Una versión actualizada del malware SpyNote Android se está implementando a altas velocidades, afirman los investigadores.
SpyNote (también conocido como SpyMax) era un malware para Android cuya última versión, llamada CypherRat, se distribuía exclusivamente a través de canales privados de Telegram, por un precio. La herramienta ofrecía una amplia variedad de funciones, incluido el acceso remoto, el seguimiento por GPS y el estado del dispositivo y las actualizaciones de actividad, pero también el robo de cuentas para aplicaciones bancarias.
Los expertos han atribuido el aumento repentino a que el malware se lanzó de forma gratuita en GitHub y fue recogido por innumerables actores de amenazas, que ahora apuntan a bancos como HSBC y Deutsche Bank, además de lanzar WhatsApp, Facebook y otras aplicaciones falsas en la tienda de Google Play.
amenaza creciente
Se pensaba que los autores originales vendían el malware desde agosto de 2021 hasta octubre de 2022, pero después de varios incidentes de estafa, en los que los estafadores se hicieron pasar por el proyecto y vendieron programas falsos, los autores publicaron el código fuente en GitHub.
Posteriormente, se podría decir que el código fuente fue recogido por innumerables actores de amenazas, lo que resultó en un aumento en las infecciones. Los analistas de ThreatFabric, que han estado vigilando a CypherRat, creen que las infecciones podrían crecer aún más en las próximas semanas y meses.
Además de las características mencionadas anteriormente, ThreatFabric descubrió que CypherRat es capaz de usar la API de la cámara para grabar y enviar videos desde los puntos finales comprometidos, compartir datos de seguimiento de ubicación de red y GPS, robar credenciales de cuentas de Facebook y Google, extraer códigos de Google Authenticator y registro de teclas.
Para estar operativo, SpyNote debe tener acceso al Servicio de accesibilidad de Android, que sigue siendo la mejor manera de saber si una aplicación es maliciosa o no.
Los investigadores aún tienen que determinar los canales de distribución exactos, pero lo más probable es que CypherRat se esté propagando a través de sitios de phishing y repositorios de aplicaciones de Android de terceros.
Vía: BleepingComputer (se abre en una pestaña nueva)