Các chuyên gia từ Cleafy và F-Secure ghi nhận SpyNote xuất hiện trong nhiều chiến dịch lừa đảo qua tin nhắn SMS từ giữa năm 2023. Nạn nhân thường nhận đường dẫn giả mạo cập nhật hệ điều hành hoặc ứng dụng dịch vụ tài chính. Sau thao tác cài đặt, phần mềm độc hại lập tức yêu cầu hàng loạt quyền truy cập quan trọng trên Android như nhật ký cuộc gọi, tin nhắn SMS, micro, bộ nhớ ngoài và dịch vụ trợ năng.
Khác nhiều mã độc ngân hàng từng xuất hiện trước đây, SpyNote vận hành theo hướng kiểm soát sâu vào hệ thống thay vì chỉ đánh cắp mật khẩu đăng nhập. Khi người dùng cấp quyền trợ năng, trojan tiếp tục tự mở thêm quyền truy cập khác để ghi âm môi trường xung quanh, ghi lại cuộc gọi điện thoại, chụp ảnh màn hình và theo dõi từng thao tác chạm trên bàn phím. Toàn bộ dữ liệu sau đó được chuyển về máy chủ điều khiển từ xa.
![Mã độc Android âm thầm ghi âm cuộc gọi. Ảnh: Team PrudentBit]( "Mã độc Android âm thầm ghi âm cuộc gọi. Ảnh: Team PrudentBit") |
| Mã độc Android âm thầm ghi âm cuộc gọi. Ảnh: Team PrudentBit |
Giới nghiên cứu bảo mật đánh giá điểm đáng ngại nhất nằm ở cơ chế duy trì hoạt động dai dẳng của SpyNote. Mã độc tự đăng ký các tiến trình nền nhằm khởi động lại ngay khi người dùng tắt ứng dụng hoặc cố gắng dọn dẹp hệ thống. Trong nhiều trường hợp, màn hình gỡ cài đặt trên Android bất ngờ đóng lại do trojan tận dụng API trợ năng để chặn thao tác người dùng.
Một số mẫu SpyNote mới còn che giấu biểu tượng ứng dụng sau khi hoàn tất cài đặt. Thiết bị nhiễm mã độc gần như không xuất hiện dấu hiệu bất thường rõ rệt ngoài hiện tượng nóng máy, hao pin hoặc phát sinh lưu lượng mạng nền liên tục. Chính cách vận hành âm thầm này khiến nhiều người chỉ phát hiện sự cố khi tài khoản ngân hàng phát sinh giao dịch bất thường hoặc dữ liệu cá nhân bị rò rỉ.
Theo F-Secure, nhiều nạn nhân cuối cùng buộc phải khôi phục cài đặt gốc do SpyNote bám quá sâu vào hệ thống Android. Quá trình này đồng nghĩa toàn bộ dữ liệu lưu trên máy có nguy cơ biến mất nếu chưa sao lưu trước đó.
Sự xuất hiện trở lại của SpyNote cho thấy xu hướng tấn công trên Android đang chuyển sang mô hình gián điệp số toàn diện thay vì chỉ tập trung đánh cắp OTP ngân hàng. Khi điện thoại lưu trữ gần như toàn bộ dữ liệu cá nhân, tài khoản tài chính và thông tin công việc, một ứng dụng giả mạo nhỏ gọn cũng đủ mở đường cho hoạt động theo dõi kéo dài trong thời gian dài mà người dùng khó nhận biết.
