在最近的攻击活动中，SpyNote间谍软件向受害者发送虚假短信，敦促他们安装新的经过认证的银行应用程序。SpyNote 间谍软件自2016年以来一直活跃，主要针对银行业,最新的活动涉及SpyNote间谍软件广泛针对欧洲银行的攻击,SpyNote的作案手法包括向受害者发送虚假短信，通常称为短信诈骗。

网络安全公司Cleafy威胁情报团队公布了有关名为SpyNote的Android间谍软件的惊人发现，该软件越来越多地针对欧洲金融机构。

根据Cleafy的报告，在过去几个月中，观察到利用SpyNote的激进活动，对银行客户的安全构成了重大威胁。该恶意软件利用各种技术，包括社会工程攻击和辅助服务，轻松实施银行欺诈。

这种间谍软件的作案手法始于欺骗性的短信攻击活动，潜在的受害者会收到虚假的短信，敦促他们安装“新的经过认证的银行应用程序”。随后，用户被重定向到看似合法的TeamViewer应用程序，但实际上，这是授予对受害者设备进行远程访问的第一步。

SpyNote的主要包含以下特点：

1. 键盘记录器：一旦授予辅助功能权限，SpyNote可以自动接受其他权限弹出窗口、执行键盘记录活动并收集敏感信息，例如已安装的应用程序、应用程序属性和用户输入。

2. 短信收集和2FA绕过：SpyNote拦截短信，包括双因素身份验证(2FA)代码，并将其传输到攻击者的命令和控制(C2)服务器，绕过金融机构实施的安全措施。

3. C2通信：间谍软件通过套接字通信与其C2服务器进行通信，使用各种不常见的端口来逃避检测。SpyNote和服务器之间交换的数据采用自定义方案打包，这使得识别和阻止具有挑战性。

4. 屏幕录制和防御规避：SpyNote可以使用媒体投影API捕获设备的屏幕内容，从而使攻击者能够全面控制和访问关键信息。该恶意软件还采用混淆、反仿真器控制和隐藏应用程序图标来逃避检测和分析。

然而，这并不是SpyNote第一次在间谍软件活动中受到关注。该间谍软件自2016年以来一直活跃，幕后策划了无数针对各种机构的活动。2017年，SpyNote RAT在伪装成Netflix、WhatsApp和Facebook的虚假Android应用程序中被发现。