Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

SpyNote

¿Qué es?

SpyNote, también conocido como SpyNote RAT y CypherRat, es un malware de tipo troyano de acceso remoto (RAT) con características de spyware, que se enfoca en infectar dispositivos Android para controlarlos remotamente y realizar actividades maliciosas. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar ataques de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

  • Proporciona a los atacantes control remoto completo mediante una puerta trasera personalizada (ejecución de comandos, gestión de llamadas...).
  • Registra las pulsaciones de teclas (keylogging) y las guarda en un registro log propio para capturar la información sensible y robar credenciales.
  • Accede y roba SMS, contactos y notificaciones.
  • Intercepta códigos OTP/2FA (incluido Google Authenticator) mediante el abuso de los servicios de Accesibilidad.
  • Graba el audio, usa las cámaras y captura y graba la pantalla.
  • Permite la geolocalización (GPS) y mantiene el seguimiento en tiempo real de los dispositivos.
  • Exfiltra datos a sus servidores de mando y control (C2).
  • Posee capacidades para realizar fraude financiero, que incluye el robo en aplicaciones bancarias y transferencias desde wallets de criptomonedas.
  • Genera persistencia y utiliza técnicas de evasión mediante el abuso de la Accesibilidad para auto-otorgarse permisos, excluirse de la optimización de la batería y ocultarse tras iconos de aplicaciones legítimas.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Android.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de SMS con enlaces a aplicaciones maliciosos (smishing) que se descargan fuera de Google Play, a través de sitios falsos que suplantan la Play Store, a través de páginas falsas que se parecen a aplicaciones populares, como “Chrome”, y a través de aplicaciones troyanizadas que se hacen pasar por antivirus u otras aplicaciones legítimas, como “Avast Mobile Security”.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners para Android.

Más información

Compartir en Redes Sociales