악성 코드는 사용자를 속여 Android 접근성 메뉴를 열도록 하여 공격자가 사용자의 클릭을 모방하고 화면에 표시된 모든 것을 선택할 수 있도록 합니다.
Android 트로이 목마는 사용자의 클릭과 동작을 모방할 수 있습니다.
안드로이드 스마트폰을 표적으로 삼는 새로운 형태의 트로이 목마 악성코드는 피해자를 속여 Adobe Flash Player용 가짜 보안 업데이트를 다운로드하게 합니다. 그런 다음 그들을 더욱 취약하게 만듭니다. 악성 소프트웨어에.
악성 코드는 궁극적으로 데이터를 훔칠 목적으로 사용자의 활동을 모니터링하고 사용자의 작업을 모방하도록 설계되었습니다. 사기성 애드웨어 설치로 자금을 창출하고 기타 다양한 유형의 악성 코드 설치를 가능하게 합니다. 랜섬웨어를 포함해.
보안업체 연구진이 탐지 이셋, 트로이 목마 악성 코드는 모든 버전의 Google 모바일 운영 체제를 대상으로 하며 피해자를 속여 추가 악성 코드를 다운로드하는 데 사용하는 특별한 권한을 부여하도록 하는 것을 목표로 합니다.
소셜 미디어와 손상된 웹사이트(일반적으로 성인용 버전)를 통해 배포됩니다. Android/TrojanDownloader. 대리인. JI는 장치가 사이버 공격으로부터 안전한지 확인하려면 사용자가 Adobe Flash 패치를 다운로드해야 한다고 주장하는 합법적인 업데이트 화면을 사용합니다.
피해자가 이에 빠지면 장치가 너무 많은 에너지를 소비하고 있으므로 사용자는 새로운 배터리 절약 모드를 활성화해야 한다고 주장하는 새 화면이 나타납니다.
악성 팝업은 일반 배터리 절약 옵션이 더 이상 작동하지 않는다는 내용을 담고 있으며 사용자가 새 모드를 켜기로 선택할 때까지 계속 나타납니다.
가짜 플래시 업데이트(왼쪽)와 가짜 배터리 절약(오른쪽) 화면.
피해자가 이 모드를 켜도록 허용하면 Android 접근성 메뉴가 열리고 다음 목록이 표시됩니다. 접근성 기능을 갖춘 합법적인 서비스와 악성코드에 의해 새로 생성된 서비스(다시 한번 Saving) 배터리.
이 새로운 악성 기능은 사용자의 작업을 모니터링하고, 콘텐츠를 검색하고, 터치하여 탐색을 켤 수 있는 권한을 요청합니다. 이는 사이버 공격자가 사용자의 클릭을 모방하고 화면에 표시된 모든 것을 선택하려는 계획을 수행하는 데 필요합니다. 화면. 두 활동 모두 추가 악성코드를 다운로드하는 데 사용됩니다.
이 서비스가 활성화되면 가짜 Flash Player는 사용자에게 숨겨지지만 백그라운드에서는 숨겨집니다. 명령 및 제어 서버에 접속하여 사이버 공격자에게 해킹된 정보를 제공합니다. 장치.
연결이 이루어지면 서버는 애드웨어, 스파이웨어부터 랜섬웨어에 이르기까지 기기에 다운로드할 추가 악성 앱을 보냅니다. 새로운 악성 코드를 설치할 때 해킹된 장치는 진행 중인 악성 활동이 손상되지 않도록 닫을 수 있는 옵션이 없는 가짜 잠금 화면을 표시합니다.
사용자의 화면 활동을 숨김으로써 악성코드는 권한을 악용하여 사용자의 클릭을 모방하고 추가 악성 소프트웨어를 다운로드할 수 있습니다. 맬웨어가 완료되면 화면이 사라지고 사용자는 자유롭게 장치를 계속 사용할 수 있습니다. 이제 해커가 장치를 감시하게 됩니다.
"우리가 조사한 경우 이 트로이 목마는 은행 계좌에서 자금을 빼내도록 설계된 또 다른 트로이 목마를 다운로드하기 위해 만들어졌습니다. 그러나 사용자가 스파이웨어 또는 랜섬웨어 분석을 주도한 ESET 악성 코드 연구원 Lukáš Štefanko는 이렇게 말합니다. Android/TrojanDownloader. 대리인. 지.
Android 사용자가 이러한 위협의 피해자가 되지 않도록 하는 가장 좋은 방법은 신뢰할 수 있는 웹사이트를 고수하고 웹사이트 탐색에 주의를 기울이는 것입니다.
또한 사용자는 제안된 업데이트가 어디에서 오는지 확인해야 하며 이 경우에는 공식 Adobe 웹 사이트가 아니므로 다운로드 소스에 주의해야 합니다. 또한 사용자는 필요한 것보다 더 많은 권한을 요청하는 것처럼 보이는 앱에 주의해야 합니다.
이미 이 악성 코드의 피해자가 된 경우 휴대폰에서 'Flash-Player' 앱을 수동으로 제거하여 악성 코드 제거를 시도할 수 있습니다.
그러나 장치에서 악성 소프트웨어를 완전히 제거하려면 추가 작업이 필요할 수 있습니다.
"안타깝게도 다운로더를 제거해도 다운로더가 설치했을 수 있는 악성 앱은 제거되지 않습니다. 다운로더 자체와 마찬가지로 장치를 정리하는 가장 좋은 방법은 모바일 보안 솔루션을 사용하는 것입니다."라고 Štefanko는 말합니다.
사이버 범죄에 대해 자세히 알아보기
- Super Mario Run으로 위장한 Android 뱅킹 트로이 목마 악성코드
- Google 계정이 해킹되었는지 확인하세요. [씨넷]
- Android를 감염시키는 이 트로이 목마 악성 코드는 휴대폰을 사용하여 라우터를 공격합니다.
- 이 Android 설정을 건드리지 마십시오. 대부분의 악성 코드는 사용자를 내버려두게 됩니다.
- 지금 사용하지 않는 Android 앱을 삭제하세요. 그렇지 않으면 보안 문제가 발생할 위험이 있습니다. [테크리퍼블릭]