보안매체 TheHackerNews에 따르면 2021년 8월부터 10월 사이에 4개의 안드로이드 뱅킹 트로이목마가 공식 구글 플레이 스토어를 통해 확산되어 약 30만개 이상의 기기를 감염시킨 것으로 드러났다. 이와 관련, 보안업체 ThreatFabric은 이 4가지 유형의 악성코드를 Anatsa, Alien, ERMAC, Hydra라고 명명하며 현재 활동이 매우 정교하고 특정 지역의 장치에만 페이로드를 배포하고 있다고 분석했다.
구글은 해당 트로이 목마가 안드로이드 기기에서 민감한 정보를 캡처하는 것을 방지하기 위해 접근 제한을 시도했으나 다른 방식으로 점점 더 공격이 진화한 것으로 알려졌다. 이 중 가장 중요한 기술 중하나는 버전 제어 기술이다. 즉 머저 어플리케이션 스토어에 일반 버전을 업로드 한 다음 후속 업데이트를 통해 악성 기능을 점차 추가하는 것이다. ThreatFabric은 올 6월부터 구글 플레이 스토어에서 Anatsa 뱅킹 트로이 목마가 삽입된 6개의 악성 트로이목마를 발견했다.
이 밖에도 공격자들이 기존의 탐지 방법을 피하기 위해 다양한 웹사이트 및 어플리케이션을 교묘하게 위장하는 것이다. 연구원들은 올 7월 미국 사용자들에게 Hydra 및 ERMAC 악성코드를 전달하기 위해 QR 코드를 생성할 수 있는 어플리케이션으로 교묘하게 위장된 Vultur라는 RAT를 발견했다. 이 RAT는 이전에 미국에서 발견된 적이 없는 트로이목마였다.
또한 10,000회 이상 다운로드 된 피트니스 소프트웨어인 GymDrop은 새로운 피트니스 운동 패키지의 다운로드를 유도하여 Alien 뱅킹 트로이 목마를 실행하도록 하며 합법적인 개발자 웹사이트 또한 C2 서버의 기능을 한 것으로 알려졌다.
[출처 : 中보안매체 / 11.30.]
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.