Los analistas de inteligencia de amenazas de Perplexity han identificado una sofisticada variante del software espía para Android SpyMax/SpyNote, la cual se ha camuflado hábilmente como la aplicación oficial de la Fiscalía china (检察院).
Este software malicioso tenía como objetivo a usuarios de habla china ubicados en China continental y Hong Kong, en lo que se presume es una elaborada campaña de ciberespionaje.
La característica más destacada de la campaña es la explotación de los servicios de accesibilidad de Android mediante sólidas técnicas de ingeniería social y una interfaz de usuario engañosa.
A diferencia del malware típico, que a menudo parece un software genérico, este software espía presenta una interfaz de aplicación falsa y convincente.
Una vez que los usuarios otorgan permisos, el software espía obtiene un control casi omnipotente sobre el dispositivo, accediendo a todo, desde mensajes hasta datos de GPS, cámara y micrófono, incluso con la pantalla apagada.
Según los investigadores, este nivel de acceso permite una amplia vigilancia y robo de datos.
Con un hash MD5 cc7f1343574f915318148cde93a6dfbc y descubierta el 4 de abril de 2025, esta variante utiliza un APK llamado “检察院” para distribuirse a través de tiendas oficiales falsificadas.
Su arquitectura modular incluye módulos para la ejecución de comandos a través de API en tiempo de ejecución, control de cámara y micrófono, filtración de datos a través de HTTPS cifrado y comportamiento dinámico activado por estados del sistema como el estado de la pantalla, los niveles de la batería o los cambios de red.
Los datos robados se almacenan sistemáticamente en archivos categorizados, se cifran y los rastros se eliminan después de la transmisión.
La lista de permisos del software espía es alarmantemente amplia e incluye acceso a SMS y cámaras, instalación silenciosa de aplicaciones y control de superposición del sistema.
Estos permisos, cuando se combinan, permiten a los atacantes realizar una vigilancia completa, lanzar ataques de superposición de phishing, realizar transacciones no autorizadas, participar en fraudes de SMS premium, rastrear la ubicación y filtrar datos.
Según el informe, para hacer el ataque aún más insidioso, los perpetradores crearon una interfaz HTML interactiva que imitaba la página de configuración de accesibilidad de Android, utilizando animaciones y diseños realistas para engañar a los usuarios y otorgarles permisos críticos.
Para identificar esta variante, los investigadores desarrollaron una regla YARA específica y compilaron una lista de Indicadores de Compromiso (IOC).
Estos incluyen un servidor de comando y control, 165.154.110.64, con comportamiento de red identificable, como pings ICMP y transferencias de datos cifrados. También se detectaron rutas de archivos y componentes de aplicaciones sospechosos.
Se recomienda a las organizaciones que fortalezcan sus protocolos de seguridad móvil implementando políticas de administración de dispositivos móviles (MDM), bloqueando los IOC conocidos a nivel de firewall y educando a su fuerza laboral sobre los peligros del phishing móvil y las aplicaciones falsas.
El monitoreo continuo del comportamiento del dispositivo para detectar anomalías en las actividades en segundo plano, junto con la segmentación de la red para dispositivos móviles, ayudará a mantener una defensa sólida contra amenazas tan sofisticadas.
Este incidente sirve como un claro recordatorio del panorama cambiante de las amenazas móviles, e insta tanto a las organizaciones como a las personas a estar alerta y adaptarse a estos desafíos de seguridad cada vez mayores.
