Подслушивает прямо из кармана: SpyMax стирает границы между законом и шпионажем

Новое поколение мобильного шпионского ПО, связанного с семейством SpyMax/SpyNote, было выявлено специалистами ThreatMon в ходе анализа кибершпионской кампании, ориентированной на китаеязычных пользователей. Вредоносная программа выдаёт себя за официальное приложение китайской прокуратуры и распространяется через поддельные магазины приложений. Основной фокус атаки — пользователи в материковом Китае и Гонконге.

Ключевой особенностью обнаруженной версии стало использование специальных возможностей Android, позволяющее программно обойти защитные ограничения и получить доступ к большому перечню функций. Всё это сопровождается продуманной социальной инженерией и реалистичным интерфейсом подделки, который имитирует оформление официального программного обеспечения.

После установки приложение запрашивает доступ к широкому перечню системных разрешений, и при получении необходимых прав получает почти полный контроль над устройством. Вредоносный код способен перехватывать сообщения, отслеживать координаты, активировать микрофон и камеру, включая режим скрытой записи при выключенном экране. Исследователи указывают на высокий уровень доступа, позволяющий организовать длительное скрытое наблюдение и кражу данных.

Анализ показал, что вредоносный APK с MD5-хешем cc7f1343574f915318148cde93a6dfbc был зафиксирован 4 апреля 2025 года. Он имеет модульную архитектуру, включающую блоки для выполнения команд через Runtime API, управления камерой и микрофоном, передачи информации по HTTPS в зашифрованном виде, а также активации различных функций в зависимости от состояния экрана, уровня заряда или сетевой активности. Данные классифицируются по категориям, шифруются и удаляются с устройства после отправки.

Разрешения, запрашиваемые программой, включают доступ к SMS, установку приложений без уведомлений, управление системными наложениями и другие возможности, создающие риск тотального контроля над смартфоном. Такая комбинация разрешений даёт возможность не только следить за пользователем, но и подменять интерфейс приложений, совершать несанкционированные платежи, подключаться к платным сервисам и осуществлять утечку чувствительной информации.

Особую угрозу представляет созданный злоумышленниками поддельный интерфейс настроек доступности Android. Он выполнен в виде HTML-страницы с анимацией и интерфейсными элементами, идентичными настоящим, что сбивает пользователя с толку и заставляет предоставить критически важные разрешения.

Для обнаружения этой версии вредоноса исследователи разработали специальное правило YARA и собрали перечень индикаторов компрометации. Среди них — IP-адрес командного сервера 165.154.110.64, характерная сеть ICMP-запросов, зашифрованные соединения, подозрительные пути хранения файлов и специфические компоненты приложения.

Эксперты рекомендуют организациям усиливать защиту мобильных устройств с помощью политик MDM, блокировать известные IOCs на уровне межсетевых экранов, а также проводить регулярное обучение сотрудников по теме мобильного фишинга и поддельных приложений. Дополнительно рекомендуется сегментировать сеть для мобильных устройств и отслеживать аномальную активность в фоновом режиме.

Случай подчёркивает уровень развития мобильных угроз и демонстрирует, как злоумышленники используют технические возможности платформы и социальную инженерию для обхода встроенных механизмов безопасности. Усиление мобильной кибергигиены становится необходимым условием защиты как для компаний, так и для рядовых пользователей.