Se ha detectado una nueva campaña de malware para Android que utiliza sitios web engañosos alojados en dominios registrados recientemente para distribuir SpyNote, un potente troyano de acceso remoto (RAT).
Estos sitios web imitan páginas legítimas de aplicaciones de Google Play Store, con el objetivo de convencer a los usuarios de que descarguen archivos infectados con el pretexto de instalar aplicaciones populares.
Los investigadores descubrieron que los sitios incluyen elementos como carruseles de imágenes con capturas de pantalla de supuestas páginas de aplicaciones, botones de «Instalar» e incluso fragmentos de código que hacen referencia al paquete de Android de TikTok.
Al hacer clic en el botón de instalación simulado, se ejecuta JavaScript, lo que desencadena automáticamente la descarga de un archivo APK malicioso.
Una vez instalado, el APK ejecuta una función oculta para desplegar un segundo APK integrado. Esta carga útil secundaria contiene la funcionalidad principal de SpyNote, que le permite comunicarse con servidores de comando y control (C2) mediante direcciones IP y puertos codificados. Los parámetros C2 están incrustados en el archivo DEX del malware, lo que permite conexiones tanto dinámicas como codificadas.
El malware SpyNote ofrece a los atacantes una amplia gama de funciones de vigilancia y control, que incluyen:
- Interceptación de SMS, registros de llamadas y contactos.
- Activación remota de la cámara y el micrófono.
- Registro de pulsaciones de teclas, incluyendo credenciales y códigos de 2FA.
- Rastreo de ubicación GPS.
- Grabación de llamadas telefónicas.
- Descarga e instalación de aplicaciones adicionales.
- Prevención de la eliminación mediante el uso indebido de los servicios de accesibilidad.
- Borrado o bloqueo remoto de dispositivos.
- Muchas de estas capacidades se habilitan mediante solicitudes de permisos agresivas, algunas de las cuales permiten que el malware sobreviva a los reinicios del dispositivo u oculte su presencia por completo.
La evidencia en el malware y su infraestructura de distribución sugiere un posible origen en China, incluyendo la presencia de código en chino y el uso de sitios de distribución en chino. Sin embargo, no se ha establecido una atribución definitiva.
El malware se ha vinculado anteriormente a campañas de espionaje dirigidas al personal de defensa indio y se ha asociado con grupos de amenazas persistentes avanzadas como OilRig (APT34) y APT-C-37.