K7 Labs 的研究人员发现了一场高度定向的 Android 间谍软件攻击活动，目标为印度的移动端用户。攻击手法是通过 WhatsApp 发送一个看似无害的“婚礼邀请”APK 文件。隐藏在这一社交工程背后的是一种危险的远程管理工具（RAT）——SpyMax，可赋予攻击者对受害设备的完全控制权，包括窃取短信、一次性密码（OTP）、联系人信息和银行账户凭证等。

恶意程序通过一条简单的 WhatsApp 消息发起攻击，消息内容伪装成婚礼邀请。该文件名为“Wedding Invitation.apk”，并非来自 Play 商店，而是通过联系人分享的方式传播，从而使钓鱼行为看起来更加可信。

一旦打开，该应用会请求用户执行以下操作：

报告指出：“恶意软件会从其自身资源文件夹中解密出一个应用并进行安装，该已安装应用的包名为 com.android.pictach。”

真正的有效载荷即为 com.android.pictach，一旦启动，将执行一场复杂的监控行动：

• 通过伪造的系统设置界面请求获取设备的完全控制权限

• 记录所有按键输入，保存为 log-yyyy-mm-dd.log，存放路径为 Config/sys/apps/log

• 利用 AccessibilityEvents 拦截所有通知内容（包括银行 OTP 和 WhatsApp 消息）

• 将外泄数据压缩（使用 gZIPOutputStream）后发送给攻击者

报告警告称：“该 RAT 会拦截 AccessibilityEvents 中的 Notification 对象，从中提取敏感信息，例如银行 OTP、WhatsApp 消息和双因素认证码（2FA）。”

该恶意软件连接的远程指挥控制（C2）服务器地址为：104.234.167[.]145:7860。一旦建立 TCP 连接，受害者设备中的压缩数据即被传输至攻击者端。

值得注意的是，K7 Labs 发现该恶意软件还会检测设备中是否安装了移动安全产品，表明其可能具备规避检测或主动绕过防护的能力。

“该命令会收集剪贴板与短信数据，并检查受害设备是否存在一组硬编码的移动安全产品。”

尽管当前分析样本中并未发现自我传播的行为，但研究人员警告说，由于该恶意软件会收集联系人信息，因此未来版本具备通过联系人列表将自身转发传播的潜力。

“由于它会收集联系人信息，因此未来可能将 APK 自动转发至通讯录联系人，但我们在本次分析的样本中未发现类似代码。”