Zscaler ThreatLabz의 보안 연구원들은 지난 몇 달 동안 Google Play 스토어에서 550만 번 이상 다운로드된 90개 이상의 Android 악성 앱을 식별하고 분석했습니다.
이러한 악성 앱은 최근 활동이 급증한 Anatsa 뱅킹 트로이 목마를 포함하여 악성 코드와 애드웨어를 전달합니다.
클라우드 보안 회사에 따르면 Anatsa(일명 "Teabot")는 두 개의 가짜 앱, 즉 'PDF Reader & File Manager'라는 PDF 리더 앱과 QR 코드를 통해 Google Play 스토어에 배포된 알려진 Android 뱅킹 악성 코드입니다. 'QR 리더 및 파일 관리자'라는 리더 앱입니다. Zscaler 분석 당시 이 두 앱은 이미 누적 설치 수가 70,000건에 달했습니다.
Anatsa 뱅킹 악성코드는 설치 시 초기 애플리케이션이 사용자에게 깨끗한 것처럼 보이는 드로퍼 기술을 사용합니다.
이는 명령 및 제어(C2) 서버에서 검색된 원격 페이로드를 활용하여 추가 악성 활동을 수행합니다.
일단 설치되면 다양한 모호한 전술을 사용하여 글로벌 금융 애플리케이션에서 민감한 은행 자격 증명과 금융 정보를 유출합니다.
Zscaler의 Himanshu Sharma와 Gajanana Khond는 블로그 게시물에서 “오버레이 및 접근성 기술을 사용하여 데이터를 은밀하게 가로채고 수집할 수 있도록 함으로써 이를 달성합니다.”라고 썼습니다.
이를 달성하기 위해 Anatsa 악성코드는 리플렉션을 활용하여 로드된 DEX(Dalvik Executable) 파일에서 코드를 호출합니다. 이 파일에는 최종적으로 Android 런타임에 의해 실행되는 코드가 포함되어 있습니다.
다음 단계 페이로드가 다운로드된 후 Anatsa는 장치 환경 및 장치 유형에 대한 일련의 검사를 수행하여 분석 환경 및 악성 코드 샌드박스를 찾습니다.
성공적으로 검증되면 원격 서버에서 세 번째 단계와 최종 페이로드를 다운로드합니다.
Anatsa 악성코드는 압축되지 않은 원시 매니페스트 데이터를 APK에 주입하고 매니페스트 파일의 압축 매개변수를 손상시켜 분석을 방해합니다.
APK가 로드된 후 악성코드는 SMS 및 접근성 옵션을 포함한 다양한 권한을 요청하고 자산 파일 내에 최종 DEX 페이로드를 숨깁니다.
또한 페이로드는 코드에 포함된 정적 키를 사용하여 런타임 중에 DEX 파일을 해독합니다.
악성코드가 장치를 성공적으로 감염시키면 C2 서버와 통신을 시작하고 피해자의 장치를 검사하여 뱅킹 앱이 설치되어 있는지 확인합니다.
대상 앱이 발견되면 악성코드는 이 정보를 C2 서버에 전달합니다.
이에 대응하여 C2 서버는 뱅킹 앱에 가짜 로그인 페이지를 제공합니다.
피해자가 가짜 로그인 페이지에 속아 은행 자격 증명을 입력하면 해당 정보가 C2 서버로 다시 전송되며, 해커는 이를 이용해 은행 앱에 로그인하여 돈을 훔칠 수 있습니다.
Anatsa 배후의 위협 행위자는 주로 유럽에 있는 650개가 넘는 금융 기관의 애플리케이션을 표적으로 삼아 데이터를 유출했습니다. 그러나 Zscaler는 이 악성코드가 미국과 영국의 은행 앱도 "적극적으로 표적으로 삼고 있으며" 위협 행위자들이 독일, 스페인, 핀란드, 한국 및 싱가포르의 은행 앱을 포함하도록 대상을 확대하고 있다고 보고했습니다.
“Anatsa 뱅킹 트로이 목마를 배포하는 위협 행위자들이 수행한 최근 캠페인은 Google Play 스토어에서 이러한 악성 애플리케이션을 다운로드한 여러 지역의 Android 사용자가 직면한 위험을 강조합니다.”라고 연구원은 결론지었습니다.
Zscaler는 맬웨어에 감염된 90개 이상의 앱의 신원을 공개하지 않았지만 두 개의 Anatsa 드로퍼 앱 Android 앱이 Google Play 스토어에서 제거되었습니다.
s
한편, 드로퍼 앱을 다운로드한 경우 Android 기기에서 즉시 삭제하는 것이 좋습니다.
*참조한 원본 글: https://www.techworm.net/2024/05/android-apps-malware-google-play.html
'기타 꿀팁' 카테고리의 다른 글
| 모든 기기에서 Facebook에서 안전하게 로그아웃하는 방법 (0) | 2024.06.08 |
|---|---|
| 유튜브 플레이어블 이란 무엇이며 YouTube에서 게임을 플레이하는 방법 (0) | 2024.06.08 |
| 악성코드 칵테일을 확산시키는 데 사용되는 Microsoft Office 크랙 버전 (0) | 2024.06.08 |
| 크롬 확장 프로그램, 특정 컴퓨터만 비활성화하는 방법 알아보자! (0) | 2024.06.08 |
| 새로운 인연을 찾는 이들을 위한 모임 가이드 (성비가 균형 잡힌 모임) (0) | 2024.06.04 |