Android의 SpyNote 트로이 목마는 통화를 녹음할 수 있습니다.

이탈리아 사이버보안 회사인 클리피(Cleafy)에 따르면, 2023년 6월부터 유럽의 금융 기관을 표적으로 삼아 SpyNote를 이용한 캠페인이 발견되었습니다.

F-Secure의 보안 전문가들은 SpyNote(SpyMax라고도 함)가 종종 SMS 피싱 캠페인을 통해 확산되어 피해자가 악성 코드가 포함된 링크를 클릭하여 앱을 설치하도록 속인다고 밝혔습니다.

SpyNote는 통화 기록, 카메라, SMS 메시지, 외부 저장 장치에 대한 접근 권한을 요청하는 것 외에도, 탐지를 피하기 위해 자신의 존재를 숨기는 것으로 알려져 있습니다. 분석에 따르면, SpyNote 악성코드는 외부 프로그램을 통해 실행될 수 있습니다.

결정적으로, SpyNote는 권한을 검색한 후 이를 활용하여 오디오 및 전화 통화, 키보드 입력, 휴대폰 스크린샷 촬영 등의 추가 권한을 부여합니다. 추가 분석 결과, SpyNote에는 악성 앱 종료 시도를 차단하는 기능이 포함되어 있는 것으로 밝혀졌습니다.

이 기능은 프로그램이 종료될 때마다 자동으로 재시작되도록 설계된 브로드캐스트 리시버 클래스를 등록하여 작동합니다. 설정에서 악성 앱을 제거하려는 시도는 접근성 API를 사용하여 화면을 닫음으로써 차단됩니다.

F-Secure는 SpyNote가 기기에 문제를 일으켜 피해자가 공장 초기화를 수행하여 모든 데이터를 삭제할 수 있도록 했다고 밝혔습니다. 이 발표는 핀란드 사이버 보안 업체가 운영체제 업데이트로 위장하여 피해자가 접근성 서비스에 접근하도록 유도하는 안드로이드 앱에 대한 자세한 내용을 공개한 가운데 나온 것입니다. 이 앱은 은행 데이터와 SMS 메시지를 훔칠 수 있습니다.