BrazKing 안드로이드 맬웨어
BrazKing은 오버레이 공격을 수행하여 피해자의 은행 자격 증명을 수집하는 모바일 뱅킹 악성코드입니다. 위협은 브라질에 있는 Android 기기 및 사용자를 대상으로 합니다.주로, 아마도 그것의 운영자가 또한 지역에 위치하고 있음을 시사합니다. IBM Trusteer의 연구원은 여러 BrazKing 샘플을 분석한 후 발견한 내용이 포함된 보고서를 발표하여 위협에 대해 조명했습니다. 지금까지 전문가들은 BrazKing이 아직 개발 중이라고 확신합니다.위협의 최신 버전에 도입된 상당한 차이점으로 인해 적극적으로.
목차
Android의 접근성 서비스 악용
접근성 기능은 장애가 있는 사람들이 모바일 장치를 보다 편안하게 사용할 수 있도록 하기 위한 것입니다. 하지만,사이버 범죄자들은 이를 노리고 서비스를 악용하여 감염된 장치에서 수많은 사악한 작업을 수행하고 있습니다. BrazKing은 접근성 서비스에 의존합니다.이를 통해 위협 요소가 사용자가 부여해야 하는 특정 권한의 수를 제한할 수 있기 때문입니다. 결과적으로 BrazKing은 의심이 덜한 소수의 권한을 요청합니다.
백그라운드에서 BrazKing은 화면 탭을 시뮬레이션하고, 키로깅 루틴을 설정하고, RAT(원격 액세스 트로이 목마)로 작동하고, 화면에 표시되는 메시지 텍스트를 캡처하여 SMS를 가로채고 읽을 수 있으며, 다음을 통해 사용자의 연락처 목록에 액세스할 수 있습니다. '연락처' 화면에서 조용히 읽습니다. 위협은 또한 접근성 서비스의 기능을 기반으로 지속성 메커니즘을 설정합니다. 사용자가 감염된 장치를 공장 설정으로 복원하려고 하면 BrazKing은 즉시 '뒤로' 및 '홈' 버튼을 누르는 것을 시뮬레이션합니다. 사용자가 맬웨어 방지 솔루션을 실행하거나 장치 검사를 실행하지 못하도록 하는 데에도 동일한 기술이 사용됩니다.
감염 벡터
피해자는 사기 웹사이트의 URL을 포함하는 피싱 메시지를 통해 위협을 설치하도록 속입니다. 사기성 웹사이트는 사용자의 기기가 보안이 오래되어 차단될 것이라고 주장하는 등 겁을 주는 전술을 사용합니다. 존재하지 않는 이 문제를 해결하기 위해 사용자는 장치의 운영 체제를 '업데이트'할 예정인 제공된 버튼을 클릭하도록 안내됩니다. 실제로는 BrazKing Android 맬웨어를 제공합니다. 응용 프로그램이 알 수 없는 소스에서 제공되기 때문에 사용자는 여전히 다운로드를 승인해야 합니다. 그 후 위협은 Google 요구 사항으로 마스킹하는 데 필요한 약간의 권한을 얻으려고 시도합니다.
오버레이 공격
이전 BrazKing 버전은 하드코딩된 URL에서 대상 은행 애플리케이션에 대한 가짜 로그인 화면을 가져왔습니다. 최신 버전은 이 기술에서 벗어나 보다 능률적이고 민첩하며 파악하기 어렵게 되었습니다. 실제로 위협 요소는 이제 명령 및 제어(C2, C&C) 서버에 자동 호출을 수행하고 즉시 필요한 오버레이 화면을 요청합니다. 사이버 범죄자는 이제 피해자가 적절한 앱을 실행할 때와 위협 자체 내의 자동화된 기능에 맡기는 대신 자격 증명 수집 프로세스를 활성화할 때를 결정합니다.
BrazKing 공격의 또 다른 특징은 사용자가 승인한 'android.permission.SYSTEM_ALERT_WINDOW' 권한이 필요하지 않다는 것입니다. 대신 멀웨어는 오버레이 화면의 URL을 webview로 로드하여 창에 표시합니다.
모바일 뱅킹 악성코드는 계속 진화하고 있으며 사용자는 자신의 장치를 보호하고 불필요한 위험에 노출되지 않도록 필요한 조치를 취해야 합니다.
