링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

Android SpyNote는 일본의 전기 및 수도 공공 유틸리티 사용자를 공격합니다.

작성자: 오쿠토미 유키히로

McAfee의 모바일 팀은 2023년 6월 초에 전력 및 수자원 인프라 회사로 가장한 일본 Android 사용자를 대상으로 한 스미싱 캠페인을 관찰했습니다. 이 캠페인은 짧은 기간 동안 진행되었습니다. 시간 SMS 메시지는 결제 문제에 대해 경고하여 피해자를 피싱 웹사이트로 유인하여 원격 제어 SpyNote 악성 코드로 대상 장치를 감염시킵니다. 과거에는 사이버 범죄자들이 금융 기관을 표적으로 삼는 경우가 많았습니다. 그러나 이번 사건에서는 공공기관이 긴박감을 조성하고 피해자들에게 즉각 행동을 촉구하는 표적이 됐다. McAfee Mobile Security로 Android 및 iOS 모바일 장치를 보호하세요.

스미싱 공격 운동

사칭하는 피싱 SMS 메시지 또는 공급업체 주장 아래 스크린샷과 같이 결제 문제가 발생했습니다. URL은 피해자를 피싱 웹사이트로 연결하는 메시지 모바일 악성 코드를 다운로드하려면.

전력 송전 중단 통지 때문에 요금을 지불하지 않음 도쿄의 한 전력회사 (원천: 트위터)

도쿄의 한 수도 회사의 요금 미납으로 인한 수도 공급 중단 통지(출처: 트위터)

모바일 브라우저로 접속하면 악성코드 다운로드가 시작되고 악성코드 설치 확인 대화상자가 표시됩니다.

브라우저를 통한 스파이웨어 설치 확인 대화 상자(출처: 트위터)

스파이노트 악성코드

스파이노트(SpyNote)는 2022년 10월 소스코드가 유출된 이후 확산된 것으로 알려진 악성코드군이다. 최근 이 악성코드는 캠페인에 사용됐다. 1월 금융기관 타깃 그리고 2023년 4월 일본은행 목표.

SpyNote 악성코드는 접근성 서비스와 장치 관리자 권한을 악용하는 원격으로 제어되는 스파이웨어입니다. 장치 정보와 장치 위치, 연락처, 수신 및 발신 SMS 메시지, 전화 통화 등 민감한 사용자 정보를 훔칩니다. 이 악성코드는 합법적인 앱 아이콘을 사용하여 실제처럼 보이도록 하여 사용자를 속입니다.

악성코드로 위장한 애플리케이션 아이콘.

악성코드를 실행한 후 앱은 가짜 설정 화면을 열고 사용자에게 접근성 기능을 활성화하라는 메시지를 표시합니다. 화면 하단의 화살표를 클릭하면 시스템 접근성 서비스 설정 화면이 나타납니다.

가짜 설정 화면(왼쪽), 시스템 설정 화면(가운데, 오른쪽)

악성코드는 접근성 서비스를 허용함으로써 백그라운드에서 실행될 수 있도록 배터리 최적화를 비활성화하고 사용자가 모르는 사이에 다른 악성코드를 설치할 수 있도록 알 수 없는 소스 설치 권한을 자동으로 부여합니다. 피해자의 기기를 감시하는 것 외에도 Google Authenticator의 이중 인증과 감염된 기기의 Gmail 및 Facebook 정보도 훔칩니다.

배포 방식은 다르지만, 앱 실행 후 접근성 서비스를 요청하는 단계는 유사합니다. 지난 4월 발생한 일본은행 사건.

사기꾼은 최근 사건을 파악하고 고객에게 연락할 이유가 있는 유명 회사를 사칭하려고 시도합니다. 이번에 발견된 스파이노트를 이용한 모바일 악성코드 공격은 전기, 수도 등 생활 인프라용 모바일 앱을 대상으로 한 것으로 밝혀졌다. 그 이유 중 하나는 종이로 발행되던 전기요금, 수도요금이 이제 웹과 모바일 앱에서 관리되기 때문입니다. 스미싱에 대해 알고 싶다면 이 글을 참고하세요.스미싱이란 무엇입니까? 가짜 텍스트를 식별하고 정보를 안전하게 유지하는 방법은 다음과 같습니다.“. McAfee Mobile Security는 이 위협을 Android/SpyNote로 감지하고 해당 위협이 있을 경우 모바일 사용자에게 경고하고 데이터 손실로부터 추가로 보호합니다. 자세한 내용은 다음을 방문하세요. 맥아피 모바일 시큐리티.

침해 지표(IoC)

C2 서버:

악성 코드 샘플:

SHA256 해시 패키지 이름 애플리케이션 이름
075909870a3d16a194e084fbe7a98d2da07c8317fcbfe1f25e5478e585be1954 com.faceai.boot 이동통신사 안전 설정
e2c7d2acb56be38c19980e6e2c91b00a958c93adb37cb19d65400d9912e6333f com.faceai.boot 도쿄전력
a532c43202c98f6b37489fb019ebe166ad5f32de5e9b395b3fc41404bf60d734 com.faceai.boot 도쿄전력도쿄전력
cb9e6522755fbf618c57ebb11d88160fb5aeb9ae96c846ed10d6213cdd8a4f5d com.faceai.boot 도쿄전력도쿄전력
59cdbe8e4d265d7e3f4deec3cf69039143b27c1b594dbe3f0473a1b7f7ade9a6 com.faceai.boot 도쿄전력도쿄전력
8d6e1f448ae3e00c06983471ee26e16f6ab357ee6467b7dce2454fb0814a34d2 com.faceai.boot 도쿄전력도쿄전력
5bdbd8895b9adf39aa8bead0e3587cc786e375ecd2e1519ad5291147a8ca00b6 com.faceai.boot 도쿄전력도쿄전력
a6f9fa36701be31597ad10e1cec51ebf855644b090ed42ed57316c2f0b57ea3c com.faceai.boot 도쿄전력도쿄전력
f6e2addd189bb534863afeb0d06bcda01d0174f5eac6ee4deeb3d85f35449422 com.faceai.boot 도쿄전력도쿄전력
755585571f47cd71df72af0fad880db5a4d443dacd5ace9cc6ed7a931cb9c21d com.faceai.boot 도쿄전력도쿄전력
2352887e3fc1e9070850115243fad85c6f1b367d9e645ad8fc7ba28192d6fb85 com.faceai.boot 도쿄전력도쿄전력
90edb28b349db35d32c0190433d3b82949b45e0b1d7f7288c08e56ede81615ba com.faceai.boot 도쿄전력도쿄전력
513dbe3ff2b4e8caf3a8040f3412620a3627c74a7a79cce7d9fab5e3d08b447b com.faceai.boot 도쿄전력도쿄전력
f6e2addd189bb534863afeb0d06bcda01d0174f5eac6ee4deeb3d85f35449422 com.faceai.boot 도쿄전력도쿄전력
0fd87da37712e31d39781456c9c1fef48566eee3f616fbcb57a81deb5c66cbc1 com.faceai.boom 도쿄 수도국 앱
acd36f7e896e3e3806114d397240bd7431fcef9d7f0b268a4e889161e51d802b com.faceai.boom 도쿄 수도국 앱
91e2f316871704ad7ef1ec74c84e3e4e41f557269453351771223496d5de594e com.faceai.boom 도쿄 수도국 앱

Android SpyNote는 일본의 전기 및 수도 공공 유틸리티 사용자를 공격합니다.

McAfee 모바일 보안 다운로드

맥아피 모바일 시큐리티 – Android 및 iOS 보호

Leave A Reply

Your email address will not be published.