Se hace pasar por páginas de instalación de Google Play Store
Investigadores de ciberseguridad han descubierto que los actores de amenazas están configurando sitios web engañosos alojados en dominios recién registrados para distribuir un malware de Android conocido llamado SpyNote.
Estos sitios web falsos se hacen pasar por páginas de instalación de Google Play Store para aplicaciones como el navegador web Chrome, lo que indica un intento de engañar a usuarios desprevenidos para que instalen el malware en su lugar.
"El actor de amenazas utilizó una combinación de sitios de entrega en inglés y chino e incluyó comentarios en chino dentro del código del sitio de entrega y el propio malware", dijo en un informe el equipo de Investigaciones de DomainTools (DTI).
SpyNote (también conocido como SpyMax) es un troyano de acceso remoto (RAT) conocido desde hace tiempo por su capacidad para recopilar datos confidenciales de dispositivos Android comprometidos mediante el uso indebido de los servicios de accesibilidad. En mayo de 2024, el malware se propagó a través de otro sitio web falso que suplantaba la identidad de una solución antivirus legítima conocida como Avast.
Un análisis posterior realizado por la empresa de seguridad móvil Zimperium ha descubierto similitudes entre SpyNote y Gigabud, lo que plantea la posibilidad de que el mismo actor o actores de amenazas estén detrás de ambas familias de malware. Gigabud se atribuye a un actor de amenazas de habla china cuyo nombre en clave es GoldFactory.
A lo largo de los años, SpyNote también ha visto cierto nivel de adopción por parte de grupos de piratería patrocinados por estados, como OilAlpha y otros actores desconocidos.
Los sitios web clonados identificados por DTI incluyen un carrusel de imágenes que, al hacer clic, descargan un archivo APK malicioso en el dispositivo del usuario. El archivo del paquete actúa como un cuentagotas para instalar una segunda carga APK incorporada a través de la interfaz DialogInterface.OnClickListener que permite la ejecución del malware SpyNote cuando se hace clic en un elemento de un cuadro de diálogo.
"Tras la instalación, solicita agresivamente numerosos permisos intrusivos, obteniendo así un amplio control sobre el dispositivo comprometido", afirmó DTI.
"Este control permite el robo de datos confidenciales como mensajes SMS, contactos, registros de llamadas, información de ubicación y archivos. SpyNote también cuenta con importantes capacidades de acceso remoto, como la activación de la cámara y el micrófono, la manipulación de llamadas y la ejecución de comandos arbitrarios".