다중 라이센스 할인
Threat Database Mobile Malware DragonEgg 모바일 악성코드

DragonEgg 모바일 악성코드

Mobile Malware, Advanced Persistent Threat (APT), Spyware년에 Mezo 년까지
번역 :
한국어

보안 연구원에 따르면 Barium, Earth Baku 및 Winnti와 같은 다른 별칭으로도 알려진 APT41로 식별되는 중국 국가 지원 스파이 그룹은 Android 모바일 장치를 대상으로 WyrmSpy 및 DragonEgg 스파이웨어 맬웨어를 적극적으로 사용하고 있습니다. APT41은 웹 애플리케이션 공격과 소프트웨어 취약성에 의존하여 전 세계 조직을 표적으로 삼은 이력이 있지만 최근에는 Android 운영 체제에 맞게 조정된 맬웨어를 개발하기 위해 전술을 변경했습니다.

이 새로운 접근 방식에서 APT41은 기존 명령 및 제어 인프라, IP 주소 및 도메인을 활용하여 Android 장치용으로 특별히 설계된 WyrmSpy 및 DragonEgg라는 두 가지 맬웨어 변종과 통신하고 이를 제어합니다. 이러한 전략적 변화는 스파이 캠페인에서 모바일 플랫폼을 악용하려는 그룹의 적응력과 의지를 보여주며 전 세계 조직에 진화하는 위협 환경을 제시합니다.

APT41은 위협적인 도구를 확장하고 있습니다.

APT41은 사회 공학 전술을 사용하여 Android 기기에 WyrmSpy 및 DragonEgg 스파이웨어 위협을 배포했을 가능성이 있습니다. 그들은 WyrmSpy를 기본 Android 시스템 애플리케이션으로 위장하고 DragonEgg를 Telegram과 같은 인기 있는 플랫폼을 포함한 타사 Android 키보드 및 메시징 애플리케이션으로 위장하여 이 작업을 수행했습니다. 현재로서는 이 두 가지 맬웨어 유형이 공식 Google Play 스토어를 통해 배포되었는지 아니면 다른 소스의 .apk 파일을 통해 배포되었는지는 확실하지 않습니다.

흥미로운 점은 그룹이 WyrmSpy와 DragonEgg 모두에 대해 유사한 Android 서명 인증서를 사용한다는 것입니다. 그러나 중국 위협 그룹은 해킹 도구와 기술을 공유하는 것으로 알려져 있어 식별이 어렵기 때문에 이러한 유사성에만 의존하는 것은 정확한 속성을 찾기에 충분하지 않습니다. 그 원인을 알 수 있는 결정적인 증거는 APT41이 2014년 5월부터 2020년 8월까지 여러 캠페인에서 사용한 정확한 IP 주소와 웹 도메인이 악성코드의 C2(Command-and-Control) 인프라에서 발견되었다는 것입니다. 이 중요한 링크는 모바일 스파이웨어와 APT41 위협 행위자의 연관성을 강화했습니다.

감시 멀웨어를 전달하기 위해 사회 공학 기술을 사용하고 Android 애플리케이션을 조작하는 것은 모바일 장치 보안의 중요성을 강조합니다. 사용자는 비공식 소스에서 애플리케이션을 다운로드하는 동안 주의를 기울이고 평판이 좋은 보안 솔루션을 사용하여 이러한 표적 공격으로부터 보호하는 것이 좋습니다. 또한 사회 공학 시도에 대한 경계를 유지하고 정기적으로 소프트웨어를 업데이트하면 WyrmSpy 및 DragonEgg와 같은 위협적인 애플리케이션의 희생양이 될 위험을 완화하는 데 도움이 될 수 있습니다.

DragonEgg는 손상된 Android 장치에서 민감한 정보를 빨아들입니다.

DragonEgg는 설치 시 광범위한 권한을 요청하기 때문에 관련 수준의 침입성을 나타냅니다. 이 감시 멀웨어는 고급 데이터 수집 및 유출 기능을 갖추고 있습니다. 또한 DragonEgg는 smallmload.jar라는 보조 페이로드를 활용하여 멀웨어에 추가 기능을 부여하여 감염된 장치에서 다양한 민감한 데이터를 빼낼 수 있도록 합니다. 여기에는 장치 저장 파일, 사진, 연락처, 메시지 및 오디오 녹음이 포함됩니다. DragonEgg의 또 다른 주목할만한 측면은 C2(Command-and-Control) 서버와의 통신으로 포렌식 프로그램으로 위장한 알려지지 않은 3차 모듈을 검색하는 것입니다.

WyrmSpy와 DragonEgg의 발견은 정교한 Android 맬웨어로 인해 증가하는 위협을 뼈저리게 상기시켜 줍니다. 이러한 스파이웨어 패키지는 손상된 장치에서 은밀하게 광범위한 데이터를 수집할 수 있는 강력한 위협을 나타냅니다. 고급 Android 맬웨어의 환경이 계속 발전함에 따라 사용자가 경계를 유지하고 장치와 개인 정보를 보호하기 위한 사전 조치를 취하는 것이 점점 더 중요해지고 있습니다. 평판이 좋은 보안 솔루션을 사용하고, 응용 프로그램을 설치할 때 주의를 기울이고, 새로운 위협에 대한 정보를 유지하는 것은 이러한 고급 감시 맬웨어로 인한 위험을 완화하는 데 필수적인 단계입니다.

트렌드

Elibe Ransomware

Ransomware
Elibe 랜섬웨어는 파일을 암호화하고 이름에 ".elibe"를 추가하여 피해자가 데이터에 접근할 수 없도록 만드는 기능이 특징입니다. Elibe 랜섬웨어는 다른 랜섬웨어와 마찬가지로 컴퓨터 시스템에 은밀하게 침투하여 종종 오래된 소프트웨어의 취약점을 이용하거나 피싱 이메일이나 악성 첨부 파일과 같은 사회 공학적 전술을 활용합니다. 피해자의 시스템에...

Antivirus.safe-web-pc.com

Rogue Websites
Antivirus.safe-web-pc.com은 방문자를 겁주어 안티바이러스 보안 솔루션에 대한 라이센스를 구매하도록 하는 속이는 웹사이트입니다. 사이트의 목표는 수수료의 형태로 제작자에게 금전적 이익을 얻는 것입니다. 페이지를 방문하는 사용자는 컴퓨터나 장치에서 여러 맬웨어 위협이 감지되었다는 가짜 경고가 표시됩니다. 의심스러운 사이트는 가짜 주장이...

가장 많이 본

Lookmovie.io는 안전한가요? 스크린샷

Lookmovie.io는 안전한가요?

Issue
29,393
Lookmovie.io는 동영상 스트리밍 사이트입니다. 문제는 불법 스트리밍을 위해 제공되는 콘텐츠입니다. 또한 사이트는 불량 광고 네트워크를 통해 금전적 이득을 얻습니다. 결과적으로 사용자는 종종 의심스러운 광고를 보게 되거나 웹 브라우저에서 의심스러운 웹사이트를 열게 됩니다. 실제로, 이는 불법적으로 제공되는 콘텐츠를 무시하면 사이트 자체는 안전할...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
24,877
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
23,910
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...