2021년 8월부터 11월 사이에 4개의 서로 다른 Android 트로이 목마가 공식 Google Play 스토어를 통해 확산되어 300,000개 이상의 앱이 감염되었으며, 겉으로는 무해해 보이는 유틸리티 앱으로 가장하여 감염된 장치를 완전히 제어할 수 있었습니다.
Anatsa(일명 TeaBot), Alien, ERMAC 및 Hydra를 제공하도록 설계되었습니다.사이버 보안ThreatFabric사는 이러한 악성 코드 캠페인이 더 정교할 뿐만 아니라 악성 발자국이 더 작도록 설계되어 페이로드가 스마트폰 장치에만 설치되고 배포 프로세스 중에 다운로드되는 것을 효과적으로 보장한다고 말했습니다.
일단 설치되면 이 트로이 목마는 ATS(Automated Transfer System)라는 도구를 사용하여 사용자가 모르는 사이에 비밀리에 사용자 비밀번호를 훔칠 수 있으며 SMS 기반 2단계 인증 코드, 키 입력 및 화면까지 훔칠 수도 있습니다. 계정이 소진되었습니다. 이제 해당 앱은 Play 스토어에서 제거되었습니다.
악성 애플리케이션 목록은 다음과 같습니다.
- 2단계 인증자(com.flowdivison)
- 보호 가드(com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- 마스터 스캐너 라이브(com.multifuction.combine.qr)
- QR 코드 스캐너 2021(com.qr.code.generate)
- QR 스캐너(com.qr.barqr.scangen)
- PDF 문서 스캐너 – PDF로 스캔(com.xaviermuches.docscannerpro2)
- 무료 PDF 문서 스캐너(com.doscanner.mobile)
- CryptoTracker(cryptolistapp.app.com.cryptotracker)
- 체육관 및 피트니스 트레이너 (com.gym.trainer.jeux)
이달 초 Google은 접근성 권한 사용을 제한했지만 이러한 앱의 운영자는 점점 더 전통적인 방법(App Market에 설치된 앱을 통해)을 선택해야 하는 경우에도 악성 앱을 사용할 수 있는 다른 방법으로 전략을 개선하고 있습니다. Android 기기에서 민감한 정보를 캡처합니다.
그 중 가장 중요한 것은 버전 관리라는 기술입니다. 이 기술에서는 깨끗한 버전의 애플리케이션을 먼저 업로드한 다음 후속 애플리케이션 업데이트의 형태로 악성 기능을 점진적으로 도입합니다. 또 다른 전술은 전통적인 탐지 방법을 우회하기 위해 드로퍼 애플리케이션의 테마와 일치하는 유사한 명령 및 제어(C2) 웹 사이트를 디자인하는 것입니다.
2021년 6월부터 ThreatFabric은 Play 스토어에서 "업데이트"를 다운로드하도록 변경된 6개의 Anatsa 임플란트를 발견한 다음 사용자에게 알 수 없는 타사 소스에서 장애인 서비스 당국 없이 앱을 설치할 수 있는 권한을 부여하도록 요청했습니다.
[인용하다]
https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
원문, 저자: CNCSO, 재인쇄할 경우 출처를 밝혀주세요: https://cncso.com/kr/over-300000-devices-attacked-by-4-android-trojans.html
