안드로이드용 트로이 목마 SpyNote는 통화 내용을 녹음할 수 있습니다.

이탈리아 사이버 보안 회사인 클리피(Cleafy)에 따르면, 2023년 6월부터 유럽의 금융 기관을 대상으로 스파이노트(SpyNote)를 이용한 공격 캠페인이 감지되었습니다.

F-Secure의 보안 전문가들은 SpyNote(SpyMax라고도 함)가 일반적으로 SMS 피싱 캠페인을 통해 확산되며, 피해자들이 악성 코드가 포함된 링크를 클릭하여 애플리케이션을 설치하도록 유도한다고 밝혔습니다.

SpyNote는 통화 기록, 카메라, SMS 메시지 및 외부 저장소에 대한 접근 권한을 요청하는 것 외에도 탐지를 피하기 위해 존재를 숨기는 기능으로 알려져 있습니다. 분석 결과 SpyNote 악성 프로그램은 외부 프로그램을 통해 실행될 수 있는 것으로 나타났습니다.

핵심은 SpyNote가 접근 권한을 검색한 후, 이를 악용하여 음성 및 통화 녹음, 키 입력 기록, 스크린샷 캡처 등의 추가 권한을 획득한다는 점입니다. 연구원들의 추가 분석 결과, SpyNote에는 이 악성 애플리케이션을 종료하려는 시도를 차단하는 기능이 포함되어 있는 것으로 밝혀졌습니다.

이 악성 프로그램은 방송 정보를 수신하는 클래스를 등록하여 프로그램이 종료될 때마다 스스로 재시작되도록 설계되었습니다. 설정에서 악성 프로그램을 제거하려는 시도는 접근성 API를 사용하여 화면을 닫음으로써 차단됩니다.

F-Secure는 SpyNote가 기기에 문제를 일으켜 피해자들이 공장 초기화 외에는 다른 선택지가 없게 되며, 이 작업은 모든 데이터를 삭제한다고 밝혔습니다. 핀란드 사이버 보안 회사인 F-Secure의 이번 발표는 운영체제 업데이트로 위장한 안드로이드 애플리케이션이 피해자들을 속여 접근성 권한을 획득하게 함으로써 은행 계좌 정보와 문자 메시지를 탈취한다는 내용을 자세히 설명합니다.