Android 포르노 맬웨어가 데이터를 훔치는 방법

참고: 자신의 정신을 위해 아래 비디오를 음소거하십시오.

트로이 목마 포르노 클릭커 복제 애플리케이션은 다양한 제품 차별화 전술을 사용하여 실제 앱과 자신을 구별합니다. 일반적인 식별자에는 무료, 201이 포함됩니다. 5, 2016, V1, V2, V3, 새 버전, F2P , 등등. 가능한 한 실제 버전에 가깝게 유지하면서 실제 목적을 모호하게 합니다. 실제로 가장 현명한 공격자는 부정적인 리뷰가 작동하기 시작하기 전에 제품 설명을 복사하고 동일한 로고를 사용하며 손상된 다른 Google Play 사용자 계정을 통해 긍정적인 리뷰를 생성하려고 시도합니다.

수익

이 멀웨어 변종의 주요 목표는 수익 창출입니다. 트로이 목마 포르노 클릭자는 공격자의 서버가 생성하고 포르노 웹사이트에 게재된 광고를 클릭하여 수익을 창출합니다. 이는 감염된 사용자가 알지 못하는 사이에 발생하여 값비싼 모바일 데이터를 은밀하게 소비합니다.

고맙게도 Lukáš Štefanko는 Samsung Galaxy S3와 Samsung Galaxy S5라는 두 가지 매우 일반적인 장치에서 트로이 포르노 리모콘의 데이터 소비를 테스트했습니다. 그는 각 기기에 Google Play 스토어에서 공개된 트로이 목마 포르노 리모콘을 설치한 다음, 얼마나 많은 데이터가 소모되는지 측정하기 위해 기기를 한 시간 동안 실행 상태로 두었습니다.

Štefanko의 테스트에서는 S3와 S5가 소비하는 데이터 양에 약간의 차이가 있는 것으로 나타났지만 한 시간 내에 평균 146MB 데이터가 소진된 것으로 나타났습니다. 추측해보면 Štefanko는 트로이 목마 포르노 클릭자가 하루에 3.5GB 이상의 데이터를 소비할 수 있다고 생각합니다. 매일. 사용자가 무언가가 진행 중임을 깨닫고 데이터 흐름을 저지하려고 시도할 때까지.

HummingBad 변형

악성 코드가 포함된 중복 애플리케이션의 위협이 충분히 나쁘지 않은 경우 보안 연구원은 진행 중인 악성 광고 캠페인을 통해 확산되는 활성 Android 악성 코드도 발견했습니다. HummingBad 악성코드는 음란물 웹사이트에 표시되는 감염된 광고를 통해 피해자 기기에 침투합니다.

기기에 설치되면 HummingBad 악성코드는 루트킷을 설치하여 공격자가 사용자 기기에 심각하고 장기적인 손상을 입히고 키로거를 설치하고 데이터를 훔치고 자격 증명을 캡처하고 기회가 있을 경우 암호화된 이메일 컨테이너를 우회할 수 있도록 합니다. HummingBad 악성코드를 발견한 Check Research Point Team의 두 구성원인 Andrey Polkovnichenko와 Oren Koriat는 공격 체인에 대해 자세히 설명했습니다.

"그런 다음 멀웨어는 장치가 루팅되었는지 여부를 확인합니다. 장치가 루팅된 경우 멀웨어는 계속해서 목표에 따라 행동합니다. 장치가 루팅되지 않은 경우 상위 멀웨어는 right_core.apk라는 자산에서 파일을 XOR 해독합니다. (모든 문자는 85에 대해 XOR됩니다.) 그런 다음 right_core.apk는 support.bmp라는 파일에서 기본 라이브러리를 해독합니다. 이 기본 라이브러리는 권한을 높이고 루트 액세스 권한을 얻으려는 시도에서 여러 악용을 시작하는 데 사용됩니다."

대부분의 맬웨어와 마찬가지로 Android 기반이든 아니든 맬웨어를 실행하면 추가 지침을 위해 명령 및 제어 서버로 전화를 겁니다. 이 중 일부는 추가 악성 앱을 설치하고 다른 일부는 사기성 트래픽을 다른 광고 서버로 유도하여 수익을 창출합니다.

진행중인 문제

실제 트로이 목마 포르노 클리커 자체를 제외하고 주요 문제는 이러한 악성 앱이 인터넷을 통과하여 Google Play 스토어에 올라가는 속도입니다. 일단 승인되면 누군가가 앱을 다운로드하고 활성화하여 공격자에게 필요한 수익을 제공하는 것은 거의 불가피합니다.

Google에는 일반적으로 제출되는 악성 코드를 포착하고 축소하도록 설계된 Bouncer 필터가 있습니다. 또한 Google Play 스토어에는 악성 앱이 기기에 도달하지 못하도록 설계된 인적 검토 프로세스가 있습니다.

또한 Android에는 잠재적으로 사용자 장치에 해를 끼칠 수 있는 앱 설치를 차단하도록 설계된 "앱 확인" 설정이 내장되어 있습니다. 이는 일반적으로 악성 APK 설치를 중지하기 위한 것이지만 보안 연구원은 앱이 이전에 Google Play 스토어에서 제거된 경우에만 시스템이 작동한다고 밝혔습니다. 각 중복 앱에는 활성 악성 코드에 대한 약간의 조정과 장수를 위한 난독화 전술이 포함되어 있기 때문에 진정한 목적이 모호한 상태로 남아 있습니다. 이러한 시스템은 분명히 작동하지 않습니다.

그러나 모든 사용자가 주의할 수 있는 한 가지 안전 장치가 있습니다. 부정적인 사용자 리뷰입니다. 실제 사용자의 엄청난 무게에 압도될 수 있는 유일한 보안 시스템 중 하나인 만큼 스스로 실사를 하고 사용자 리뷰를 읽는 피해자가 많지 않습니다. 부정적인 리뷰는 대개 이유가 있습니다.

악성 앱의 경우, 유감스럽게도 쏘인 사용자들이 안전망을 무시한다고 해도 많은 것을 제공합니다. 얼마나 많은 사람들이 부정적인 리뷰를 무시하고 모든 징후가 ST를 외칠 때 악성 앱을 다운로드하는지 이해하려면 다운로드의 심각한 수만 보면 됩니다. 오 피 .

안전하게 지낼 수 있습니다

문제의 또 다른 측면은 교육입니다. 나는 항상 다운로드하기 전에 리뷰를 확인합니다. 그것은 나에게 극도로 명백해 보이며, 부정적인 리뷰가 엄청나게 많거나 별점 1개로 수영하는 것은 적어도 나에게 있어서는 절대 금물입니다.

다른 사람들은 그렇게 쉽게 설득되지 않습니다. 그러나 다운로드하기 전에 앱을 다시 확인하는 데 몇 분의 소중한 시간을 할애해야 합니다.

• 확인 앱 리뷰. 그들이 끔찍하다면 다운로드하지 마십시오!
• 확인 앱의 중복을 위해. 하나의 버전만 있어야 합니다!
• 확인 개발자 이름과 다운로드 횟수. 매우 인기 있는 앱은 예상 개발자 이름과 함께 수백만 건의 다운로드를 기록합니다. GTA:산 안드레아스 Rockstar Games가 지명된 개발자로, 총 175,000개 이상의 리뷰와 1,000,000개 미만의 다운로드를 기록했습니다.
• 확인 무료, 201과 같은 차별화 요소의 앱 이름 5, 2016, V1, V2, V3, 새 버전, 및 F2P , 그리고 온라인에서 상호 참조하십시오.
• 확인 Google 검색에서 "[앱 이름]+맬웨어". 진행 중인 맬웨어 캠페인을 신속하게 밝혀야 합니다.
• 확인 Google 검색에서 "[앱 이름]+sale". 유료 앱은 갑자기 무료가 되지 않습니다. 들어본 적이 없는 것은 아니지만 확실히 드문 일입니다.

마지막으로 Android 및 기타 모바일 맬웨어가 증가하고 있습니다. 랩톱과 PC에서 고급 랜섬웨어가 급증하고 있는 것처럼 공격자는 가장 널리 사용되는 운영 체제의 일반적인 취약성과 인간 정신의 명백한 결함에 대해 지능적입니다. 자신이 통계의 일부가 되지 않도록 하십시오!

Android 포르노 리모콘의 희생자가 되었습니까? 어떻게 깨달았고, 어떻게 제거했습니까? 아래에 알려주세요!