SpyNote, il trojan RAT ora ruba anche criptovalute

I ricercatori di FortiGuard hanno scoperto che gli sviluppatori di SpyNote, il trojan Android di accesso remoto (RAT), avrebbero aggiunto funzioni anti-analisi e relative al furto di criptovalute al malware, prendendo di mira principalmente gli utenti dotati di portafogli crittografici legittimi come l’APK Imtoken, un portafoglio crittografico che consente di archiviare criptomonete e token digitali e anche di effettuare transazioni e investimenti.

Il 1 ° febbraio abbiamo trovato un campione dannoso che si spacciava per un portafoglio crittografico legittimo che in realtà includeva SpyNote RAT con diverse aggiunte interessanti relative all’anti-analisi e alle criptovalute.”, si legge nel rapporto FortiGuard Labs.

Fonte FortiGuard

SpyNote un malware in evoluzione

Documentato per la prima volta nel 2016 da Unit 42 di Palo Alto, SpyNote nel corso degli anni ha subito diverse evoluzioni e soprattutto dopo il rilascio del suo codice sorgente su GitHub è stato aggiornato aggiungendo alle sue tradizionali capacità di trojan bancario anche quelle di spyware ed ora anche quelle per rubare criptovalute.

Solitamente viene propinato dietro false app popolari di messagistica, utility varie e note banche.

Le nuove funzionalità

In pratica il codice malware presenta delle funzioni che sfruttano l’API di accessibilità per compilare automaticamente un modulo, memorizzando l’indirizzo e l’importo del portafoglio target sostituendolo con l’indirizzo del portafoglio crittografico dell’attaccante. Le informazioni vengono quindi inviate a un server remoto presidiato.

Fonte FortiGuard

Oltre alle iniezioni nei portafogli crittografici, il campione malware rilevato presenterebbe anche una tecnica anti-analisi che consiste nel produrre molti errori durante la decompressione standard vanificando le analisi automatizzate eventualmente condotte sul campione, perché le directory classes.dex e AndroidManifest.xml non sono correttamente formattate.

Fonte FortiGuard

Prestare attenzione

Come osservato dai ricercatori, “Nel corso degli anni, SpyNote è diventata una famiglia comune di malware Android, con oltre 10.000 campioni e molteplici varianti[…]. Invitiamo gli utenti Android a prestare particolare attenzione a qualsiasi applicazione che richieda l’API di accessibilità.“.

Il campione scoperto risulta avere al momento un tasso di rilevamento pari a circa il 40% su VirusTotal.

Pertanto oltre a installare anche sullo smartphone un antivirus da tenere sempre aggiornato è importante non scaricare applicazioni da fonti non ufficiali e verificare sempre i permessi richiesti negando quelli ritenuti eccessivi o inutili.

Nel frattempo anche il Cert-AgID ha affermato che SpyNote è stato il principale malware presente in Italia la scorsa settimana.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.