A família de malware rastreada como SpyNote (ou SpyMax) para Android teve um aumento repentino nas detecções no último trimestre do ano passado, o que é atribuído a um vazamento do código-fonte de uma de suas variantes mais recentes, conhecida como CypherRat.
O CypherRat combina recursos de espionagem do SpyNote, como oferecer acesso remoto, rastreamento por GPS e status do dispositivo e atualizações de atividades, com recursos de trojans bancários que se fazem passar por instituições bancárias para roubar credenciais de contas.
O CypherRat foi vendido por meio de canais privados do Telegram de agosto de 2021 a outubro de 2022, quando seu autor decidiu publicar seu código-fonte no GitHub, após uma série de incidentes de fraude em fóruns de hackers que se faziam passar pelo projeto. Operadores de ameaças rapidamente pegaram o código-fonte do malware e lançaram suas próprias campanhas. Quase imediatamente, surgiram variantes personalizadas direcionadas a bancos respeitáveis como HSBC e Deutsche Bank.
Paralelamente, outros autores optaram por mascarar suas versões do CypherRat no Google Play, WhatsApp e Facebook, visando um público mais amplo. Essa atividade foi observada por analistas do ThreatFabric, que alertam sobre a possibilidade de o CypherRat se tornar uma ameaça ainda mais disseminada.
Veja isso
Apps disfarçados como de rastreamento infectam dispositivos Android
Trojan para Android intercepta chamadas para suporte ao cliente
Todas as variantes do SpyNote em circulação dependem da solicitação de acesso ao serviço de acessibilidade do Android para poder instalar novos aplicativos, interceptar mensagens SMS (para bypass 2FA), bisbilhotar chamadas e gravar vídeo e áudio no dispositivo.
Os operadores de ameaças atualmente usam o CypherRat como um trojan bancário, mas o malware também pode ser usado como spyware em operações de espionagem direcionadas de baixo volume.O ThreatFabric acredita que o SpyNote continuará a constituir um risco para os usuários do Android e estima que várias ramificações do malware aparecerão neste ano.