Recrudescence d’attaques par SpyNote, une famille de spywares Android

L’entreprise ThreatFabric a identifié une forte hausse des attaques par SpyNote, dans une note du 5 janvier 2023. Créée en 2016, cette famille de spywares Android peut surveiller, gérer et modifier les ressources et les fonctions de l’appareil infecté. Elle peut aussi prendre le contrôle des capacités d’accès à distance.

Plusieurs versions de SpyNote circulent. À elle seule, la dernière, SpyNote.C, est numéro 1 des échantillons de logiciels espions observés par ThreatFabric depuis octobre 2022.

Contrairement aux versions A. et B., SpyNote.C dispose de fonctionnalités spéciales contre les applications bancaires. Le logiciel espion peut ainsi usurper l’identité de grands groupes bancaires – HSBC, Deutsche Bank, Kotak Bank, BurlaNubank. Il est aussi disponible, plus classiquement, dans de fausses versions de WhatsApp, Facebook et Google Play, et autres logiciels populaires.

SpyNote.C a été distribué à des acteurs malveillants individuels sous le nom de CypherRat. Or, à l’automne 2022, des cybercriminels ont commencé à arnaquer d’autres pirates informatiques en se faisant passer pour l’éditeur de SpyNote. Au terme d’une série d’escroqueries, le code source de SpyNote.C (alias CypherRat) a été publié sur GitHub en octobre 2022.

Cette publication coïncide logiquement avec l’explosion du nombre d’échantillons de SpyNote détectés par ThreatFabric. Selon la société de cybersécurité, le créateur de SpyNote se concentrerait actuellement sur un nouveau spyware dérivé de SpyNote.C, baptisé CraxsRat.