Seit Juni wurde ein Anstieg von SpyNote-Infektionen gemeldet, die auf Bankanwendungen abzielen. Eine neue Version der Spyware, die über E-Mail-Phishing- oder Smishing-Kampagnen (per SMS) verbreitet wird, ist nun speziell auf Bankbetrug ausgerichtet.
Bei SpyNote handelt es sich um eine Familie gefährlicher Android-Malware, die erstmals im Jahr 2021 im Dark Web verkauft wurde. Nachdem der Quellcode im Jahr 2022 bekannt wurde, kamen mehrere Varianten in Umlauf. Die neueste dieser Varianten zielt speziell auf Finanzinstitute wie HSBC, Deutsche Bank, Kotak Bank, BurlaNubank und Bank of America ab.
Wie Spynote funktioniert
SpyNote SpyNote ist eine Android-Spionagesoftware, die die für Menschen mit Behinderungen entwickelten Zugänglichkeitsdienste missbraucht. Sie erkennt, was auf dem Bildschirm passiert, und führt dementsprechend bösartige Aktionen aus. Sobald die Anwendung installiert und die Zugriffsberechtigung erteilt wurde, nutzt die Spyware diese, um automatisch weitere Berechtigungen zu akzeptieren. Auf diese Weise erhalten die Cyberkriminellen hinter der Spyware Zugriff auf alles, was sich auf dem Gerät befindet: SMS-Nachrichten, Anrufprotokolle, Kontakte, GPS-Standort, Daten, Fotos, Kamera, Mikrofon usw.
Wir haben kürzlich beobachtet, dass eine neue Version von SpyNote fortgeschrittene Fähigkeiten aufweist, die denen von Banking-Malware ähneln. Sie ist für einen zweistufigen Angriff eingerichtet, bei dem der zweite Schritt darin besteht, Bankdaten zu stehlen. Zu diesem Zweck greift er auf die Liste der auf den Geräten der Benutzer installierten Anwendungen zu und fordert sie auf, eine gefälschte Version der von ihnen verwendeten Bankanwendung zu installieren. Anschließend nutzt er die Techniken des Keylogging und 2FA, um die Anmeldedaten der Benutzer zu stehlen.
Heutzutage verwenden fast alle Banken eine starke Kundenauthentifizierung, um eine Geldtransaktion zu bestätigen. Da die Hacker, die Spynote verwenden, jedoch vollen Zugriff auf die infizierten Geräte haben, können sie die Zwei-Faktor-Authentifizierung aushebeln. Wenn der Sicherheitscode von einer Authentifizierungsanwendung generiert oder per SMS oder E-Mail gesendet wird, fangen sie ihn ab.
SpyNote verwendet verschiedene Techniken zur Umgehung der Verteidigung, wie z. B. Verschleierung, Junk-Code und Anti-Emulator-Kontrollen, um zu verhindern, dass der Angriff gestartet und von Sicherheitsanalysten in einem Emulator oder einer Sandbox analysiert wird. Wenn der Angriff erfolgreich ist, werden die gestohlenen Informationen im Dark Web zu Geld gemacht und/oder für Bankbetrug verwendet.
Banken und Betreiber wichtiger Dienste im Visier
Finanzinstitute waren in den letzten Monaten das Hauptziel von Spynote, wobei Banken im Vereinigten Königreich, in Deutschland, Indien und Amerika ins Visier genommen wurden. Darüber hinaus haben es die Hacker auch auf die Betreiber wichtiger Dienste abgesehen. Kürzlich wurden japanische Benutzer mit einem SpyNote-Angriff angegriffen, der sich als Strom- oder Wasserversorger ausgab. Die Verwendung von lebenswichtigen Organisationen schafft bei den Opfern ein Gefühl der Dringlichkeit und macht sie empfänglicher dafür, sofort zu handeln.
Neben den Raubkopierern, die natürlich eine strafrechtliche Verfolgung riskieren, könnte dies in Zukunft auch auf Unternehmen zutreffen, deren Apps gefälscht werden. Die europäische NIS2-Richtlinie, die 2024 in Kraft tritt, schreibt vor, dass mobile Anwendungen und Dienste geschützt werden müssen. Sie empfiehlt die Erkennung von Systemschwachstellen, die Durchführung von Intrusionstests und Sicherheitsaudits. Eine Anwendung, die leicht geklont und somit für Cyberangriffe verwendet werden kann, könnte für das Unternehmen eine Strafe nach sich ziehen.
Wie man mobile Anwendungen schützt
Mehr denn je sollten mobile Anwendungen nicht ohne vorherige Sicherheitsüberprüfung veröffentlicht werden, insbesondere in Bereichen, in denen sensible Daten verarbeitet werden.
Um Unternehmen zu unterstützen, bietet Pradeo eine Toolbox zur Kontrolle der Vertraulichkeit und Sicherheit mobiler Anwendungen während ihres gesamten Lebenszyklus, von der Entwicklung bis zum Betrieb.
Bestandsaufnahme der aktuellen Sicherheit
Das automatisierte Audit-Tool von Pradeo zur Überprüfung der Konformität mobiler Anwendungen ermöglicht es Ihnen:
- Sie erhalten mit wenigen Klicks eine Compliance-Analyse, die Datenschutzgesetze und anpassbare Kriterien integriert.
- Sofort sehen, ob die Anwendung personenbezogene Daten verarbeitet
- Präzise Erkennung der Datenmanipulation durch eine Anwendung und ihre Bibliotheken, wobei angegeben wird, ob die Daten lokal verwendet, außerhalb des Geräts gesendet, geändert oder gelöscht werden. Diese Informationen werden durch den Ort ergänzt, an dem die Daten gespeichert oder gesendet werden, falls zutreffend.
- Identifizierung von Bibliotheken mit versteckten Verhaltensweisen und Schwachstellen.
- Identifizierung von Risiken, die vor der Freigabe einer Anwendung behoben werden müssen.
- Begründen Sie die Arbeit an der Anwendungssicherheit, indem Sie ein konformes Auditergebnis vorweisen.
Behebung von Schwachstellen und Schutz vor externen Angriffen
Die ergänzenden AppSec-Tools von Pradeo ermöglichen es Managern der Anwendungssicherheit:
- Kontinuierliche Identifizierung und Behebung von Anwendungsschwachstellen bereits in der Entwicklungsphase
- Verstärkung des Anwendungscodes, um Diebstahl oder Klonen zu verhindern
- Überwachung mobiler Anwendungen während ihrer Nutzung, um externe Bedrohungen zu erkennen und auf sie zu reagieren
- Erkennen von gefälschten Anwendungen, die versuchen, sich mit dem Server eines Unternehmens zu verbinden und dabei vorgeben, legitim zu sein
