Des clients de certaines banques européennes sont victimes d’un cheval de Troie bancaire Android appelé SpyNote, faisant partie d’une campagne active identifiée en juin et juillet 2023.
La société italienne de cybersécurité Cleafy a publié une analyse technique, déclarant que le logiciel espion est propagé via des campagnes de phishing par e-mail ou smishing (SMS). Les activités frauduleuses sont réalisées en utilisant un mélange de capacités de cheval de Troie d’accès à distance (RAT) et d’attaques de vishing (phishing par téléphone).
SpyNote, également appelé SpyMax, possède des similitudes avec d’autres chevaux de Troie bancaires sur la plate-forme Android. Il nécessite les autorisations d’accessibilité d’Android pour se donner d’autres permissions essentielles et collecter des données confidentielles à partir d’appareils compromis. Ses fonctions doubles en tant que logiciel espion et outil de fraude bancaire rendent cette souche de logiciel malveillant plutôt dangereuse.
L’attaque commence par un faux message SMS encourageant les utilisateurs à installer une application bancaire en cliquant sur un lien joint, renvoyant la victime à l’application légitime TeamViewer QuickSupport sur le Google Play Store.
Plusieurs groupes criminels ont utilisé TeamViewer pour réaliser des fraudes à travers des attaques d’ingénierie sociale. En particulier, l’attaquant se fait passer pour des opérateurs bancaires, appelant la victime et effectuant des transactions frauduleuses directement sur leur appareil.
TeamViewer sert de canal pour obtenir un accès à distance au téléphone de la victime et installer secrètement le logiciel malveillant. SpyNote, puis récolte diverses informations, y compris les données de géolocalisation, les frappes au clavier, les enregistrements d’écran et les messages SMS, pour contourner l’authentification à deux facteurs (2FA) basée sur les SMS.
