2025년 10월 18일 오전 9시(EDT)에 게시됨
Ben은 2014년에 MUO에 입사하여 컴퓨터 정보 시스템 학위를 취득한 후 2016년에 IT 직장을 그만두고 이 사이트에서 정규직으로 근무했습니다. 그는 2017년에 편집팀에 합류했으며 그 이후 순위가 올라갔습니다.
작가로서 그의 전문 분야에는 Windows, Android, 게임, iPhone 설명 및 방법이 포함됩니다. 그는 2009년부터 Windows를 마스터했고, 2011년에 첫 Android 휴대폰을 구입했으며, 2020년부터 매일 iPhone을 사용했습니다. 그의 작품은 1억 회 이상 조회되었습니다.
이제 MUO의 수석 편집자로서 Ben은 장치 및 홈 부문을 이끌며 매달 수십 개의 고품질 기사를 작성하여 모범을 보이고 있습니다.
업무 외적으로 Ben은 새로운 비디오 게임을 경험하고, 음악을 탐구하고, 새로운 정보를 배우고, 친구들과 즐거운 시간을 보내는 것을 좋아합니다. MUO는 그의 집이지만 Nintendo Life에 대한 간략한 글도 썼으며 다양한 회사 블로그에도 글을 기고했습니다.
확인되지 않은 앱을 설치하는 위험을 무시하기는 쉽지만 그렇게 하면 결과가 초래되는 경우가 많습니다. 최근 보안 연구원들은 무료 IPTV와 VPN 결합 서비스라고 주장하는 Android 앱이 실제로는 악성 악성 코드라는 사실을 발견했습니다.
작동 방식을 분석하는 것은 흥미롭고 기기에 설치하는 항목에 대해 주의를 기울이는 것의 중요성을 보여줍니다.
설치하고 싶지 않은 “VPN” 앱
Cleafy의 보안 연구원들은 "Klopatra"라고 불리는 새로운 형태의 악성 코드에 대한 광범위한 보고서를 작성했습니다. 이 악성 코드는 알려진 악성 코드 계열과 관련이 없습니다.
공격은 익명성을 위해 무료 VPN을 제공하면서 IPTV 채널에 대한 액세스를 제공한다고 주장하는 "Mobdro Pro IP TV + VPN"이라는 가짜 앱으로 시작됩니다. 많은 IPTV 스트림은 허가 없이 저작권이 있는 콘텐츠를 제공하기 때문에 불법입니다. 따라서 이와 같은 앱은 서비스 약관을 위반하기 때문에 일반적으로 공식 앱 스토어에 게시되지 않습니다.
설정하는 동안 앱에서 설치를 계속하세요라는 메시지를 표시합니다. 버튼. 이를 탭하면 앱이 다른 앱을 설치할 수 있도록 허용하라는 Android 프롬프트가 표시되는데, 이는 즉각적인 위험 신호입니다. 예를 들어 다운로드한 APK에서 Android 앱을 사이드로드하도록 파일 앱을 승인할 수 있습니다. 하지만 VPN/스트리밍 앱은 기기에 다른 앱을 설치할 이유가 없습니다.
출처:Cleafy 이 권한을 부여하면 악성코드가 포함된 다른 앱을 설치하라는 메시지가 표시됩니다. 스크린샷에서 두 번째 앱에 다른 "M" 문자가 있고 "Mobdro pro"라고 불리는 방법을 확인하세요. 이는 피해자가 하나의 설치를 '완료'했다고 생각하도록 속이려는 시도이며, 실제로는 다른 두 번째 앱을 설치하고 있는 것입니다.
최고의 Android 보안 팁이라도 사용자가 직접 악성 코드에 직접 액세스하는 것을 막을 수는 없습니다.
악용에 대한 추가 권한 요청
속아서 Klopatra 앱을 설치하면 즉시 주요 권한을 요청하여 기기를 장악할 수 있습니다. 핵심 요청은 합법적인 접근성 앱이 화면의 콘텐츠를 읽고 기기와 상호작용하는 데 사용되는 접근성 서비스에 대한 것입니다.
그러나 악의적인 행위자는 이를 악용하여 막대한 피해를 입힐 수 있습니다. 접근성 권한이 있으면 앱이 화면의 모든 텍스트를 읽고, 기기에 입력하는 모든 내용을 캡처하고, 앱을 탐색하고, 버튼을 누르고, 스와이프하고, 텍스트를 입력할 수 있습니다.
앱에 이 권한이 있으면 이 권한을 사용하여 Android가 프로세스를 종료하지 않도록 배터리 최적화를 비활성화합니다. 그 동안 악성 코드는 사용자를 더 잘 이해하기 위해 설치된 앱을 포함한 모든 기기 정보도 수집합니다.
명확하고 상세한 위협
Cleafy는 계속해서 이 악성 코드가 일반적인 스마트폰 악성 코드 공격을 뛰어 넘는 방법에 대한 자세한 분석을 제공합니다. 탐지 및 리버스 엔지니어링을 어렵게 만드는 다양한 도구와 방법을 사용합니다.
본질적으로 악성 코드는 공격자에게 원격 액세스를 제공하여 공격자가 손에 있는 장치로 할 수 있는 모든 작업을 수행할 수 있도록 합니다. 여기에는 검은색 화면이 표시된 상태에서 원격 제어가 가능한 숨겨진 VNC 모드가 포함됩니다. 따라서 감염된 장치의 소유자는 장치가 자체적으로 수행하는 작업을 알아차림으로써 무언가 잘못되었음을 알아차릴 수 없습니다.
이 악성 코드는 자신에 대한 위협을 적극적으로 감시하여 사용자가 조치를 취하지 못하게 합니다. 여기에는 인기 있는 Android 보안 앱 목록이 포함되어 있습니다. 이들 중 하나를 설치하면 감지를 피하기 위해 제거를 시도합니다. 전체 제어 기능을 사용하면 상황을 파악하고 악성 앱을 제거하려고 시도하는 경우 앱에서 '뒤로' 작업을 강제로 수행할 수도 있습니다.
출처:Cleafy 이 일을 주도한 사람들에 대해 자세히 알아보기
조사 결과, 개인 피해자에 대한 운영자의 의견부터 코드 기능까지 모든 것이 터키어로 되어 있어 Klopatra가 터키에서 온 것으로 밝혀졌습니다.
이러한 모든 요소는 조직적이고 정교한 집단 공격을 가리킵니다. 이것은 선반에서 멀웨어를 구입하는 취미 장난꾸러기가 아닙니다. 자신이 무엇을 하고 있는지 알고 공격 자산을 보호하기 위해 시간을 투자한 팀이 만든 것입니다.
악성코드 캠페인은 유럽을 중심으로 이루어졌으며 공격은 스페인과 이탈리아 은행을 표적으로 삼았습니다. 그러나 팀은 다른 여러 국가에서 캠페인을 실행하는 세 번째 서버를 확인했으며, 이는 시간이 지남에 따라 공격이 확대될 수 있음을 시사했습니다.
Cleafy는 또한 2025년 3월의 프로토타입부터 모든 보호 기능과 고급 도난 메커니즘을 갖춘 최신 버전에 이르기까지 시간이 지남에 따라 공격이 어떻게 발전했는지도 언급합니다.
금융 계좌 공격
Klopatra는 독특함에도 불구하고 여전히 다른 Android 위협의 알려진 트릭을 사용합니다. 여기에는 금융 앱 목록이 포함되어 있습니다. 하나를 열면 악성코드는 합법적인 로그인 화면 위에 동일한 가짜 대화 상자를 표시합니다. 당신은 그것을 인지하지 못하고 있지만 공격자에게 비밀번호를 넘겨주고 있는 것입니다.
당연히 공격자들은 밤에 행동하는 것을 선호합니다. 피해자가 자고 있는 동안 기기는 온라인 상태이고 충전 중일 가능성이 높으며, 이로 인해 범죄자는 아무런 의심 없이 기기에 액세스할 수 있습니다.
출처:Digvijay Kumar/MakeUseOf 원격 운영자는 뿌리 깊은 원격 액세스를 통해 장치가 사용 중인지 확인하고, 화면을 검게 만들고, 훔친 PIN을 사용하여 장치 잠금을 해제한 다음, 뱅킹 앱을 열고 자신의 계좌로 이체를 보낼 수 있습니다. 이는 자동화된 데이터 수집과 악의적인 행위자의 직접적인 조치를 결합한 정교한 공격입니다.
앱을 분석한 결과, 범죄자가 자신의 시도에 대해 메모를 남기는 텍스트 필드가 발견되었습니다. 한 예에서, 문자 메시지에는 교환원이 피해자의 잠금 해제 패턴을 가지고 있었고 7,000달러의 이체가 실패했다는 내용이 나와 있습니다.
출처:Cleafy 자신을 안전하게 보호하려면 현명하게 행동하세요
이 공격이 표적이 된 지역에 거주하지 않더라도 공격이 어떻게 진행되는지 배우지 못하는 경우가 있습니다. 이 맬웨어는 감지하고 제거하기가 얼마나 어려운지 고려할 때 시스템 근처에서 이러한 종류의 앱을 허용하지 않는 것이 중요합니다.
가장 중요한 방어선은 신뢰하지 않는 앱을 설치하지 않는 것입니다. 특히 Play 스토어 외부에서 가져온 앱인 경우 더욱 그렇습니다. 이 문제와 관련하여 Google은 Google Play 프로텍트가 악의적인 행위로부터 기기를 안전하게 보호할 것이라고 밝혔습니다. 가지고 있으면 좋지만 모든 것을 다 잡을 수는 없습니다.
또한 이 공격의 초기 페이로드가 무료 IPTV 콘텐츠를 약속하는 앱이라는 점도 주목할 만합니다. 온라인에서 불법 콘텐츠를 찾으면 악성 코드를 비롯한 다양한 위험이 따르므로 이러한 위험을 멀리하는 것이 좋습니다.
그리고 즉시 다른 앱을 설치하려는 앱을 설치했거나 접근성 서비스와 같은 심층적인 권한을 부여한 경우에는 도망가세요. 합법적인 앱은 절대 이런 일을 하지 않습니다.