이탈리아 디지털 권리 연구원들이 모르페우스(Morpheus)라는 정부용 스파이웨어를 적발했습니다. 이 스파이웨어는 휴대폰 업데이트로 위장합니다. 감염 기술은 교묘하면서도 효과적입니다. 통신사가 피해자의 모바일 데이터를 차단하고, 서비스를 복구할 수 있는 가짜 앱이 포함된 SMS를 보냅니다. 설치되면 악성코드는 Android 접근성 권한을 남용하여 화면을 읽고 데이터를 탈취합니다.
Android에서 모르페우스의 기술적 속임수 작동 방식 🕵️
일단 설치되면, 가짜 앱은 스파이웨어가 화면을 읽고 다른 앱과 상호작용할 수 있도록 하는 접근성 권한을 요청합니다. WhatsApp 탈취는 그 작동 방식의 한 예입니다. 지문을 요구하는 가짜 화면을 표시하고, 사용자가 터치하면 새 기기 추가를 모르는 사이에 승인하게 됩니다. 이로 인해 공격자는 계정에 대한 전체 액세스 권한을 얻습니다. 모르페우스는 제로클릭 익스플로잇을 사용하지 않고 속임수에 의존하므로 저비용 스파이웨어로 분류됩니다.
WhatsApp을 비우기 위해 지문을 요구하는 저비용 바이러스 🔓
가장 좋은 점은 이 저비용 스파이웨어가 기술적 걸작일 필요가 없다는 것입니다. 휴대폰에 긴급 업데이트가 필요하다고 설득하고, 덤으로 WhatsApp에 새 기기를 승인하기 위해 지문을 요구합니다. 마치 도둑이 자물쇠를 고쳐주겠다며 집 열쇠를 요구하는데, 당신이 기꺼이 건네주는 것과 같습니다. 결국, 이탈리아 회사 IPS는 30년 동안 합법적 감청을 해왔지만, 단순한 속임수가 어떤 익스플로잇보다 효과적이라는 것을 배운 것 같습니다.