Tổng quan

Trong bối cảnh các chiến dịch tấn công mạng ngày càng trở nên nguy hiểm thì bên cạnh đó những phần mềm gián điệp, phần mềm độc hại cũng trở nên phổ biến và tinh vi hơn bao giờ hết. Vào tháng 06 vừa qua đội ngũ FPT Threat Intelligence đã ghi nhận một chiến dịch gián điệp mới nhắm vào người dùng Android, trong đó phần mềm độc hại SpyNote được ngụy trang dưới dạng các ứng dụng quen thuộc nhằm đánh lừa người dùng tải xuống và tự cài đặt mã độc vào thiết bị của mình.

SpyNote là gì?

SpyNote được biết đến như là một phần mềm gián điệp (Android RAT - Remote Access Trojan) được thiết kế để kiểm soát thiết bị Android từ xa, thu thập dữ liệu cá nhân, và theo dõi người dùng mà không bị phát hiện.

Trojan SpyNote có khả năng “ẩn mình” cực nguy hiểm

Các biến thể của SpyNote thường sẽ đi kèm với nhiều chức năng đặc biệt nguy hiểm tiềm ẩn rủi ro cao đối với hệ thống thông tin:

Điều khiển camera hoặc micro để ghi âm hoặc quay lén.
Ghi nhận và gửi vị trí GPS thời gian thực.
Duyệt, xóa, sao chép file trên thiết bị.
Ghi lại mọi thao tác bàn phím (password, tin nhắn…).
Ghi âm cuộc gọi đến và đi
Cài/xóa/ẩn ứng dụng khác.
Tự ngụy trang dưới dạng các app hợp pháp như Google Translate, Facebook, DHL…
Có thể xem, chặn, hoặc gửi SMS mà không bị phát hiện.

SpyNote từng nổi tiếng từ cuối 2022 khi mã nguồn của chúng bị rò rỉ trên mạng và từ đó các biến thể của nó liên tục xuất hiện với thủ đoạn ngày càng tinh vi. Chúng ẩn mình trong các ứng dụng quen thuộc như: Google Translate, Temp Mail, Deutsche Postbank... Không chỉ tinh vi ở hình thức, mã độc này còn lây lan thông qua các thư mục công khai trên internet, cho thấy sự kết hợp nguy hiểm giữa cấu hình máy chủ yếu kém và kỹ thuật ngụy trang tinh vi mà những kẻ tấn công thực hiện.

Android Spyware

Bên cạnh đó SpyNote liên tục khai thác các lỗ hổng mới để xâm nhập thiết bị và lấy cắp dữ liệu nhạy cảm từ đó gửi về các máy chủ C2 để quản lý. Mạng lưới C2 đa dạng giúp kẻ tấn công duy trì liên lạc cũng như tránh bị vô hiệu hóa nhanh.

Cuộc điều tra của các chuyên gia đã phát hiện hàng loạt tệp tin .apk chứa mã độc SpyNote nằm trong các thư mục công khai (open directory) trên internet, nơi lưu trữ mà bất kỳ ai cũng có thể truy cập và tải xuống.

Các biến thể nguy hiểm

SpyNote.C (2022–2023): Được phát tán qua SMS hoặc giả danh app ngân hàng. Ghi âm cuộc gọi và chụp màn hình.

SpyNote 6.4 (2023): Nguồn mở rò rỉ trên GitHub – dễ bị lợi dụng bởi tội phạm mới.

Google Translate Fake (2025): Ngụy trang là Google Translate, TempMail, Postbank, phân phối qua AWS & DuckDNS.

Rủi ro thực tế

Người dùng không nghi ngờ: Giao diện giả mạo giống y như thật khiến họ yên tâm cài đặt từ nguồn không chính thức.
Thu thập data toàn diện: Từ vị trí, danh bạ, tin nhắn, nhật ký cuộc gọi đến file cá nhân, ảnh, thậm chí yêu cầu toàn quyền truy cập thiết bị.
Giám sát & kiểm soát từ xa: SpyNote có khả năng ghi âm, chụp ảnh, điều khiển camera/microphone, keylogger, và thậm chí quản lý app và xóa dữ liệu.
Khó gỡ bỏ & neutralize: Hạ tầng C2 phân tán qua dynamic DNS và nhiều máy chủ giúp phần mềm ăn sâu, ngay cả khi một server bị take down.

Cách Android SpyNote hoạt động

Kỹ thuật ngụy trang
- Ban đầu tin tặc sẽ sử dụng các tệp APK được đặt tên và thiết kế giống hệt các ứng dụng thật như: Translate.apk, Google.apk và chúng sẽ mô phỏng gần như hoàn toàn ứng dụng Google Translate thật. Các tệp APK giả mạo này sẽ được tin tặc phân phối qua:
  - Email/phishing
  - Kho lưu trữ mở (open directories)
  - Telegram, Discord, kênh Crack APK
  - Web giả mạo (Google Translate, DHL, Netflix…)

Android Spyware

Tuy nhiên, trong phần yêu cầu quyền Accessibility còn hiện dòng placeholder “Enable [MY-NAME]” – dấu hiệu rõ ràng của sự tùy chỉnh cẩu thả

Khai thác hệ thống

Sau khi đã cài đặt SpyNote yêu cầu quyền “admin thiết bị” và dịch vụ Accessibility. Những quyền này cho phép malware:
- Theo dõi vị trí liên tục.
- Đọc SMS, lịch sử cuộc gọi, danh bạ.
- Ghi lại bàn phím (keylogging) và có thể kích hoạt micro/camera .

Liên lạc và điều khiển
- Sau khi đã theo dõi và thu thập thông tin người dùng, phần mềm liên tục kết nối đến các server điều khiển (C2) qua DuckDNS hoặc Cloudflare ở nhiều IP khác nhau như 18.219.97.209:8080, 156.245.20.17:7771, 95.214.177.114:3210…Mạng lưới C2 đa dạng giúp kẻ tấn công duy trì liên lạc cũng như tránh bị vô hiệu hóa nhanh.

Tổng kết

Chiến dịch SpyNote cực kỳ nguy hiểm vì kết hợp nhiều kỹ thuật: gián điệp toàn diện, ngụy trang app uy tín, hạ tầng C&C linh hoạt và khả năng giám sát – điều khiển từ xa trên thiết bị bị nhiễm. Việc lan truyền qua kho lưu trữ mở nhấn mạnh sự cần thiết của việc cảnh giác khi tải APK không rõ nguồn, đánh giá kỹ phần quyền và sử dụng các công cụ bảo mật/threat intelligence để phát hiện sớm.

Khuyến nghị

Không cài ứng dụng từ ngoài Google Play Store.
Không cấp quyền Accessibility hoặc Admin cho các ứng dụng không rõ nguồn gốc.
Cài antivirus uy tín (Kaspersky, BitDefender, Malwarebytes…).
Kiểm tra danh sách Device Admin và Accessibility trong cài đặt.
Không bấm vào liên kết lạ hoặc tải APK từ Telegram/Facebook.

IOC

Địa chỉ IP C2 & Ports
- 156.245.20.17:7771 – beacon từ Temp_20Mail.apk
- 18.219.97.209:8081 – C2 từ Google.apk/Translate.apk
- 95.214.177.114:3210 – C2 từ postbank.apk
- 66.42.63.74:8282 – hardcoded trong biến thể mới
- 213.136.80.208 (port mặc định trong base.apk)
- 82.137.218.185:215 – C2 qua port TCP/215
- 139.45.197.252:443 – botnet C2 liên quan SpyNote
Domain / Dynamic DNS C2
- kyabhai.duckdns.org
- oebonur600.duckdns.org
- gw.585822.vip
- nerjowmqw.com
- kmyjh.top
- bafanglaicai888.top
Hash các APK độc hại
- Translate.apk & Google.apk (SHA‑1): 3aad911b21907053a69b49086a6396c50714accb
- Temp_20Mail.apk (SHA‑1): 5b9bfa06d05172f61d1ee19724fcd12cec110353
- postbank.apk (SHA‑1): dc9a821f1e061098188503dbf7518bf263334fcd
- SpyNote RAT giả Adobe Reader:
  - Package: com.editorpdf.acrobat
  - Hash (MD5): F115C634016A9199054358515C19B40
Các domain lưu trữ/gắn link độc
- kmyjh.top/002.apk

Phần mềm gián điệp Android SpyNote đã tấn công người dùng trên toàn cầu thông qua Google Translate và Temp Mail