I ricercatori di FortiGuard hanno scoperto che gli sviluppatori di SpyNote, il trojan Android di accesso remoto (RAT), avrebbero aggiunto funzioni anti-analisi e relative al furto di criptovalute al malware, prendendo di mira principalmente gli utenti dotati di portafogli crittografici legittimi come l’APK Imtoken, un portafoglio crittografico che consente di archiviare criptomonete e token digitali e anche di effettuare transazioni e investimenti.
“Il 1 ° febbraio abbiamo trovato un campione dannoso che si spacciava per un portafoglio crittografico legittimo che in realtà includeva SpyNote RAT con diverse aggiunte interessanti relative all’anti-analisi e alle criptovalute.”, si legge nel rapporto FortiGuard Labs.
SpyNote un malware in evoluzione
Documentato per la prima volta nel 2016 da Unit 42 di Palo Alto, SpyNote nel corso degli anni ha subito diverse evoluzioni e soprattutto dopo il rilascio del suo codice sorgente su GitHub è stato aggiornato aggiungendo alle sue tradizionali capacità di trojan bancario anche quelle di spyware ed ora anche quelle per rubare criptovalute.
Solitamente viene propinato dietro false app popolari di messagistica, utility varie e note banche.
Le nuove funzionalità
In pratica il codice malware presenta delle funzioni che sfruttano l’API di accessibilità per compilare automaticamente un modulo, memorizzando l’indirizzo e l’importo del portafoglio target sostituendolo con l’indirizzo del portafoglio crittografico dell’attaccante. Le informazioni vengono quindi inviate a un server remoto presidiato.
Oltre alle iniezioni nei portafogli crittografici, il campione malware rilevato presenterebbe anche una tecnica anti-analisi che consiste nel produrre molti errori durante la decompressione standard vanificando le analisi automatizzate eventualmente condotte sul campione, perché le directory classes.dex e AndroidManifest.xml non sono correttamente formattate.
Prestare attenzione
Come osservato dai ricercatori, “Nel corso degli anni, SpyNote è diventata una famiglia comune di malware Android, con oltre 10.000 campioni e molteplici varianti[…]. Invitiamo gli utenti Android a prestare particolare attenzione a qualsiasi applicazione che richieda l’API di accessibilità.“.
Il campione scoperto risulta avere al momento un tasso di rilevamento pari a circa il 40% su VirusTotal.
Pertanto oltre a installare anche sullo smartphone un antivirus da tenere sempre aggiornato è importante non scaricare applicazioni da fonti non ufficiali e verificare sempre i permessi richiesti negando quelli ritenuti eccessivi o inutili.
Nel frattempo anche il Cert-AgID ha affermato che SpyNote è stato il principale malware presente in Italia la scorsa settimana.