GPlayed Trojan의 남동생이 당신의 은행 계좌를 노리고 있습니다

  • Oct 17, 2023

GPlayed는 이번 달에 순회를 진행해 왔으며 이제 연구자들은 새로운 가족 구성원을 발견했습니다.

러시아 소유 국영 은행의 고객을 공격하도록 설계된 GPlayed 트로이 목마의 새로운 구성원이 발견되었습니다.

보안

  • 보안이 뛰어난 원격 근무자의 8가지 습관
  • 휴대폰에서 스파이웨어를 찾아 제거하는 방법
  • 최고의 VPN 서비스: 상위 5개 서비스를 어떻게 비교하나요?
  • 귀하가 데이터 유출에 연루되었는지 확인하는 방법과 다음에 해야 할 일

이달 초 연구진은 Cisco Talos, GPlayed 공개, Android 모바일 장치를 감염시킬 때 Google 서비스인 것처럼 가장하는 "매우 강력한" 트로이 목마입니다.

발견 당시 연구원들은 코드의 단서로 인해 악성 코드가 아직 개발 중이라고 믿었다고 밝혔습니다. 트로이 목마는 매우 유연하고, 난독화를 사용했으며, 강력한 파괴적 및 데이터 절도 기능을 포함하고 있다는 사실을 손상시키지 않습니다. 능력.

이제 GPlayed가 새로운 트로이 목마 계열의 유일한 구성원이 아닌 것으로 밝혀졌습니다. 월요일에 Talos는 악성 코드의 "동생"도 레이더에 나타났어요.

"GPlayed Banking"이라고 불리는 이 변종은 은행의 디지털 AutoPay 결제 서비스를 사용하는 러시아 국영 Sberbank 고객을 표적으로 삼는 특정 역할을 위해 구축된 뱅킹 트로이목마입니다.

이 악성코드는 GPled와 동일한 방식으로 피싱 캠페인과 타사 앱 저장소를 통해 확산될 수 있는 것으로 보입니다.

GPled Banking의 기능은 이전 제품의 만능 데이터 스틸러 기능만큼 광범위하지는 않지만 악성 코드는 여전히 대상 장치에서 데이터를 추출하여 이를 운영자의 명령 및 제어(C2)로 보낼 수 있습니다. 섬기는 사람.

이 악성코드는 GPlayed와 동일한 방식으로 .NET으로 작성되었으며 Android에서 Google 서비스로 가장합니다.

CNET: 마이크로소프트 임원, 미군 군사 계약 입찰 방어

PlayMarket.dll이라는 DLL에 악성 코드가 심어져 있습니다. 이 DLL은 패키지 인증서를 통해 거의 전체 장치 제어를 허용하는 BIND_DEVICE_ADMIN을 포함한 권한을 선언합니다.

악성코드가 취약한 장치에서 실행되는 경우 트로이 목마는 권한 상승을 위해 사용자 설정 변경을 요청하는 것으로 시작합니다.

피해자가 팝업 권한 요청을 취소하더라도 5초마다 팝업 권한이 다시 나타납니다. Talos는 악성코드에 기기 화면을 잠그는 기능도 포함되어 있지만 현재는 호출되지 않는다고 밝혔습니다.

그런 다음 트로이 목마는 WebView 화면 오버레이를 호출하고 러시아어로 "잔액"이라는 단어가 포함된 SMS 메시지를 Sberbank AutoPay에 보냅니다.

피해자가 고객이고 서비스가 응답하면 은행 계좌 잔고가 3,000 이상이면 트로이 목마가 행동합니다. 악성코드는 66,000의 값을 요청하며 사용 가능한 수치가 결정될 때까지 1,000씩 감소합니다.

그런 다음 새 WebView 개체가 생성되어 이 금액을 요청합니다. 계정 잔액이 3,000 미만인 경우 악성 코드는 휴면 상태로 유지됩니다.

기술공화국: 기업이 선거 개입을 방지하기 위해 사이버 보안을 강화하는 방법

그러나 사기 거래를 완료하려면 악성코드에 인증 코드가 필요합니다. GPlayed Banking은 러시아어로 "password"라는 단어가 포함된 도착 메시지를 구문 분석하여 해당 문구를 추출하고 이를 WebView 개체에 삽입합니다.

또한 개체의 변수는 트로이 목마가 3-D Secure 사기 방지 보호를 우회하려고 시도하는 방법을 보여주는 것으로 보입니다.

또한보십시오: 영국항공: 사이버 공격, 처음 생각했던 것보다 더 큰 데이터 도난

GPlayed의 개발자들은 자신의 숙련도를 입증했습니다. GPlayed Banking 악성코드는 특히 한 금융 기관의 핵심 고객 그룹을 표적으로 삼았습니다. Talos는 트로이 목마를 다른 은행과 온라인을 표적으로 삼는 것이 "사소한" 작업일 것이라고 믿습니다. 서비스.

악성 코드가 사용하는 DLL은 탐지율이 낮습니다. 이는 트로이 목마가 아직 완전히 공개되어 큰 피해를 입히지는 않았음을 의미합니다. Android 사용자는 "확실히 다수의 사용자를 감염시킬 가능성이 있으며 사용자의 은행 자격 증명을 빠르게 탈취할 수 있습니다"라고 합니다. 연구원.

Cisco Talos는 "SMS 인증 코드를 가로채는 기술은 뱅킹 트로이목마에 새로운 것이 아닙니다."라고 말합니다. "그러나 이 뱅킹 트로이 목마와 GPlayed 트로이 목마는 이 악성 코드 계열 뒤에 있는 행위자들의 분명한 진화를 보여줍니다. 단순한 뱅킹 트로이 목마에서 이전에는 볼 수 없었던 기능을 갖춘 본격적인 트로이 목마로 변했습니다."

다크 웹에 뛰어들기 위한 기본 가이드

이전 및 관련 보도

  • FDA는 보안 허점을 보완하기 위해 St. Jude 심박조율기 465,000개를 리콜했습니다.
  • Philips, 심혈관 장치의 코드 실행 취약점 공개
  • Facebook은 Cambridge Analytica 스캔들에 대해 영국의 ICO에 £500,000를 지불해야 합니다.