가짜 구글 플레이 페이지, 안드로이드 사용자들에게 SpyNote 맬웨어를 퍼뜨린다

새로 발견된 안드로이드 악성코드 캠페인은 속임수 있는 웹사이트에서 Google Play Store 페이지를 흉내 내어 강력한 SpyNote 원격 접속 트로이(RAT)를 배포하고 있습니다.

Infosecurity의 보안 연구원들은 이번 캠페인이 최근에 등록된 도메인을 이용하여 사용자들이 인기 있는 소프트웨어로 위장된 감염된 앱을 다운로드하도록 속이는 방식을 사용한다고 밝혔습니다.

이 가짜 페이지들은 이미지 캐로셀, “설치” 버튼, TikTok의 안드로이드 앱을 참조하는 코드 조각 등으로 진짜 구글 플레이 목록과 매우 유사하게 보입니다. 사용자가 설치를 클릭하면, 악성 자바스크립트가 자동으로 함정이 설치된 APK 파일을 다운로드하게 합니다.

일단 설치되면, 이 APK는 숨겨진 기능을 실행하여 핵심 SpyNote 페이로드를 포함한 두 번째 APK를 배치합니다. 이 악성 소프트웨어는 코드에 내장된 하드코딩된 IP 주소를 사용하여 명령 및 제어(C2) 서버에 연결하며, 이를 통해 원격 액세스와 감시가 가능해집니다.

SpyNote는 공격자에게 감염된 장치에 대한 광범위한 제어 권한을 부여합니다. 그 기능에는 전화 및 SMS를 가로채는 것, 연락처에 접근하는 것, 전화 통화를 녹음하는 것, 키 입력을 기록하는 것, 카메라와 마이크를 활성화하는 것, 그리고 GPS 위치를 추적하는 것이 포함됩니다.

이 맬웨어는 또한 다른 앱을 설치하고, 장치를 잠그거나 지우고, Android의 접근성 서비스를 남용하여 제거를 방지할 수 있습니다.

“SpyNote는 지속성으로 악명이 높아, 종종 완전한 제거를 위해 공장 초기화가 필요하다”라고 DomainTools의 연구원들이 경고했습니다. 이들은 캠페인을 발견하였고, 이는 Infosecusiry에 의해 보고되었습니다.

악성 코드와 배포 인프라에서 발견된 단서들은 중국과의 가능한 연결을 시사합니다. 이 악성 코드는 중국어 코드를 포함하고 있고, 중국에서 호스팅되는 배포 플랫폼을 사용합니다.

Infosecurity는 명확한 귀속이 이루어지지 않았지만, SpyNote는 이전에 인도 방위 관계자에 대한 스파이 활동과 APT34, APT-C-37과 같은 고급 위협 그룹과 연관되어 있었다고 언급했습니다.

이 발견은 최근 은행 앱을 대상으로 한 ToxicPanda 맬웨어를 포함하여, 비슷한 안드로이드 대상 위협의 물결을 따르는 것입니다. 보안 전문가들은 제3자 앱 다운로드를 피하고 신뢰할 수 있는 앱 스토어에만 의존하는 것을 권장합니다.