다중 라이센스 할인 견적
위협 데이터베이스 모바일 맬웨어 AntiDot 안드로이드 맬웨어

AntiDot 안드로이드 맬웨어

모바일 맬웨어년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 수백 건의 악성 캠페인을 통해 수천 대의 기기를 감염시킨 정교한 안드로이드 악성코드인 AntiDot의 정체를 밝혀냈습니다. LARVA-398이라는 위협 행위자와 연관된 이 악성코드는 다크웹에서 모바일 MaaS(Malware-as-a-Service) 서비스가 야기하는 위험성이 점점 커지고 있음을 보여줍니다.

증가하는 위협: 공격의 규모와 범위

AntiDot은 273건의 개별 캠페인에 연루되어 3,775대 이상의 안드로이드 기기를 침해했습니다. 이러한 캠페인은 언어 및 지리적 위치를 기반으로 하는 고도로 타겟팅되어 있어, 피해자의 선택적 프로파일링을 시사합니다. 이 악성코드는 주로 악성 광고 네트워크와 가짜 Google Play 업데이트를 포함한 피싱 캠페인을 통해 유포됩니다.

모바일을 위한 MaaS: LARVA-398의 비즈니스 모델

'3-in-1' 솔루션으로 판매되는 AntiDot은 지하 포럼에서 판매되며, 위협 행위자에게 다음과 같은 강력한 툴킷을 제공합니다.

  • 접근성 남용을 통한 화면 녹화
  • SMS 차단
  • 타사 앱에서 데이터 추출

이러한 상용화로 인해 더욱 다양한 사이버 범죄자가 이를 이용할 수 있게 되었고, 첨단 모바일 공격을 개시하기 위한 장벽이 낮아졌습니다.

고급 기능: AntiDot이 할 수 있는 일

AntiDot은 공격자가 감염된 기기를 지속적이고 은밀하게 제어할 수 있도록 하는 광범위한 악성 기능을 갖추고 있습니다. 정상적인 앱을 은밀하게 모방한 가짜 로그인 화면을 표시하여 오버레이 공격을 수행하여 사용자 인증 정보를 탈취합니다. 또한, 키 입력을 기록하고 화면 내용을 모니터링하여 민감한 정보를 수집합니다. 안드로이드의 MediaProjection API를 활용하여 웹소켓 연결을 통해 명령 및 제어 서버와 실시간 통신을 유지하면서 기기를 원격으로 제어할 수 있습니다.

AntiDot은 접근성 서비스를 악용하여 기기에서 방대한 데이터를 수집하고, 수신 및 발신 메시지를 가로채는 기본 SMS 앱으로 설정합니다. 또한, 통화를 차단하거나 리디렉션하는 방식으로 통화를 조작하고, 사용자에게 의심스러운 활동을 알리지 않도록 알림을 억제합니다. 이러한 기능들을 통해 공격자는 피해자 기기에 대한 포괄적인 접근 및 제어권을 확보합니다.

전달 체인: 3단계 감염 프로세스

맬웨어는 다단계 형식으로 전달됩니다.

초기 APK 파일 – 피싱이나 가짜 업데이트의 일부로 배포됩니다.

동적 클래스 로딩 – APK에 없는 난독화된 클래스는 설치 중에 로드됩니다.

DEX 파일 실행 – 액세스 권한을 얻은 후, 맬웨어는 봇넷 코드가 포함된 악성 DEX 파일을 압축 해제하고 로드합니다.

AntiDot은 상업용 패커와 암호화된 페이로드를 사용하기 때문에 탐지 및 역공학이 심각하게 방해를 받습니다.

가짜 인터페이스와 신원 도용

AntiDot의 핵심 전술은 사용자가 암호화폐 또는 금융 앱을 실행할 때 가짜 로그인 화면을 표시하는 것입니다. 이 화면은 명령제어(C2) 서버에서 실시간으로 전송되므로 공격자는 사용자의 의심을 받지 않고도 민감한 정보를 탈취할 수 있습니다.

AntiDot의 C2 인프라: 효율성을 위해 구축됨

이 맬웨어의 원격 제어판은 MeteorJS 기반으로 구축되어 감염된 기기와의 원활한 실시간 상호작용을 가능하게 합니다. 이 패널은 6개의 섹션으로 구성되어 있습니다.

  • 봇: 감염된 장치와 해당 메타데이터를 표시합니다.
  • 주입: 오버레이 공격 및 템플릿에 대한 대상 앱을 나열합니다.
  • 분석: 설치된 앱을 추적하여 추세와 미래 목표를 파악합니다.
  • 설정: 주입 매개변수 및 맬웨어 동작을 제어합니다.
  • Gates: 봇 커뮤니케이션 엔드포인트를 관리합니다.
  • 도움말: 맬웨어 운영자를 위한 사용자 지원을 제공합니다.

국소적이고 지속적: AntiDot의 실제 위험

AntiDot은 단순한 안드로이드 트로이 목마가 아닙니다. 확장 가능하고 탐지가 용이한 MaaS 플랫폼으로, 지역화된 타겟팅을 통해 금융 사기에 집중합니다. 웹뷰 인젝션, 오버레이 기반 신원정보 도용, 실시간 C2 통신 등의 기법을 통해 사용자 개인 정보 보호 및 모바일 보안에 심각한 위협을 가합니다.

연구자들은 AntiDot의 도입이 증가하고 전략이 진화함에 따라 이와 같이 점점 더 은밀해지는 위협에 대처하기 위해서는 강화된 안드로이드 보안 관행, 정기적 업데이트, 사용자 인식이 시급히 필요하다고 경고합니다.

트렌드

파커 랜섬웨어

랜섬웨어
PARKER 랜섬웨어는 피해자의 데이터를 표적으로 삼아 사용할 수 없는 상태로 둡니다. 문서, PDF, 사진, 사진, 아카이브, 데이터베이스 등을 포함한 모든 파일 형식이 영향을 받을 수 있습니다. 충분히 강력한 암호화 알고리즘은 영향을 받는 사용자가 공격자의 도움 없이 파일을 복원하는 것을 방지합니다. 이 위협 요소는 작업의 일부로 원래 이름에...

Mytopword.com

불량 웹사이트, 브라우저 하이재커
Mytopword.com은 인기 있는 브라우저 기반 전술을 전파하는 악성 웹사이트입니다. 페이지를 방문하는 사용자는 표시된 '허용' 버튼을 누르도록 촉구하는 오해의 소지가 있는 메시지나 클릭 미끼 메시지가 표시될 수 있습니다. 이 동작은 합법적인 푸시 알림 브라우저 기능을 악용하려는 모든 신뢰할 수 없는 페이지에서 일관됩니다. 메시지의...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
60,128
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
48,487
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
46,557
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...