보안 연구원들이 사용자의 민감한 정보를 훔치고 공격자가 감염된 장치를 원격으로 제어할 수 있게 해주는 새로운 Android 뱅킹 트로이 목마를 발견했습니다.
네덜란드 보안 회사인 ThreatFabric은 목요일에 발표된 분석에서 “Brokewell은 데이터 절도 및 원격 제어 기능이 악성 코드에 내장되어 있는 전형적인 현대 금융 악성 코드입니다.”라고 밝혔습니다.
ThreatFabric에 따르면 Brokewell은 공격자에게 모바일 뱅킹을 통해 사용할 수 있는 모든 자산에 대한 원격 액세스를 제공함으로써 은행 업계에 심각한 위협을 가하고 있습니다. 이 악성 코드는 사이버 범죄자들이 피해자를 유인하여 악성 코드를 다운로드하고 설치하도록 유도하는 데 흔히 사용되는 가짜 Google Chrome 웹 브라우저 "업데이트" 페이지를 조사하던 중 연구원들에 의해 발견되었습니다.
연구원들은 이전 캠페인을 살펴보면 Brokewell이 인기 있는 "지금 구매하고 나중에 지불하는" 금융 서비스와 오스트리아 디지털 인증 애플리케이션을 표적으로 삼는 데 사용되었다는 사실을 발견했습니다.
이 악성코드는 활발하게 개발되고 있는 것으로 알려졌으며 거의 매일 새로운 명령이 추가되어 키 입력과 화면에 표시되는 정보부터 텍스트 입력과 피해자가 실행한 앱에 이르기까지 기기의 모든 이벤트를 캡처합니다.
다운로드가 완료되면 Brokewell은 대상 애플리케이션에 오버레이 화면을 생성하여 사용자 자격 증명을 캡처합니다. 또한 자체 WebView를 실행하고 onPageFinished 메서드를 재정의하고 사용자가 로그인 프로세스를 완료한 후 세션 쿠키를 덤프하여 브라우저 쿠키를 훔칠 수도 있습니다.
“Brokewell에는 터치, 스와이프, 정보 표시, 텍스트 입력, 애플리케이션 열기 등 기기에서 발생하는 모든 이벤트를 캡처하는 “접근성 로깅” 기능이 탑재되어 있습니다. 모든 활동은 기록되어 명령 및 제어 서버로 전송되어 손상된 장치에 표시되거나 입력된 모든 기밀 데이터를 효과적으로 훔칩니다.”라고 ThreatFabric 연구원은 지적합니다.
“이 경우 모든 애플리케이션이 데이터 손상 위험에 처해 있다는 점을 강조하는 것이 중요합니다. Brokewell은 모든 이벤트를 기록하여 장치에 설치된 모든 애플리케이션에 위협을 가합니다. 이 악성 코드는 다양한 "스파이웨어" 기능도 지원합니다. 즉, 장치, 통화 기록, 지리적 위치에 대한 정보를 수집하고 오디오를 녹음할 수 있습니다."
자격 증명을 훔친 후 공격자는 원격 제어 기능을 사용하여 화면 스트리밍을 수행하는 장치 탈취 공격을 시작할 수 있습니다. 또한 위협 행위자에게 지정된 요소에 대한 터치, 스와이프, 클릭 등 제어되는 장치에서 실행할 수 있는 다양한 명령을 제공합니다.
ThreatFabric은 Brokewell의 명령 및 제어(C2) 지점으로 사용되는 서버 중 하나가 "Baron Samedit"라는 위협 행위자가 만든 "Brokewell Cyber Labs"라는 저장소를 호스팅하는 데에도 사용된다는 사실을 발견했습니다.
이 저장소는 사이드로드된 앱(APK)에 대한 접근성 서비스 악용을 방지하기 위해 Google이 Android 13 이상에 도입한 제한 사항을 우회하도록 설계된 동일한 개발자의 또 다른 도구인 'Brokewell Android Loader'의 소스 코드로 구성되었습니다.
ThreatFabric에 따르면 Baron Samedit는 다른 사이버 범죄자에게 여러 서비스에서 도난당한 계정을 확인할 수 있는 도구를 제공하는 데 최소 2년 동안 활동해 왔으며 서비스형 악성 코드 작업을 지원하도록 개선될 수 있습니다.
“우리는 이미 악성 코드에 대한 거의 매일 업데이트를 관찰했기 때문에 이 악성 코드 계열이 더욱 발전할 것으로 예상합니다. Brokewell은 지하 채널에서 렌탈 서비스로 홍보되어 다른 사이버 범죄자들의 관심을 끌고 다양한 지역을 대상으로 하는 새로운 캠페인을 촉발할 가능성이 높습니다.”라고 연구원들은 결론지었습니다.
따라서 새로 발견된 Brokewell과 같은 악성 코드 계열의 잠재적인 사기를 효과적으로 식별하고 예방하는 유일한 방법은 장치, 행동 및 신원 위험을 포함한 지표의 조합을 기반으로 하는 포괄적인 다계층 사기 탐지 솔루션을 사용하는 것입니다. 각 고객.
Android 악성 코드 감염으로부터 자신을 보호하려면 앱을 사이드로드하거나 문자 메시지에서 짧은 URL을 열지 말고 설치한 앱에 권한을 부여할 때 매우 주의하는 것이 좋습니다. 또한 Google Play 스토어 외부에서 Android 휴대폰에 앱이나 앱 업데이트를 다운로드하지 마세요.
또한 Android 기기에서 항상 Google Play Protect를 활성화하여 모든 현재 앱과 다운로드하는 새 앱에 악성 코드가 있는지 검사하세요. 보안 강화를 위해 추가 Android 바이러스 백신 소프트웨어 설치를 고려할 수도 있습니다.
Google은 Google Play 서비스가 탑재된 Android 기기에서 기본적으로 켜져 있는 Google Play Protect가 알려진 버전의 이 악성코드로부터 자동으로 사용자를 보호한다는 사실을 Securityweek 에 확인했습니다.
또한 앱이 Play 외부 소스에서 나온 경우에도 사용자에게 경고하거나 악의적인 동작을 보이는 것으로 알려진 앱을 차단합니다.
*참조한 원본글: https://www.techworm.net/2024/04/android-malware-hack-bank-account-chrome-update.html
인터넷 McAfee(맥아피) 사기 8가지 유형과 발생시 돈을 돌려받는 방법
McAfee와 같은 컴퓨터 보안 소프트웨어 회사에서 사기를 당할 수 있습니까? 공식 McAfee 회사에서 사기를 당할 가능성은 거의 없습니다. 그러나 잘 알려진 McAfee 이름을 이용하려는 많은 사기꾼이 있
lifegoodtip.tistory.com
'기타 꿀팁' 카테고리의 다른 글
| 코딩 솔루션 개선을 위한 OpenAI와 Stack Overflow 파트너십 (0) | 2024.05.11 |
|---|---|
| 주스 재킹이란 무엇입니까? 그것이 당신에게 어떤 영향을 미치나요? 그것을 피하는 방법? (0) | 2024.05.08 |
| 강박관념의 자가 진단과 치료 방법 (0) | 2024.05.06 |
| 탈모약, 이제 병원 방문 없이 온라인으로 처방받고 구매 가능! (0) | 2024.05.06 |
| 안드로이드 휴대폰을 와이파이 핫스팟으로 사용하는 방법 (0) | 2024.05.06 |