False pagine di Google Play diffondono il malware SpyNote agli utenti Android

Una nuova campagna di malware Android appena scoperta sta distribuendo il potente SpyNote Trojan di Accesso Remoto (RAT) mimetizzandosi nelle pagine del Google Play Store su siti web ingannevoli.

Gli ricercatori di sicurezza presso Infosecurity affermano che la campagna utilizza domini recentemente registrati per ingannare gli utenti e spingerli a scaricare app infette mascherate da software popolari.

Le pagine false assomigliano molto a quelle autentiche di Google Play, con caroselli di immagini, pulsanti “Installa” e tracce di codice che fanno riferimento all’app Android di TikTok. Quando gli utenti cliccano per installare, uno JavaScript maligno innescato un download automatico di un file APK pieno di insidie.

Una volta installato, l’APK esegue una funzione nascosta che rilascia un secondo APK contenente il nucleo del payload di SpyNote. Questo malware si connette ai server di comando e controllo (C2) utilizzando indirizzi IP codificati nel suo codice, permettendo l’accesso remoto e la sorveglianza.

SpyNote concede agli aggressori un controllo totale sui dispositivi infetti. Le sue funzioni includono l’intercettazione di chiamate e SMS, l’accesso ai contatti, la registrazione delle chiamate, la registrazione dei tasti premuti, l’attivazione della telecamera e del microfono, e il tracciamento della posizione GPS.

Il malware può anche installare altre applicazioni, bloccare o cancellare i dispositivi, e prevenire la rimozione abusando dei servizi di accessibilità di Android.

“SpyNote è noto per la sua persistenza, spesso richiede un ripristino di fabbrica per la rimozione completa”, hanno avvertito i ricercatori di DomainTools, che hanno scoperto la campagna, come riportato da Infosecusiry.

Indizi nel malware e nell’infrastruttura di consegna suggeriscono un possibile collegamento con la Cina. Il malware contiene codice in lingua cinese e utilizza piattaforme di distribuzione ospitate in Cina.

Infosecurity fa notare che, sebbene non sia stata fatta una attribuzione definitiva, SpyNote è stato precedentemente associato a campagne di spionaggio contro il personale della difesa indiana e con gruppi di minacce avanzati come APT34 e APT-C-37.

Questa scoperta segue un’ondata di minacce simili rivolte ad Android, inclusa la recente presenza del malware ToxicPanda che ha preso di mira le applicazioni bancarie. Gli esperti di sicurezza raccomandano di evitare il download di app da terze parti e di affidarsi solo a negozi di app affidabili.