La cepa de malware es notable por su doble función como software espía y fraude bancario
Varios clientes europeos de diferentes bancos están siendo atacados por un troyano bancario para Android llamado SpyNote como parte de una agresiva campaña detectada en junio y julio de 2023.
"El spyware se distribuye a través de campañas de phishing o smishing por correo electrónico y las actividades fraudulentas se ejecutan con una combinación de capacidades de troyano de acceso remoto (RAT)troyano de acceso remoto (RAT)troyano de acceso remoto (RAT) y ataque vishing", dijo en un análisis técnico publicado el lunes la firma italiana de seguridad cibernética Cleafy.
SpyNote, también llamado SpyMax, es similar a otros troyanos bancarios de Android en que requiere los permisos de accesibilidad de Android para otorgarse otros permisos necesarios y recopilar datos confidenciales de los dispositivos infectados. Lo que hace que la cepa de malware sea notable es su doble función como software espía y fraude bancario.
Las cadenas de ataque comienzan con un falso mensaje SMS que insta a los usuarios a instalar una aplicación bancaria haciendo clic en el enlace adjunto, redirigiendo a la víctima a la aplicación legítima TeamViewer QuickSupport disponible en Google Play Store.
"TeamViewer ha sido adoptado por varios actores de amenazas para ejecutar operaciones de fraude a través de ataques de ingeniería social", dijo el investigador de seguridad Francesco Iubatti. "En particular, el atacante llama a la víctima, haciéndose pasar por operadores bancarios y realiza transacciones fraudulentas directamente en el dispositivo de la víctima".
La idea es utilizar TeamViewer como conducto para obtener acceso remoto al teléfono de la víctima e instalar sigilosamente el malware. Los diversos tipos de información recopilados por SpyNote incluyen datos de geolocalización, pulsaciones de teclas, grabaciones de pantalla y mensajes SMS para evitar la autenticación de dos factores basada en SMS (2FA).
La divulgación se produce cuando la operación de pirateo a sueldo conocida como Bahamut se ha vinculado a una nueva campaña dirigida a personas en las regiones de Medio Oriente y el sur de Asia con el objetivo de instalar una aplicación de chat ficticia llamada SafeChat que oculta un malware de Android denominado CoverIm.
Entregada a las víctimas a través de WhatsApp, la aplicación alberga características idénticas a las de SpyNote, solicitando permisos de accesibilidad y otras para recopilar registros de llamadas, contactos, archivos, ubicación, mensajes SMS, así como instalar aplicaciones adicionales y robar datos de Facebook Messenger, imo, Signal, Telegram, Viber y WhatsApp.
Cyfirma, que descubrió la última actividad, dijo que las tácticas empleadas por este actor de amenazas se superponen con otro actor de estado-nación conocido como DoNot Team, que se observó recientemente utilizando aplicaciones de Android no autorizadas publicadas en Play Store para infectar a personas ubicadas en Pakistán.
Si bien no están claros los detalles exactos del aspecto de ingeniería social del ataque, se sabe que Bahamut confía en personas ficticias en Facebook e Instagram, haciéndose pasar por reclutadores de tecnología en grandes empresas tecnológicas, periodistas, estudiantes y activistas para engañar a los involuntarios usuarios para que descarguen malware en sus dispositivos.
"Bahamut usó una variedad de tácticas para alojar y distribuir malware, incluida la ejecución de una red de dominios maliciosos que pretendían ofrecer chat seguro, intercambio de archivos, servicios de conectividad o aplicaciones de noticias", reveló Meta en mayo de 2023. "Algunos de ellos falsificaron los dominios de los medios de comunicación regionales, organizaciones políticas o tiendas de aplicaciones legítimas, probablemente para hacer que sus enlaces parecieran más legítimos".
