该木马样本集成了完整的SpyMax恶意代码，也采用了RAT常用方法去规避权限申请问题，但因其注册申请权限有限，并不能完美运行。经过一段时间的监控，并未捕获到其更加完善的样本，猜测其为了不引起受害者怀疑，更有目的性的选择必要功能，主要为定位和相机视频监控。

首先，SpyMax使用Socket进行通信，具有一个主要的管理服务，初始化时进行Socket检测和连接。其次，应用在自启动和多个Receiver监听启动的基础上，还具有websitetoapk平台集成的工作调度服务，Android API>=24时周期为900000ms(受限于系统设置最小间隔)，API<24时周期为15000ms，以此来保证服务的存活。

关于SpyMax家族的分析已经有很多，此处对其有效的主要恶意行为进行展示。

窃取用户手机定位信息，是该木马的主要恶意行为之一。代码分析显示，木马样本在获取定位信息时，会优先获取网络基站的定位信息，若基站定位信息不可用，再使用GPS定位。相关获取定位源码如下：

木马样本的相机视频监控实现是利用Socket不断的发送图片来实现的，使用android.graphics.YuvImage生成压缩文件格式jpeg。这也是SpyMax的基本实现方式。关键的源码如下：

该木马样本并非使用官方应用重打包生成，启动图标具有一定差异。

该木马样本相比官方应用申请了更多的权限，且把Android目标版本API降低到了22，所以在Android高版本设备运行时，会显示一次性的危险权限申请界面。

该木马样本采用第三方平台打包生成，在应用主题和组件上都与官方应用存在一定差异。

官方应用Home页：

木马样本Home页：

该木马样本需要申请前端服务，以防止被系统杀死，所以创建了一个相对隐匿的状态栏通知。

该木马样本属于SpyMax家族，SpyMaxV4是最新版本，它包含许多强大的功能，可以方便的从相关论坛和云存储获得其破解版，且兼容到Android版本12。SpyMax的功能UI展示如下：

一般使用RAT客户端工具生成的木马样本采用官方样本作为基料，注入恶意代码生成，而此次攻击活动样本是基于目标官网(exmuslimsofkerala.org),借助Web App转Android App的平台（websitetoapk.com）打包生成，根据对样本指纹信息的分析，我们确信其木马样本组装分为如下两步，对应我们捕获到的两个样本。

第一步：官网地址打包生成测试样本

2022年11月07日09:03，攻击者借助Website2APK Builder工具生成测试样本。

攻击使用官网地址：https://exmuslimsofkerala.org/

样本Hash: 5F8A396BDAD64C95BDC42E2602EDE3CE

样本清单文件信息如下：

第二步：SpyMax注入生成木马样本

2022年11月07日21:30，攻击者利用SpyMax将测试样本注入恶意代码，获得木马样本。

样本Hash: A2AAA788AB891868F135AB73E9B4DD0C

样本清单文件信息如下：

主要管理服务启动后，进行Socket连接服务器，服务器地址和端口采用加密硬编码，解密后地址为“policies-offline.at.ply.gg”，端口为“6767”。Socket连接代码如下：

域名解析后ip地址为209.25.142.211，通过奇安信威胁情报中心查询，可知其为境外IDC，经常被用作RAT服务器，近期100+条解析记录，关联众多的PE RAT样本。