安全研究人员发现了一场精心策划的恶意软件攻击活动，该活动通过虚假的 Google Chrome 安装页面来针对 Android 用户。

网络犯罪分子在新注册的域名上创建了具有欺骗性的网站，这些网站与 Google Play Store 上的 Google Chrome 安装页面极为相似。

这些欺诈性网站是传播 SpyNote 的载体，SpyNote 是一种功能强大的 Android 远程控制木马（RAT），具备全面监控、数据窃取以及对受感染设备进行完全远程控制的能力。

这些网站在视觉上与合法的 Google Play Store 页面高度相似，营造出一种极具说服力的假象，诱使毫无防备的用户安装恶意应用程序，让他们误以为自己是从Google 官方应用商店下载的正版软件。

上述被称为 SpyNote 的恶意软件，因其强大的功能，对移动设备的安全构成了重大威胁。一旦安装，SpyNote 就能获取包括短信、联系人、通话记录、位置数据和存储文件等在内的敏感信息。

更令人担忧的是，该恶意软件能够激活设备的摄像头和麦克风、操控通话、执行任意命令，还能针对应用程序的凭据实施强大的键盘记录功能。

SpyNote 与包括 OilRig（APT34）、APT-C-37（Pat-Bear）和 OilAlpha 等在内的高级持续性威胁（APT）组织有关联，这表明它既能用于有针对性的间谍活动，也适用于更广泛的网络犯罪活动。

DomainTools 的研究人员发现了攻击基础设施中的常见模式，指出许多恶意域名是通过 NameSilo, LLC 或 XinNet Technology Corporation 注册的。

他们的分析显示，这些恶意网站的托管模式具有一致性，其 IP 地址主要与 Lightnode Limite）和 Vultr Holdings LLC 相关。

这些网站本身的结构极为相似，恶意软件的配置以及命令与控制基础设施方面的差异微乎其微。

对于那些实行自带设备（BYOD）政策的组织，或者员工可能会在个人设备上不小心安装该恶意软件，随后这些设备又会连接到公司网络的组织而言，这场攻击活动构成了特别的威胁。

鉴于 SpyNote 的持续存在机制（通常需要恢复出厂设置才能彻底清除），受感染的设备存在重大的安全隐患。

该恶意软件能够通过辅助功能服务获取身份验证凭据并拦截双因素身份验证码，这使其成为夺取账户控制权和进一步渗透网络的有效工具。

感染机制解析

这些具有欺骗性的网站运用了多种复杂手段来营造出令人信服的假象。

它们包括图片轮播功能，展示模仿 Google Play Store 应用页面的截图，这些截图来自诸如 “bafanglaicai888 [.] top” 等可疑域名，而这些域名很可能由同一批威胁行为者操控。

这些视觉元素旨在增强网站的可信度，减少受害者的怀疑。

当用户与虚假的 Google Play Store 界面进行交互时，他们会在无意识中触发一个名为 “download ()” 的 JavaScript 函数，该函数会从硬编码的 URL 中获取一个恶意的 .apk  文件。

这段 JavaScript 代码虽然简单，但通过一个不可见的 iframe 有效地实现了下载操作：

function download(url){

var src = url;

var iframe = document.createElement(‘iframe’);

iframe.style.display = ‘none’;

iframe.src = “javascript: ‘location.href=\”” + src + “\”‘”;

document.getElementsByTagName(‘body’)[0].appendChild(iframe);

}

下载的文件会启动一个两阶段的安装过程。最初的 .apk 文件充当释放器，安装第二个嵌入的 .apk 文件，该文件包含 SpyNote 恶意软件的核心功能。

该恶意软件通过 assets 文件夹中的 base.dex 文件来实现其命令与控制基础设施，该文件包含远程通信的连接参数。

命令与控制（C2）域名始终使用 8282 端口进行通信，一些变体直接在代码中硬编码了 IP 地址 “66.42.63.74”。

感染链的最后一步是该恶意软件大量请求众多具有侵入性的权限，从而获得对受感染设备的广泛控制权，并与攻击者控制的服务器建立持续通信。

这场攻击活动的复杂性凸显了移动设备面临的不断演变的威胁态势，也强调了即使网站看似来自合法来源，在下载应用程序时也务必保持谨慎的必要性。