CypherRat kombiniert die Spionagefunktionen von SpyNote, wie den Fernzugriff, GPS-Ortung und Aktualisierungen von Gerätestatus und -aktivitäten, mit Banking-Trojaner-Funktionen, die sich als Bankinstitute ausgeben, um Kontodaten zu stehlen. CypherRat wurde von August 2021 bis Oktober 2022 voranging über private Telegram-Kanäle vertrieben. Dann wurde der Quellcode auf GitHub veröffentlicht. Seither nehmen die Angriffe mit SpyNote wieder zu.
Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Die noch unbekannten Bedrohungsakteure schnappten sich den Code und starteten ihre eigenen Kampagnen. Im Visier standen renommierte Banken wie HSBC oder die Deutsche Bank. Parallel dazu tauchten Fake-Apps auf - dort tarnte sich die Malware zum Beispiel als WhatsApp oder Facebook-App.
Merkmale der SpyNote-Malware
Alle im Umlauf befindlichen SpyNote-Varianten fordern Zugriff auf Android an, um neue Anwendungen zu installieren, SMS-Nachrichten abzufangen (zur Umgehung der Zwei-Wege-Authentifizierung), Anrufe auszuspähen und Video- und Audioaufnahmen auf dem Gerät machen zu können.Ebenso werden alle Informationen, die von SpyNote gesendet werden, verschleiert, um die Aktivität zu verbergen. ThreatFabric hat zwar nicht mitgeteilt, wie diese bösartigen Apps verbreitet werden. Man kann aber davon ausgehen, dass dies hauptsächlich über Phishing-Seiten, Android-App-Seiten von Drittanbietern und soziale Medien geschieht. Angesichts dessen wird Nutzern empfohlen, bei der Installation neuer Apps sehr vorsichtig zu sein, insbesondere wenn diese nicht direkt von Google Play kommen, und Anfragen zur Erteilung von Zugriffsberechtigungen für die Barrierefreiheit abzulehnen.