Os pesquisadores de segurança cibernética descobriram uma campanha persistente, implantando o malware Androidos Spyote, um sofisticado Trojan de acesso remoto (RAT) projetado para vigilância, exfiltração de dados e controle de dispositivos remotos.
Esta operação imita as páginas legítimas da loja do Google Play para aplicativos populares do Android, levando os usuários a baixar arquivos APK maliciosos.
A campanha, ligada ao mesmo ator de ameaças anteriormente detalhado em um abril Relatório de Inteligência Domaintools (DTI)Demonstra pequenas evoluções nas táticas, incluindo mudanças nas resoluções de IP e medidas aprimoradas de anti-análise dentro do conta-gotas de APK para proteger a carga útil da SPYNOTE da detecção.
A campanha Spyote tem como alvo os usuários do Android
Os recursos da Spyote são extensos, abrangendo o acesso remoto a câmeras e microfones de dispositivo, gerenciamento de chamadas, execução de comando, realização de keylog para roubo de credenciais e exploração de serviços de acessibilidade para Android para interceptar autenticação de dois fatores (2FA) códigos.
Quando concedidos privilégios de administrador, ele permite limpar dados, travamento de dispositivos ou instalação de malware adicional, posicionando-o como uma ferramenta de alto risco para espionagem e crime cibernético financeiro.
Os sites enganosos são clones estáticos de HTML e CSS de interfaces autênticas da loja de plays, hospedadas em domínios registrados por meio de registradores como a Namesilo, LLC e a Xinnet Technology Corporation.
Esses sites resolvem a IPS associada a fornecedores como LightNode Limited e Vultr Holdings LLC, utilizando servidores nginx e certificados SSL de emissores como R10 e R11.
Nomes servidores de DNSowl[.]com e Xincache[.]com são comuns, com resoluções proeminentes para endereços como 154.90.58[.]26 e 199.247.6[.]61.
Scripts incorporados, incluindo referências a unpkg[.]Com/Current-Device@0.10.2 e seqüências ofuscadas como “sbw2n8uateizrr93vmfze5mf_35vmk5f1wg04l5jcje”, facilitar o mecanismo de download.
Ao clicar no botão “Instalar” falso, uma função JavaScript cria um iframe oculto para acionar o download do APK sem navegar na página.
Entrega de malware evoluída
A cadeia de execução de malware começa com uma APK do conta-gotas inicial, como Chrome.APK (SHA-256: 48AA5F908FA612DCB38ACF4005DE72B9379F50C7E1BC43A4CE64CE 274BBB7566E8), o que é o pano de panos do panwerTerTer1BC7e1BC43A4CE64CE64CETROLTETROPTROTS), o que é o panwerTert. Nome, como “Rogcysibz.wbnyvkrn.sstjjs”, produzindo “62646632363164386461323836333631”.
Este conta -gotas emprega injeção de elemento DEX por meio de reflexão para modificar o carregador de classe em tempo de execução, inserindo código malicioso Antes dos elementos legítimos para evitar a análise estática e sequestrar as funções do aplicativo para interceptação de dados.
Ele combina e descriptografa os ativos dos arquivos 000 e 001, descomprimindo-os no núcleo espinote apk (sha-256: 86e8d3716318e9bb63b86ebe185db5db6718cb3ddea7fBaFefa8ebfb677B5B9B9B6718CB3DDEA7FBAFEFA8EBFB677B5B9B9B9B6718CB3DDEA7FBAFEFA8EBFB677 (C2) lógica.
Amostras recentes incorporam o fluxo de controle e a ofuscação de identificador, usando variações de ‘O’, ‘O’ e ‘0’ para obscurecer a lógica do código e impedir a engenharia reversa.
A conexão C2 é estabelecida por meio de URLs do WebSocket selecionados de uma lista de domínio codificados, aumentando a resiliência.
O ator de ameaças tem como alvo uma ampla gama de aplicativos falsificados, incluindo plataformas sociais como iHappy e Camsoda, jogos como piscina de 8 bolas e serviços públicos como o Chrome, indicando ataques oportunistas e financeiramente motivados aos consumidores.
A infraestrutura permanece limitada a dois IPs primários, com rotações, mas nenhuma grande diversificação, e o código de entrega inclui comentários chineses, embora a atribuição não seja clara.
Esta campanha ressalta a ameaça duradoura de ratos móveis por meio de engenharia social, apesar da modesta sofisticação técnica do ator.
As recomendações incluem advertências do navegador de reforço contra sites falsos, o avanço da detecção de antivírus para APKs ofuscados e integrando a filtragem no nível da VPN para conexões C2 maliciosas.
Indicadores de compromisso (IOCs)
| Categoria | Exemplos |
|---|---|
| IPS | 154.90.58[.]26, 199.247.6[.]61 |
| Domínios | MCSPA[.]Top, pyfcf[.]Top, ATDFP[.]top (e outros listados no relatório) |
| URLs de apk | https[:]// bcgrt[.]Top/beleza[.]apk, https[:]// Megha[.]Top/iHappy[.]APK (etc.) |
| Droppers (SHA-256) | DB91DA6B3E85D9C11255E50EF10E5636B1D5E5D9E417998DAA22A58AE0B2C29F (e outros) |
| Spyote (SHA-256) | 86E8D3716318E9BB63B86EBE185DB5DB6718CB3DDDEA7FBAFAFA8EBFB674B9E8 (e variantes) |
| Domínios C2 | mskisdakw[.]Top, fsdlaowaa[.]topo (etc.) |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!