Bitdefender Mobile Threats 팀의 연구원들은 배포를 시도하는 100,000개 이상의 악성 SMS 메시지를 가로챘다고 말했습니다. 플루봇 XNUMX월 초부터 악성코드.
루마니아 사이버 보안 회사는 "조사 결과 공격자들이 제목을 수정하고 사용자가 클릭하도록 유도하기 위해 오래되었지만 입증된 사기를 사용하고 있음을 나타냅니다."라고 말했습니다. 상세한 수요일에 발표된 보고서에서. "또한 공격자들은 이 캠페인에서 목표로 하는 국가를 빠르게 변경하고 있습니다."
새로운 공격의 물결은 특히 호주, 독일, 폴란드, 스페인, 오스트리아 및 이탈리아에서 가장 활발하게 발생했으며, 공격은 XNUMX월 중순부터 루마니아, 네덜란드, 태국과 같은 새로운 국가로 확산되었습니다.
FluBot(Cabassous라고도 함) 캠페인은 잠재적인 피해자를 대상으로 하는 주요 전달 방법으로 스미싱을 사용합니다. 사용자는 "이 비디오에 나오는 사람이 당신입니까?"라는 질문이 포함된 SMS 메시지를 받습니다. 멀웨어를 설치하는 링크를 클릭하도록 속습니다.
연구원들은 "뱅킹 트로이 목마를 위한 이 새로운 벡터는 공격자들이 일반적인 악성 SMS 메시지를 넘어서 확장하려고 하고 있음을 보여줍니다."라고 말했습니다.
TeaBot은 QR 코드 스캐너 앱으로 가장합니다.
FluBot만이 아닙니다. 다른 Android 트로이 목마 티봇 (Anatsa라고도 함)은 100,000년 17월 6일 사이에 2021가지 다른 변종 멀웨어를 제공하면서 17개 이상의 다운로드를 유도하는 "QR Code Reader - Scanner App"이라는 앱 형태로 Google Play 스토어에 숨어 있는 것이 관찰되었습니다. 2022년 XNUMX월 XNUMX일.
점점 보편화되고 있는 전술에서 앱은 약속된 기능을 제공하지만 GitHub에서 호스팅되는 악성 APK 파일을 검색하도록 설계되었지만 현재 등록된 운영자의 국가 코드가 "로 시작하지 않는지 확인하기 전에는 그렇지 않습니다. 유."
그런 다음 악성 앱을 설치하면 추가 기능 업데이트가 필요하고 알 수 없는 소스에서 설치 업데이트를 적용하려면 활성화해야 합니다.
BitDefender는 Play 스토어에서 사용할 수 있는 2FA Authenticator, QR Scanner APK, QR Code Scan, Smart Cleaner 등 2021개의 추가 드로퍼 앱을 식별했으며 최소 XNUMX년 XNUMX월부터 TeaBot 악성코드를 배포했다고 밝혔습니다.
운영자가 채택한 또 다른 관심 기술은 버전 관리입니다. 이 버전은 Google에서 시행하는 검토 프로세스를 회피할 목적으로 앱 스토어에 무해한 버전을 제출하여 시간이 지남에 따라 코드베이스를 추가 악성 기능으로 교체합니다. 추후 업데이트.
더 넓은 감염 풀에 도달하기 위해 Play 스토어 보호를 우회하는 것 외에도 운영자는 다른 합법적인 애플리케이션 및 게임 내에서 제공되는 Google Ads에 비용을 지불하고 "수백만 명의 사용자가 있을 수 있는 앱에서 스크린 타임을 제공"한 것으로 믿어집니다.
이 분석은 또한 네덜란드 사이버 보안 회사 ThreatFabric의 이전 보고서를 뒷받침합니다. 발견 2021년 XNUMX월 이후로 Play 스토어에 XNUMX개의 Anatsa 드롭퍼가 있습니다. 앱은 "업데이트"를 다운로드하도록 프로그래밍된 후 사용자에게 알 수 없는 타사 소스의 앱을 설치할 수 있는 접근성 서비스 권한과 권한을 부여하라는 메시지를 표시합니다.
Zimperium의 엔드포인트 보안 제품 전략 이사인 Richard Melick은 "악의적인 공격자는 개발 및 버전 관리를 통해 멀웨어를 제품처럼 취급하여 보안 기술을 우회하고 더 많은 피해자를 확보하기 위해 노력합니다"라고 말했습니다.
“한 버전이 중단되면 악의적인 행위자는 특히 결과가 효과적일 때 다음 버전 개발로 돌아갑니다. 그리고 모바일 엔드포인트는 공격자에게 엄청나게 유리한 표적입니다.”라고 Melick이 덧붙였습니다.
GriftHorse에서 Dark Herring까지
Zimperium zLabs가 다음과 같은 또 다른 프리미엄 서비스 남용 캠페인에 대한 세부 정보를 공개하면서 개발이 이루어졌습니다 그리프트호스 사용자가 알지 못하는 사이에 월 470달러의 유료 서비스에 가입하기 위해 15개의 무해해 보이는 앱을 활용했습니다.
"플리스웨어"로도 분류되는 청구 사기는 105개국 이상에서 70억 XNUMX만 명 이상의 사용자에게 영향을 미쳤으며 대부분의 피해자는 이집트, 핀란드, 인도, 파키스탄 및 스웨덴에 있는 것으로 알려져 있습니다.
모바일 보안 회사인 "Dark Herring"이라는 이름의 거대한 작업은 2020년 XNUMX월로 역추적되어 현재까지 발견된 가장 오래 지속되는 모바일 SMS 사기 중 하나가 되었습니다.
그 이후로 거대한 트로이 목마 앱이 Play 스토어에서 제거되었지만 타사 앱 스토어에서 여전히 사용할 수 있으며 모바일 장치에 애플리케이션을 사이드로딩할 때 잠재적인 위험이 있음을 다시 한 번 강조합니다.
Zimperium 연구원 Aazim Yaswant는 "470개가 넘는 Android 애플리케이션 외에도 애플리케이션 배포가 매우 잘 계획되어 앱을 여러 다양한 범주에 배포하여 잠재적 희생자의 범위를 넓혔습니다."라고 말했습니다. 말했다. "앱 자체도 광고처럼 작동하여 잘못된 자신감을 키웠습니다."
