안드로이드 원격 관리 도구 (RAT)를 위한 코드인 SpyNote는 2016년 중반에 배포되었습니다.
그 이후로 여러 변종이 약간의 수정이 되었지만 SpyNote의 핵심 기능을 유지하면서 피해자를 감시하고 있습니다.
그러나 얼마전 새로운 변종이 발견되었으며, 몇 개의 보고서에 따르면 새로운 변종에 속하는 일부 샘플은
Google Play에서 사용할 수 있었으며, 일부 사용자가 잠재적으로 설치했을 가능성이 있습니다.

 

오늘은 Android RAT SpyNote와 관련하여 포스팅 하도록 하겠습니다.

 

먼저 SpyNote의 개요입니다.
SpyNote는 대상 장치의 중요한 데이터를 캡쳐하여 공격자에게 전송하는 Android 원격 관리 도구(RAT)입니다.
일반적으로 SpyNote가 현재버전 4에 대한 설명을 기반으로 아래에 표시된 판에 나타납니다.

 

새로운 변종

 

SpyNote를 근간으로 한동안 펼쳐온 새로운 캠페인에 대한 보고서가 있었습니다.
이 변종은 SpyNote의 대부분의 기능을 수행하며, 그 중 일부는 다음과 같습니다.

 

- 통화 기록 읽기
- 전화 걸기

 

- 장치에서 연락처 세부 정보 추출
- 장치의 다른 폴더에 있는 파일 나열
- 오디오 녹음

 

 

- 기기에서 앱 삭제

 

 

사용자를 감시하는것은 이 앱의 유일한 목적이 아니며, 기기를 추가적인 공격에 취약하도록 만듭니다.
명령 중 하나는 URL을 사용하여 다운로드를 시작하는 것 입니다.
추가로 악의적인 앱을 다운로드하고 장치를 더 감염시키거나 다른 악의적인 캠페인을 전파하는 통로로 사용할 수 있습니다.

 

- URL을 통한 다운로드 시작

 

 

새로운 변종에 추가된 주요 특징은 침입자가 멀웨어에 감염된 후 어떻게 통신하는가 입니다.
A0, A1등과 같이 A[number]코드를 따르는 명령이 공격자에 의해 전송됩니다.
이러한 모든 코드에는 멀웨어가 수행해야하는 작업을 결정하는 사례가 있습니다.

 


결과는 공격자에게 B3, B4와 같은 형식 B[number] 형식으로 표시됩니다.

 

 

코드에는 72개의 하드 코드된 명령어가 포함되어 있습니다.
SpyNote의 이전 버전과 현재 멀웨어 사이의 몇가지 유사점은 둘 사이의 유대 관계를 암시합니다.

 

- 코드 구조와 클래스 이름은 비슷합니다.
- 민감한 사용자 정보 추출에 중점을 둡니다.
- 그러나 모든 버전에는 문자열 screamHacker가 포함 되어있습니다.

 

 

Android 악성 코드는 수정 및 추가로 끊임없이 발전되어왔으며, 많은 악성 프로그램 계열에서

이를 보아왔습니다.
SpyNote에서도 마찬가지입니다.

현재 변경 사항과 유사하게 이 캠페인의 역량을 향상시키는 이 멀웨어 변종에서 더 많은 수정이

있을거라 예상됩니다.

 

이번시간에는 Android RAT SpyNote 관련 이슈에 대해 포스팅 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.

 

 


Posted by 로버무트