Über Phishing-E-Mails erfolgt die Verbreitung der Malware. Der Quellcode von SpyNote ist seit Oktober 2022 frei verfügbar. Die Aktivitäten von SpyNote nehmen seitdem deutlich zu.
Forscher von ThreatFabric, einer Cybersicherheitsfirma, weisen auf eine merkliche Zunahme der Aktivitäten der Android-Spyware SpyNote hin, nachdem im Oktober 2022 deren Quellcode veröffentlicht wurde. Die jüngste Variante von SpyNote verfügt darüber hinaus auch über Funktionen, um Banking-Anwendungen auszuspähen.
Die jüngste Variante wurde erstmals Ende 2021 entdeckt. Unter dem Namen CypherRat wird sie nun Cyberkriminellen angeboten.SpyNote gibt sich seit Ende 2022 als legitime Banking-App von Finanzunternehmen wie HSBC, Deutsche Bank und Kotak Bank aus. Zudem sind Versionen von Facebook, Whatsapp und Google Play im Umlauf, die die Malware enthalten. Die gefälschten Anwendungen werden üblicherweise in Phishing-Kampagnen verbreitet. Potenzielle Opfer werden dazu angeregt, manipulierte Websites zu besuchen, über die dann die gefälschten Apps heruntergeladen werden können. Die Betrugsmasche scheint laut ThreatFabric zu funktionieren.
Lasha Khasaia, Android Malware Reverse Engineer bei ThreatFabric sagt: „Die Menge der Samples, die wir seit Oktober 2022 in der Größenordnung von Hunderten pro Woche sehen, deutet darauf hin, dass die Akteure einen gewissen Erfolg mit dieser Operation haben.“ Die Malware fordert nach der Installation die Rechte für die Bedienungshilfen und den Geräte-Administrator ein. SpyNote erhält somit die Möglichkeit, ein Gerät im Hintergrund zu kontrollieren und die Deinstallation der gefälschten App zu erschweren. SpyNote stiehlt wiederum Bankdaten über gefälschte Anmeldeseiten für Online-Banking.
Die Eingaben wie Nutzernamen und Passwort werden von einem Keylogger aufgezeichnet. Über die Bedienungshilfen ist SpyNote außerdem in der Lage, Benachrichtigungen für TAN-Nummern abzufangen. SpyNote kann zusätzlich Anrufe und Audioaufnahmen ausspähen, weitere Apps installieren und auch den Standort eines Geräts verfolgen. Den Hintermännern ist es bisher nicht gelungen, SpyNote in einen offiziellen App-Marktplatz wie Google Play einzuschleusen. Auf unerwartete Nachrichten ihrer Bank sollen Nutzer zudem besonders vorsichtig reagieren. Sollte bei solchen Nachrichten nicht eindeutig ermittelt werden können, ob sie echt sind oder nicht, sollte man sich auf gar keinen Fall über den in der Nachricht enthaltenen Link bei seiner Bank anmelden.