Una sofisticada campaña de malware de Android ha resurgido, explotando sitios web engañosos que imitan perfectamente las páginas legítimas de la aplicación Google Play Store para distribuir el famoso Troya de acceso remoto Spynote (RAT).
Esta operación maliciosa se dirige a usuarios desprevenidos mediante la creación de clones HTML estáticos de las populares páginas de instalación de aplicaciones Android, completa con el estilo CSS copiado y la funcionalidad JavaScript diseñada para engañar a las víctimas para que descarguen archivos APK maliciosos directamente de servidores comprometidos.
El malware Spynote representa una amenaza formidable en el panorama de seguridad móvil, que funciona como una rata Android altamente intrusiva con extensas capacidades de vigilancia.
Una vez instalado, el malware puede controlar de forma remota cámaras y micrófonos de dispositivos, administrar llamadas telefónicas, ejecutar comandos arbitrarios y realizar operaciones sofisticadas de keylogging que se dirigen específicamente a las credenciales de aplicaciones.
Páginas falsas (Fuente – Domaindools)
La principal preocupación es que utiliza los servicios de accesibilidad de Android para robar códigos de dos factores y engañar a los usuarios con pantallas falsas.
Investigadores de Domaineols identificado Esta campaña persistente como una continuación de la actividad de Spynote previa, observando una evolución táctica significativa en el enfoque del actor de amenaza.
La infraestructura maliciosa utiliza predominantemente dos direcciones IP: 154.90.58 (.) 26 y 199.247.6 (.) 61 – con dominios registrados a través de Namesilo LLC y Xinnet Technology Corporation.
Los sitios web falsos incluyen constantemente bibliotecas de JavaScript específicas y emplean servidores NGINX alojados en la infraestructura LightNode Limited y Vultr Holdings LLC.
Mecanismo de infección avanzado y entrega de carga útil
El proceso de infección comienza cuando los usuarios se encuentran convenciendo a los imitadores de Google Play Store que desencadenan descargas maliciosas a través de una función de JavaScript cuidadosamente elaborada.
Cadena de ejecución de malware (fuente – Domaindools)
La funcionalidad maliciosa central se basa en una función descargar () que crea iframes ocultos y establece su fuente en URI de JavaScript, iniciando efectivamente las descargas de APK sin que los usuarios salgan de la página actual.
El malware emplea un sofisticado proceso de implementación de varias etapas que utiliza técnicas dinámicas de carga útil e inyección de elementos DEX.
El Dropper APK inicial (Chrome.APK con Hash 48AA5F908FA612DCB38ACF4005DE72B9379F50C7E1BC43A4E64CE274BBB7566) lee los activos encriptados, las claves de descrycción de su archivo AndroidManifest, y Decrypts the Spynote Spynote Spynote.
El gotero extrae el nombre del paquete “rogcysibz.wbnyvkrn.sstjjs” para recuperar la clave AES de 16 bytes “626466323631643864613238363333631” para el descripción de la carga útil.
El malware demuestra capacidades anti-análisis avanzadas a través de la ofuscación del flujo de control y la ofuscación del identificador, utilizando variaciones aleatorias de caracteres como ‘O’, ‘O’ y ‘0’ para todos los nombres de funciones.
Esta técnica complica significativamente el análisis estático, mientras que el mecanismo de carga dinámica garantiza que las funciones maliciosas primarias permanezcan ocultas hasta la ejecución del tiempo de ejecución, evitando efectivamente los métodos tradicionales de detección de seguridad.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
