위협 행위자가 Google Play 스토어에서 합법적인 모바일 앱으로 위장한 악성 코드 드롭퍼를 사용하여 여러 유럽 국가의 Android 사용자에게 "Anatsa"라는 위험한 뱅킹 트로이 목마를 배포하고 있습니다.
이 캠페인은 최소 2020개월 동안 진행되었으며 XNUMX년에 처음 등장했으며 이전에 미국, 이탈리아, 영국, 프랑스, 독일 및 기타 국가에서 피해자를 기록한 악성 코드 운영자의 최신 공격입니다.
다작의 감염률
ThreatFabric의 연구원들은 Anatsa가 처음 발견된 이후부터 모니터링해 왔으며 2023년 XNUMX월부터 시작되는 새로운 공격 물결을 발견했습니다. 이번 주 보고서에서 사기 탐지 공급업체는 이번 공격이 슬로바키아, 슬로베니아, 체코 공화국의 은행 고객을 표적으로 삼아 다양한 형태로 전개되고 있다고 설명했습니다.
지금까지 대상 지역의 Android 사용자는 100,000월 이후 Google Play 스토어에서 악성 코드 드롭퍼를 최소 2023회 다운로드했습니다. ThreatFabric이 추적한 130,000년 상반기의 이전 캠페인에서 위협 행위자들은 Google의 모바일 앱 스토어에서 Anatsa용 무기화된 드로퍼를 XNUMX회 이상 설치했습니다.
ThreatFabric은 상대적으로 높은 감염률이 Google Play의 드로퍼가 Android 기기에 Anatsa를 제공하기 위해 사용하는 다단계 접근 방식에 기인한다고 생각했습니다. 드롭퍼가 처음 Play에 업로드되면 악의적인 행동을 암시하는 내용이 전혀 없습니다. 드로퍼가 원격 명령 및 제어(C2) 서버에서 악의적인 작업을 실행하기 위한 코드를 동적으로 검색하는 것은 Play에 도착한 후에야 가능합니다.
클리너 앱으로 위장한 드로퍼 중 하나는 정당한 이유로 Android의 접근성 서비스 기능에 대한 권한이 필요하다고 주장했습니다. Android의 접근성 서비스는 장애가 있거나 특수한 요구가 있는 사용자가 Android 앱과 더 쉽게 상호작용할 수 있도록 설계된 특별한 유형의 기능입니다. 위협 행위자들은 이 기능을 자주 악용하여 Android 장치에 페이로드 설치를 자동화하고 프로세스 중에 사용자 상호 작용이 필요하지 않도록 했습니다.
다단계 접근 방식
ThreatFabric은 “처음에 [클리너] 앱은 악성 코드가 없고 AccessibilityService가 유해한 활동에 관여하지 않아 무해한 것처럼 보였습니다.”라고 말했습니다. “그런데 출시 일주일 만에 업데이트에서 악성코드가 유입됐습니다. 이 업데이트는 AccessibilityService 기능을 변경하여 C2 서버로부터 구성을 수신하면 자동으로 버튼을 클릭하는 등의 악의적인 작업을 실행할 수 있게 되었습니다.”라고 공급업체는 말했습니다.
드로퍼가 C2 서버에서 동적으로 검색한 파일에는 Android 애플리케이션 코드 배포를 위한 악성 DEX 파일에 대한 구성 정보가 포함되어 있습니다. 페이로드 설치를 위한 악성 코드, 페이로드 URL을 사용한 구성, 마지막으로 장치에 Anatsa를 다운로드하고 설치하기 위한 코드가 포함된 DEX 파일 자체입니다.
Threat Fabric은 위협 행위자가 사용하는 다단계, 동적으로 로드되는 접근 방식을 통해 최신 캠페인에서 사용한 각 드로퍼가 Google이 Android 13에서 구현한 더욱 엄격한 AccessibilityService 제한을 우회할 수 있었다고 밝혔습니다.
최신 캠페인에서 Anatsa 운영자는 Google Play에서 무료 기기 클리너 앱, PDF 뷰어, PDF 리더 앱으로 위장한 총 3개의 드로퍼를 사용하기로 결정했습니다. ThreatFabric은 보고서에서 “이러한 애플리케이션은 종종 '상위 새로운 무료' 카테고리에서 상위 XNUMX위에 도달하여 신뢰성을 높이고 잠재적인 피해자에 대한 경계를 낮추는 동시에 성공적인 침투 가능성을 높입니다."라고 밝혔습니다. 시스템에 설치되면 Anasta는 위협 행위자가 장치를 장악하고 나중에 사용자의 은행 계좌에 로그인하여 자금을 훔칠 수 있도록 하는 자격 증명 및 기타 정보를 훔칠 수 있습니다.
Apple과 마찬가지로 Google도 최근 몇 년간 다양한 보안 메커니즘을 구현했습니다. 위협 행위자가 악성 앱을 몰래 숨기는 것을 더 어렵게 만듭니다. 공식 모바일 앱 스토어를 통해 Android 기기에 출시됩니다. 그 중 가장 의미있는 것 중 하나는 Google Play Protect는 잠재적으로 악의적이거나 해로운 동작의 징후가 있는지 앱 설치를 실시간으로 검사한 다음 의심스러운 것이 발견되면 앱에 경고하거나 비활성화하는 Android 내장 기능입니다. Android의 제한된 설정 기능으로 인해 위협 행위자가 사이드로드된 앱이나 비공식 애플리케이션 스토어의 앱을 통해 Android 기기를 감염시키려는 시도가 훨씬 더 어려워졌습니다.
그럼에도 불구하고 위협 행위자들은 계속해서 공격을 가해왔습니다. Android 기기에 악성코드를 몰래 숨겨두기 ThreatFabric은 Android의 AccessibilityService와 같은 기능을 남용하거나 다단계 감염 프로세스를 사용하고 Play 스토어의 패키지 설치 프로그램을 모방하여 악성 앱을 사이드로드함으로써 Play를 통해 공격한다고 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :있다
- :이다
- :아니
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- 소개
- 접근성
- 계정
- 누적 된
- 행위
- 방과 후 액티비티
- 배우
- 후
- 알림
- 수
- 수
- 또한
- 변경
- 중
- an
- 및
- 기계적 인조 인간
- 안드로이드 13
- 어떤
- 아무것도
- 앱
- 앱 스토어
- 등장
- Apple
- 어플리케이션
- 어플리케이션
- 접근
- 앱
- AS
- At
- 공격
- 자동화
- 자동적으로
- 은행
- 은행 계좌
- 은행
- 은행
- BE
- 된
- 처음
- 행동
- 내장
- by
- 운동
- CAN
- 범주
- 승산
- 선택
- 우회하다
- 주장
- 청소기
- 암호
- 구성
- 계속
- 제어
- 국가
- 신임장
- 신뢰성
- 고객
- 체코 공화국
- 위험한
- 배달하다
- 기술 된
- 설계
- Detection System
- 장치
- 디바이스
- 덱스
- 장애
- 발견
- 뚜렷한
- 배포하다
- 배포
- 다운로드
- 더빙 된
- ...동안
- 역동적 인
- 마다
- 쉽게
- 제거
- 가능
- 매력적인
- 강화
- 유럽
- 유럽
- 유럽 국가
- 실행
- 실행
- 악용
- 구조
- 멀리
- 특색
- 특징
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 최종적으로
- finds
- 먼저,
- 다섯
- 럭셔리
- 사
- 프랑스
- 사기
- 사기 탐지
- 무료
- 자주
- 에
- 기능
- 자금
- 독일
- 얻을
- 구글
- 구글 플레이
- 스테이블 가드
- 반
- 열심히
- 해로운
- 있다
- 높은
- 그러나
- HTML
- HTTPS
- if
- 구현
- in
- 포함
- 증가
- 감염
- 정보
- 정보
- 처음에는
- 처음에는
- 설치
- 설치
- 설치
- 상호 작용하는
- 상호 작용
- 으로
- 소개
- IT
- 이탈리아
- 그
- 그 자체
- JPG
- 왕국
- 땅
- 후에
- 최근
- 가장 작은
- 합법적 인
- 처럼
- 기록
- 저하
- 만든
- 확인
- 악의있는
- 악성 코드
- 관리
- 메커니즘
- 모바일
- 모바일 앱
- 모바일 앱
- 모니터링
- 개월
- 가장
- 많은
- 여러
- 필요
- 요구
- 신제품
- 아니
- 유명한
- 아무것도
- 십일월
- 다수의
- of
- 공무원
- 자주
- on
- 일단
- ONE
- 지속적으로
- 만
- ~에
- 연산자
- 운영자
- or
- 기타
- 위에
- 꾸러미
- 권한
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- Play 스토어
- 가능성
- 잠재적으로
- 너무 이른
- 이전에
- 방법
- 프로세스
- 다작의
- 율
- 거주비용
- 도달
- 리더
- 실시간
- 이유
- 접수
- 최근
- 지역
- 상대적으로
- 공개
- 먼
- 신고
- 공화국
- 필요
- 한정된
- 제한
- s
- 말했다
- 검색
- 보안
- 섬기는 사람
- 서비스
- 설정
- 몇몇의
- 상당한
- 안전표시
- 이후
- 슬로베니아
- 몰래
- So
- 특별한
- 특별한 요구
- 후원
- 저장
- 상점
- 성공한
- 이러한
- 제안
- 의심 많은
- 체계
- 받아
- 대상
- 대상
- 목표
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그때
- 그곳에.
- Bowman의
- 그들
- 이
- 이번 주
- 그
- 위협
- 위협 행위자
- 시대
- 에
- 상단
- 금액
- 트로이의
- 시도
- 유형
- 전개
- 미국
- 영국
- 업데이트
- 업로드
- URL
- us
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 공급 업체
- 를 통해
- 피해자
- 뷰어
- 웨이브
- 파도
- 주
- 뭐
- 언제
- 어느
- 동안
- 과
- 년
- 제퍼 넷