'광고 차단기' 모바일 악성코드

'Ads Blocker' 모바일 악성코드는 특히 Android 기기를 감염시키도록 설계되었습니다. 이 위협 요소에는 수많은 침입 기능이 포함되어 있으며 멀웨어 자체가 제거된 후에도 해당 작업이 침해된 장치에 영향을 미칠 수 있습니다. 애플리케이션은 피해자의 기기에 'Ads Blocker V16.1'로 설치될 수 있습니다. 그러나 위협 요소가 파일을 숨기므로 찾기가 어려울 수 있습니다. 예를 들어, 쉽게 액세스할 수 있는 응용 프로그램 목록에 나열된 항목에는 나타나지 않습니다. 위협을 찾으려면 사용자는 장치 설정을 통해 사용할 수 있는 응용 프로그램 목록으로 이동해야 합니다. 그러나 여기에서도 광고 차단기는 항목의 일부로 이름이나 아이콘을 갖지 않습니다.

설치되면 Ads Blocker는 몇 가지 중요한 권한을 부여하며 이를 계속 악용하여 기기의 캘린더에 액세스하고 다른 애플리케이션을 오버레이하는 기능을 얻습니다. 멀웨어는 사용자의 일정에 액세스하여 수백 가지의 기만적이거나 가짜 이벤트를 생성하거나 주입합니다. 이후 피해자는 의심스럽거나 안전하지 않은 온라인 콘텐츠를 홍보하는 이벤트에 대한 지속적인 알림을 받기 시작합니다. 이러한 방식으로 생성된 이벤트는 광고 차단기가 삭제된 후에도 지속될 수 있습니다. 모든 사기성 이벤트를 제거하려면 사용자가 수동으로 이벤트를 하나씩 종료해야 할 수 있습니다.

오버레이 권한 덕분에 Ads Blocker는 본질적으로 기기에서 사용자의 브라우저 애플리케이션을 가로챌 수 있습니다. 사용자가 웹 검색을 시작하려고 하면 멀웨어는 사용자가 기본값으로 설정한 검색 엔진 대신 승격된 검색 엔진으로 리디렉션합니다. 오버레이 창의 결과로 사용자는 두 개의 URL 표시줄을 보게 됩니다. 하나는 기본 검색 엔진을 표시하고 다른 하나는 위협에 의해 시작된 리디렉션 체인을 포함합니다. Infosec 연구원은 광고 차단기가 'ubersearch.ch' 웹사이트로 리디렉션되는 것을 관찰했습니다. 이 사이트는 대부분 신뢰할 수 없고 품질이 낮은 결과를 생성하는 모호한 검색 엔진에 속합니다.

기기에서 활성화되어 있는 동안 Ads Blocker는 가짜 알림을 전달할 수도 있습니다. 이러한 메시지는 피해자를 속이기 위해 합법적인 애플리케이션의 알림을 모방할 수 있습니다. 광고 차단기는 메신저 애플리케이션의 알림을 모방하는 것으로 확인되었습니다.