Une version mise à jour du malware SpyNote Android est déployée à grande vitesse, ont affirmé des chercheurs.
SpyNote (également connu sous le nom de SpyMax) était un malware Android dont la dernière version, appelée CypherRat, était distribuée exclusivement via des canaux privés Telegram, moyennant un certain prix. L’outil offrait une grande variété de fonctionnalités, notamment l’accès à distance, le suivi GPS et les mises à jour de l’état et de l’activité de l’appareil, mais également le vol de compte pour les applications bancaires.
Les experts ont attribué le pic soudain au malware publié gratuitement sur GitHub et repris par d’innombrables acteurs de la menace, qui ciblent désormais des banques telles que HSBC et Deutsche Bank, ainsi que la publication de faux WhatsApp, Facebook et d’autres applications sur la boutique Google Play.
Menace croissante
On pensait que les auteurs originaux vendaient le logiciel malveillant d’août 2021 à octobre 2022, mais après un certain nombre d’incidents d’escroquerie, où des fraudeurs se sont fait passer pour le projet et ont vendu de faux programmes, les auteurs ont publié le code source sur GitHub.
Par la suite, le code source a sans doute été récupéré par d’innombrables acteurs de la menace, ce qui a entraîné une flambée des infections. Les analystes de ThreatFabric, qui surveillent CypherRat, pensent que les infections pourraient encore augmenter dans les semaines et les mois à venir.
Outre les fonctionnalités mentionnées ci-dessus, ThreatFabric a découvert que CypherRat était capable d’utiliser l’API de la caméra pour enregistrer et envoyer des vidéos à partir des points de terminaison compromis, partager les données de localisation GPS et réseau, voler les informations d’identification des comptes Facebook et Google, extraire les codes Google Authenticator et enregistrer les frappes.
Pour devenir opérationnel, SpyNote doit avoir accès au service d’accessibilité Android, qui reste le meilleur moyen de savoir si une application est malveillante ou non.
Les chercheurs n’ont pas encore déterminé les canaux de distribution exacts, mais il est fort probable que CypherRat se propage via des sites de phishing et des référentiels d’applications Android tiers.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)