, um neue Anwendungen zu installieren, SMS-Nachrichten abzufangen (zur Umgehung der Zwei-Wege-Authentifizierung), Anrufe auszuspähen und Video- und Audioaufnahmen auf dem Gerät machen zu können.

Ebenso werden alle Informationen, die von SpyNote gesendet werden, verschleiert, um die Aktivität zu verbergen. ThreatFabric hat zwar nicht mitgeteilt, wie diese bösartigen Apps verbreitet werden. Man kann aber davon ausgehen, dass dies hauptsächlich über Phishing-Seiten, Android-App-Seiten von Drittanbietern und soziale Medien geschieht. Angesichts dessen wird Nutzern empfohlen, bei der Installation neuer Apps sehr vorsichtig zu sein, insbesondere wenn diese nicht direkt von Google Play kommen, und Anfragen zur Erteilung von Zugriffsberechtigungen für die Barrierefreiheit abzulehnen.

Siehe auch: Google, Android, Hacker, Security, Malware, Trojaner, Virus, Schadsoftware, Adware portal gda / Flickr