Phần mềm gián điệp Android SpyNote đã tấn công người dùng trên toàn cầu thông qua Google Translate và Temp Mail


Tổng quan
Trong bối cảnh các chiến dịch tấn công mạng ngày càng trở nên nguy hiểm thì bên cạnh đó những phần mềm gián điệp, phần mềm độc hại cũng trở nên phổ biến và tinh vi hơn bao giờ hết. Vào tháng 06 vừa qua đội ngũ FPT Threat Intelligence đã ghi nhận một chiến dịch gián điệp mới nhắm vào người dùng Android, trong đó phần mềm độc hại SpyNote được ngụy trang dưới dạng các ứng dụng quen thuộc nhằm đánh lừa người dùng tải xuống và tự cài đặt mã độc vào thiết bị của mình.
SpyNote là gì?
SpyNote được biết đến như là một phần mềm gián điệp (Android RAT - Remote Access Trojan) được thiết kế để kiểm soát thiết bị Android từ xa, thu thập dữ liệu cá nhân, và theo dõi người dùng mà không bị phát hiện.
Các biến thể của SpyNote thường sẽ đi kèm với nhiều chức năng đặc biệt nguy hiểm tiềm ẩn rủi ro cao đối với hệ thống thông tin:
Điều khiển camera hoặc micro để ghi âm hoặc quay lén.
Ghi nhận và gửi vị trí GPS thời gian thực.
Duyệt, xóa, sao chép file trên thiết bị.
Ghi lại mọi thao tác bàn phím (password, tin nhắn…).
Ghi âm cuộc gọi đến và đi
Cài/xóa/ẩn ứng dụng khác.
Tự ngụy trang dưới dạng các app hợp pháp như Google Translate, Facebook, DHL…
Có thể xem, chặn, hoặc gửi SMS mà không bị phát hiện.
SpyNote từng nổi tiếng từ cuối 2022 khi mã nguồn của chúng bị rò rỉ trên mạng và từ đó các biến thể của nó liên tục xuất hiện với thủ đoạn ngày càng tinh vi. Chúng ẩn mình trong các ứng dụng quen thuộc như: Google Translate, Temp Mail, Deutsche Postbank... Không chỉ tinh vi ở hình thức, mã độc này còn lây lan thông qua các thư mục công khai trên internet, cho thấy sự kết hợp nguy hiểm giữa cấu hình máy chủ yếu kém và kỹ thuật ngụy trang tinh vi mà những kẻ tấn công thực hiện.
Bên cạnh đó SpyNote liên tục khai thác các lỗ hổng mới để xâm nhập thiết bị và lấy cắp dữ liệu nhạy cảm từ đó gửi về các máy chủ C2 để quản lý. Mạng lưới C2 đa dạng giúp kẻ tấn công duy trì liên lạc cũng như tránh bị vô hiệu hóa nhanh.
Cuộc điều tra của các chuyên gia đã phát hiện hàng loạt tệp tin .apk chứa mã độc SpyNote nằm trong các thư mục công khai (open directory) trên internet, nơi lưu trữ mà bất kỳ ai cũng có thể truy cập và tải xuống.
Các biến thể nguy hiểm
SpyNote.C (2022–2023): Được phát tán qua SMS hoặc giả danh app ngân hàng. Ghi âm cuộc gọi và chụp màn hình.
SpyNote 6.4 (2023): Nguồn mở rò rỉ trên GitHub – dễ bị lợi dụng bởi tội phạm mới.
Google Translate Fake (2025): Ngụy trang là Google Translate, TempMail, Postbank, phân phối qua AWS & DuckDNS.
Rủi ro thực tế
Người dùng không nghi ngờ: Giao diện giả mạo giống y như thật khiến họ yên tâm cài đặt từ nguồn không chính thức.
Thu thập data toàn diện: Từ vị trí, danh bạ, tin nhắn, nhật ký cuộc gọi đến file cá nhân, ảnh, thậm chí yêu cầu toàn quyền truy cập thiết bị.
Giám sát & kiểm soát từ xa: SpyNote có khả năng ghi âm, chụp ảnh, điều khiển camera/microphone, keylogger, và thậm chí quản lý app và xóa dữ liệu.
Khó gỡ bỏ & neutralize: Hạ tầng C2 phân tán qua dynamic DNS và nhiều máy chủ giúp phần mềm ăn sâu, ngay cả khi một server bị take down.
Cách Android SpyNote hoạt động
Kỹ thuật ngụy trang
Ban đầu tin tặc sẽ sử dụng các tệp
APK
được đặt tên và thiết kế giống hệt các ứng dụng thật như:Translate.apk
,Google.apk
và chúng sẽ mô phỏng gần như hoàn toàn ứng dụng Google Translate thật. Các tệpAPK
giả mạo này sẽ được tin tặc phân phối qua:Email/phishing
Kho lưu trữ mở (open directories)
Telegram, Discord, kênh Crack APK
Web giả mạo (Google Translate, DHL, Netflix…)
- Tuy nhiên, trong phần yêu cầu quyền Accessibility còn hiện dòng placeholder “Enable [MY-NAME]” – dấu hiệu rõ ràng của sự tùy chỉnh cẩu thả
- Khai thác hệ thống
Sau khi đã cài đặt SpyNote yêu cầu quyền “admin thiết bị” và dịch vụ Accessibility. Những quyền này cho phép malware:
Theo dõi vị trí liên tục.
Đọc SMS, lịch sử cuộc gọi, danh bạ.
Ghi lại bàn phím (keylogging) và có thể kích hoạt micro/camera .
Liên lạc và điều khiển
- Sau khi đã theo dõi và thu thập thông tin người dùng, phần mềm liên tục kết nối đến các server điều khiển (C2) qua DuckDNS hoặc Cloudflare ở nhiều IP khác nhau như
18.219.97.209:8080
,156.245.20.17:7771
,95.214.177.114:3210
…Mạng lưới C2 đa dạng giúp kẻ tấn công duy trì liên lạc cũng như tránh bị vô hiệu hóa nhanh.
- Sau khi đã theo dõi và thu thập thông tin người dùng, phần mềm liên tục kết nối đến các server điều khiển (C2) qua DuckDNS hoặc Cloudflare ở nhiều IP khác nhau như
Tổng kết
Chiến dịch SpyNote cực kỳ nguy hiểm vì kết hợp nhiều kỹ thuật: gián điệp toàn diện, ngụy trang app uy tín, hạ tầng C&C linh hoạt và khả năng giám sát – điều khiển từ xa trên thiết bị bị nhiễm. Việc lan truyền qua kho lưu trữ mở nhấn mạnh sự cần thiết của việc cảnh giác khi tải APK không rõ nguồn, đánh giá kỹ phần quyền và sử dụng các công cụ bảo mật/threat intelligence để phát hiện sớm.
Khuyến nghị
Không cài ứng dụng từ ngoài Google Play Store.
Không cấp quyền Accessibility hoặc Admin cho các ứng dụng không rõ nguồn gốc.
Cài antivirus uy tín (Kaspersky, BitDefender, Malwarebytes…).
Kiểm tra danh sách Device Admin và Accessibility trong cài đặt.
Không bấm vào liên kết lạ hoặc tải APK từ Telegram/Facebook.
IOC
Địa chỉ IP C2 & Ports
156.245.20.17:7771
– beacon từ Temp_20Mail.apk18.219.97.209:8081
– C2 từ Google.apk/Translate.apk95.214.177.114:3210
– C2 từ postbank.apk66.42.63.74:8282
– hardcoded trong biến thể mới213.136.80.208
(port mặc định trong base.apk)82.137.218.185:215
– C2 qua port TCP/215139.45.197.252:443
– botnet C2 liên quan SpyNote
Domain / Dynamic DNS C2
kyabhai.duckdns.org
oebonur600.duckdns.org
gw.585822.vip
nerjowmqw.com
kmyjh.top
bafanglaicai888.top
Hash các APK độc hại
Translate.apk
&Google.apk
(SHA‑1):3aad911b21907053a69b49086a6396c50714accb
Temp_20Mail.apk
(SHA‑1):5b9bfa06d05172f61d1ee19724fcd12cec110353
postbank.apk
(SHA‑1):dc9a821f1e061098188503dbf7518bf263334fcd
SpyNote RAT giả Adobe Reader:
Package:
com.editorpdf.acrobat
Hash (MD5):
F115C634016A9199054358515C19B40
Các domain lưu trữ/gắn link độc
- kmyjh.top/002.apk
Tham khảo
Subscribe to my newsletter
Read articles from Lưu Tuấn Anh directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by
