일반적으로 안드로이드 악성코드의 경우 새로운 발견은 기존 발견을 기반으로 하는 경우가 많습니다. 그러나 이번 안드로이드 악성코드의 경우는 그렇지 않습니다. 안드로이드용 새로운 뱅킹 트로이 목마현재 온라인에서 널리 유포되고 있습니다. 완전히 새롭게 작성된 것으로 보이며, 기존 맬웨어 계열과 코드상 유사성이 없습니다.
내가 언급 한 바와 같이 해커 뉴스Threat Fabric의 보안 연구원들은 이 새로운 뱅킹 트로이 목마를 RatOn이라고 명명했습니다. 이들은 근거리 무선 통신(NFC)을 사용하여 무방비 상태의 안드로이드 사용자로부터 비접촉식 결제 정보를 훔치는 또 다른 악성코드 변종을 조사하던 중 이 악성코드를 발견했습니다. 이 새로운 샘플에서 가장 놀라운 점은 악성 애플리케이션 하나였지만, 그것은 여러 애플리케이션이 포함된 캠페인의 일부였습니다.
Threat Fabric은 이 새로운 캠페인을 심층 분석한 결과, RatOn이 여러 가지 고유한 기능을 갖춘 완벽한 기능을 갖춘 뱅킹 트로이 목마임을 발견했습니다. 이 뱅킹 트로이 목마는 최고급 안드로이드 휴대폰과 그 안의 계좌를 장악할 수 있을 뿐만 아니라, 자동 송금을 수행하고 사용자 지정 오버레이 공격을 사용하여 피해자가 자신의 기기가 랜섬웨어에 감염되었다고 믿도록 속일 수도 있습니다.
새로운 악성 소프트웨어에 대해 알아야 할 모든 정보와 금융 계좌를 완전히 고갈시킬 수 있는 뱅킹 트로이 목마로부터 안드로이드 휴대폰을 안전하게 보호하기 위한 몇 가지 팁과 요령을 소개합니다.
오버레이에서 자동 송금까지
이 캠페인의 배후에 있는 해커들은 잠재적 피해자들을 속여 악성 앱을 설치하도록 유도하기 위해 여러 개의 포르노 도메인을 등록하고 이를 미끼로 사용했습니다. 특히, 이 가짜 웹사이트들은 이름에 "TikTok18+"라는 문구를 포함하고 있었습니다. 그러나 Threat Fabric의 보안 연구원들은 해커들이 어떻게 피해자들을 이러한 사이트로 유인했는지 알아낼 수 없었습니다. 과거에 저는 해커들이 다음과 같은 방법을 사용하는 것을 본 적이 있습니다. 피싱 메시지, 소셜 미디어의 무작위 메시지, 심지어 가짜 광고 사람들이 악성 사이트로 연결되는 링크를 클릭하도록 유도하기 위해서입니다.
누군가가 Android 휴대폰에 TikTok의 "성인 전용" 버전을 설치할 만큼 순진하다면 실제로 설치하게 될 것은 다음과 같습니다. 소프트웨어를 설치하는 악성코드 또는 타사 소프트웨어 설치 프로그램일 수 있습니다. 악성 설치 프로그램은 사용자를 속여 알 수 없는 출처의 앱을 설치할 수 있는 권한을 부여함으로써 Android의 내장 보안 기능을 우회할 수 있습니다. 이 보안 기능은 첫 번째 페이로드를 다운로드하고 설치하는 데 사용되며, 이후 두 번째 페이로드와 더불어 해커가 기기를 사기 치려는 데 필수적인 두 가지 권한, 즉 접근성 서비스 접근 권한과 기기 관리자 권한을 요청합니다.
다른 은행 트로이 목마와 마찬가지로 RatOn은 서비스를 악용합니다. 사용 편의성 안드로이드에서 해커는 감염된 기기에 오버레이 공격을 실행할 수 있습니다. 이러한 공격에 익숙하지 않은 분들을 위해 설명드리자면, 해커가 인기 있는 뱅킹 및 금융 앱 위에 마치 정상적인 로그인 화면처럼 보이는 오버레이를 배치하는 것입니다. 이렇게 하면 해커는 피해자의 은행 자격 증명을 수집하여 피해자가 자신의 뱅킹 또는 금융 앱이나 암호화폐 지갑에 로그인하는 것처럼 착각하여 피해자가 모르게 계좌에 접근할 수 있습니다.
RatOn 맬웨어를 사용하는 사이버 범죄자들이 할 수 있는 또 다른 흥미로운 점은 오버레이를 사용하여 피해자의 휴대폰이 해커에 의해 잠겼다고 믿게 만드는 것입니다. 물론, 휴대폰을 잠금 해제하려면 랜섬웨어 공격과 마찬가지로 거액의 돈을 보내야 합니다. 하지만 휴대폰이 실제로 랜섬웨어에 감염되지는 않았지만, RatOn 뱅킹 트로이 목마에 감염되었습니다.
RatOn은 또한 악의적인 활동을 수행하기 위해 연락처에 대한 읽기/쓰기 권한을 요청하고 시스템 설정을 관리합니다. 여기서 세 번째 페이로드가 다운로드되는데, 이는 Threat Fabric이 처음 조사했던 NFSkate 맬웨어입니다. NFSkate는 Ghost Tap이라는 기술을 사용하여 NFC 릴레이 공격을 수행하고 비접촉식 결제 정보를 탈취할 수 있습니다. 그러나 이 맬웨어 변종은 대상 안드로이드 휴대폰의 물리적 범위 내에서 직접 공격을 실행해야 합니다.
이제 RatOn을 통해 이 새로운 악성코드는 안드로이드의 접근성 서비스를 악용하여 자동 거래 이체(ATS)를 수행할 수 있습니다. 즉, 이 악성코드를 공격에 사용하는 해커는 전 세계 어디에서나 사용자의 은행 계좌에서 자금을 인출할 수 있습니다. 심지어 사용자와 같은 공간에 있을 필요도 없습니다.
뱅킹 트로이 목마로부터 자신을 보호하는 방법은?
다행히 RatOn은 현재 체코 공화국의 안드로이드 사용자만 공격 대상으로 삼고 있습니다. 하지만 다른 안드로이드 악성코드와 마찬가지로, 이 지역은 악성코드 제작자들이 미국이나 영국 등 다른 국가의 안드로이드 폰을 공격하기 전에 악성코드의 성능을 시험하기 위한 테스트 장소일 수 있습니다.
저는 RatOn과 이 새로운 안드로이드 맬웨어가 어떻게 발전하는지 주의 깊게 지켜보겠지만, 그동안 위험한 트로이 목마로부터 휴대전화(및 은행 계좌)를 안전하게 보호하는 데 도움이 되는 몇 가지 팁과 요령을 알려드리겠습니다.
우선, 당신은 결코 해서는 안 됩니다 신뢰할 수 없는 출처에서 Android 앱 설치Google Play 스토어나 Samsung Galaxy Store와 같은 공식 스토어에서 새 앱을 다운로드하는 것이 가장 좋습니다. Google은 곧 다음 버전의 Android에서 타사 앱 설치를 완전히 차단할 수도 있지만, 현재로서는 휴대폰에 새 앱을 설치하는 쉬운 방법처럼 보이더라도 피하는 것이 좋습니다.
새로운 앱을 설치할 때는 매우 주의해야 합니다. 좋은 앱이라도 악성 앱으로 변할 수 있기 때문입니다. 따라서 휴대폰에 설치된 앱의 개수를 전반적으로 줄이는 것을 강력히 권장합니다. 특정 앱을 오랫동안 사용하지 않았다면 삭제하는 것이 가장 좋습니다.
악성 앱으로부터 자신을 보호하려면 휴대폰에서 Google Play Protect를 활성화하세요. 이 무료 내장 보안 소프트웨어는 기존 앱과 새로 다운로드한 앱을 모두 검사하여 맬웨어나 기타 악성 활동 징후를 탐지합니다. 보안을 강화하려면 다음 중 하나를 활성화하는 것이 좋습니다. 안드로이드를 위한 최고의 바이러스 백신 앱 요요.
해커들의 활동은 당분간 멈추지 않을 것이며, RatOn과 같은 새로운 악성코드와 뱅킹 트로이 목마가 끊임없이 등장하고 있어 주의해야 합니다. 하지만 사이버 보안을 철저히 지키고, 알 수 없는 발신자의 링크를 클릭하지 않으며, 신뢰성이 낮은 사이트에서 발견한 타사 앱을 설치하지 않는다면 안전할 것입니다.
댓글이 닫혀있다.