SpyNote újratöltve: Hamis Google Play weboldalakkal támadják az Android-felhasználókat

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

2025 augusztusában a kiberbiztonsági kutatók újabb SpyNote malware kampányra lettek figyelmesek, amely az Android-felhasználókat célozza meg. A támadás különösen megtévesztő, mivel a támadók professzionálisan felépített, hamis Google Play Áruház oldalakat használnak, hogy népszerű alkalmazásokat utánzó fertőzött APK-fájlokat terjesszenek.

Megtévesztő alkalmazástelepítő oldalak: Tökéletes másolatok

A fenyegetést jelentő szereplő hamis weboldalakat működtet, amelyek tökéletesen lemásolják a Google Play Áruház kinézetét és működését, beleértve a HTML és CSS kódok használatát is.

A célzott alkalmazáskategóriák között szerepelnek:

  • Közösségi média appok (pl. iHappy, CamSoda)
  • Játékok (pl. 8 Ball Pool, Block Blast)
  • Hasznos eszközök (pl. Chrome, fájlkezelők)

A felhasználó, amikor az “Install” gombra kattint, automatikusan letölt egy fertőzött APK-fájlt, amely SpyNote malware-t tartalmaz.

Megfigyelt technikai jellemzők:

  • IP-címek: 154.90.58.26 és 199.247.6.61
  • Tárhelyszolgáltatók: Lightnode Limited, Vultr Holdings LLC
  • Domain-regisztrátorok: NameSilo LLC, XinNet Technology Corporation
  • SSL kibocsátók: R10, R11
  • Névszerverek: dnsowl.com, xincache.com
  • Webszerver architektúra: nginx

Fejlett elkerülési technikák és titkosítás

A legújabb SpyNote minták többlépcsős fertőzési folyamatot alkalmaznak, amelynek célja a biztonsági rendszerek megkerülése:

  • A kezdeti „dropper” APK titkosított állományokat tartalmaz, amelyek AES titkosítással vannak védve. A kulcsot az alkalmazás csomagnevéből generálják (például: rogcysibz.wbnyvkrn.sstjjs ➝ 62646632363164386461323836333631).
  • A malware a DEX Element Injection technikát használja, amely futásidőben módosítja az Android ClassLoader működését, előnyben részesítve a rosszindulatú kódokat a legitim funkciókkal szemben.
  • A titkosított fájlokat az assets/base mappából olvassa be, majd kicsomagolás után aktiválja a teljes SpyNote kártevőt.

További rejtőzködést szolgáló technikák:

  • Kontrolláram elrejtése (control flow obfuscation)
  • Azonosító-obfuszkáció, például az o, O és 0 karakterek véletlenszerű kombinálása a forráskódban – ezzel jelentősen megnehezítve a statikus elemzést.

Kiterjedt megfigyelés és jogsértő hozzáférés

A SpyNote egy komplex távvezérelhető trójai (RAT), amely a következő képességekkel rendelkezik:

  • Kamera és mikrofon távoli vezérlése
  • Telefonhívások kezelése, üzenetek olvasása
  • Tetszőleges parancsok végrehajtása
  • Billentyűleütések naplózása – jelszavak, bejelentkezési adatok ellopása
  • Kétfaktoros hitelesítés (2FA) kódjainak megszerzése az Android Accessibility Services kihasználásával
  • Felületi támadások (overlay attacks), például hamis belépési ablakok megjelenítése adathalászatra
  • Ha adminisztrátori jogosultságot szerez, képes:
    • Készülék zárolására
    • Adatok távoli törlésére
    • További kártevők telepítésére

Javasolt védekezési intézkedések

A szakértők az alábbi lépéseket javasolják a SpyNote kampány elleni védekezéshez:

  • Böngészőfejlesztőknek: Rosszindulatú weboldalak felismerésének javítása.
  • Android biztonsági megoldásoknak: Automatikus alkalmazáselemzés továbbfejlesztése.
  • Mobil VPN szolgáltatóknak: Hálózatszintű szűrés integrálása.

A kampány állandósága és technikai kifinomultsága komoly fenyegetést jelent a felhasználói adatokra, magánéletre és pénzügyi biztonságra.

Indikátorok (IOCs)

Kártékony APK-fájlokat terjesztő domainek:

  • pyfcf[.]top – 001.apk
  • mygta[.]top – Block Blast.apk
  • megha[.]top – iHappy.apk
  • jewrs[.]top – CamSoda.apk
  • byhga[.]top – 8 Ball Pool.apk
  • gtuaw[.]top – Chrome.apk
  • snbyp[.]top – meus arquivos 2025.apk
  • és további több tucat domain, különféle alkalmazásnevekkel.

Command & Control szerverek:

  • 199.247.6[.]61
  • mskisdakw[.]top
  • fsdlaowaa[.]top
  • askkpl67[.]top
  • cnhau1wq[.]top
  • sakjhu5588[.]top

A SpyNote visszatérése világosan mutatja, hogy a mobil eszközöket célzó fenyegetések tovább fejlődnek, egyre összetettebb technikákat és megtévesztő felületeket alkalmazva. A hamis Google Play oldalak és a kifinomult obfuszkációs megoldások megnehezítik a felismerést, miközben a kártevő mélyen behatol a rendszerbe.

A felhasználóknak érdemes kizárólag a Google Play hivatalos alkalmazásából telepíteni az appokat, valamint rendszeresen ellenőrizniük az engedélyeket és a hozzáféréseket. A vállalatoknak és fejlesztőknek pedig új szintre kell emelniük a mobil fenyegetések elleni védelmet.

(forrás)