다중 장치 라이선스 (대량 할인)

지역 변경

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Banking Trojan 코퍼 뱅킹 트로이목마

코퍼 뱅킹 트로이목마

Banking Trojan년에 Mezo 년까지
번역 :
한국어

Doctor Web의 infosec 연구원은 콜롬비아 사용자를 대상으로 하는 새로운 Android 뱅킹 트로이 목마 제품군을 발견했습니다. Coper Banking 트로이 목마라는 이 위협은 다단계 감염 체인을 사용하여 Android 기기를 손상시키고 주로 사용자의 은행 자격 증명을 수집하려고 시도하는 다양한 유해 활동을 실행합니다. 또한 탐지된 트로이 목마는 탐지를 더 어렵게 만드는 모듈식 구조를 가지고 있으며 다양한 유형의 제거 시도로부터 위협을 보호하는 여러 지속성 메커니즘을 갖추고 있습니다.

공격 사슬

Coper Banking 트로이 목마는 Bancolombia에서 출시한 합법적인 응용 프로그램인 것처럼 보이도록 설계된 손상된 응용 프로그램을 통해 확산됩니다. 이러한 가짜 응용 프로그램 중 하나는 Bacolombia Personas라고 하며 해당 아이콘은 공식 Bancolombia 응용 프로그램의 스타일과 색상 팔레트를 모방합니다. 이 단계에서 침투한 안드로이드 기기에 드로퍼를 전달한다. 드로퍼의 주요 목표는 'o.html'이라는 웹 문서인 것처럼 가장하는 다음 단계 페이로드를 해독하고 실행하는 것입니다.

두 번째 단계 모듈은 접근성 서비스 기능을 가져오는 역할을 합니다. 이는 Coper 트로이 목마가 손상된 장치를 제어하고 특정 버튼 누르기를 모방하는 것과 같은 사용자 작업을 수행할 수 있도록 하기 때문에 위협의 몇 가지 안전하지 않은 기능에 필수적입니다. 멀웨어는 또한 내장된 멀웨어 보호 Google Play 프로텍트를 비활성화하려고 시도합니다.

감염 체인의 세 번째 단계에서 뱅킹 트로이 목마의 주요 모듈이 해독되고 시작됩니다. 사용자의 주의를 끌지 않기 위해 이 위협적인 구성 요소는 Cache 플러그인이라는 응용 프로그램으로 위장하여 시스템에 설치됩니다. 트로이 목마는 시스템에 의한 종료를 피하기 위해 장치의 배터리 최적화 화이트리스트에 추가하도록 요청합니다. 또한, 치료는 전화 및 SMS에 대한 액세스 권한을 부여하는 장치 관리자로 설정됩니다.

악성 기능

Coper Trojan은 홈 화면에서 아이콘을 제거한 후 Command-and-Control(C&C, C2) 서버에 알리고 대기 모드에 들어갑니다. 위협 요소는 기본적으로 1분에 한 번씩 주기적으로 C&C 서버에 접속하여 새로운 지침을 제공합니다. 공격자는 SMS 전송 및 가로채기, 화면 잠금/잠금 해제, 키로거 루틴 실행, 새로운 푸시 알림 표시 또는 수신 알림 가로채기, 애플리케이션 제거 또는 위협에 스스로 제거하도록 지시할 수 있습니다.

위협 행위자는 또한 악의적인 목표에 더 잘 맞도록 위협의 행동을 수정할 수 있습니다. 트로이 목마의 C&C 서버 목록, 대상 응용 프로그램, 삭제할 응용 프로그램 목록 또는 실행을 방지하도록 설정된 응용 프로그램 목록을 모두 조정할 수 있습니다.

Coper는 뱅킹 트로이목마로 분류되므로 주요 목표는 뱅킹 자격 증명을 수집하는 것입니다. 거의 동일한 피싱 페이지로 대상 응용 프로그램의 합법적인 로그인 화면을 오버레이합니다. 가짜 페이지의 내용은 C&C에서 다운로드되어 WebView에 배치됩니다. 입력된 모든 정보는 스크랩되어 해커에게 업로드됩니다.

방어 기술

Coper Banking 트로이 목마는 장치에 위협이 계속 존재하도록 하거나 특정 상황에서 실행되지 않도록 하는 몇 가지 보호 조치를 보여줍니다. 예를 들어 위협 요소는 사용자의 국가, 활성 SIM 카드가 장치에 연결되어 있는지 또는 가상 환경에서 실행되고 있는지 확인하기 위해 여러 번 확인합니다. 검사 중 하나가 지정된 매개변수 내에 있지 않더라도 위협은 자체적으로 종료됩니다.

또 다른 기술은 트로이 목마를 해칠 수 있는 작업을 적극적으로 검색하는 것입니다. 위협 요소는 사용자가 Play 스토어 애플리케이션에서 Google Play 프로텍트 페이지를 열려고 시도하는지, 장치 관리자를 변경하려고 시도하는지, 트로이 목마 정보 페이지를 보려고 시도하는지 또는 접근성 서비스 기능에서 이를 제외하는지 탐지할 수 있습니다. 이러한 작업을 감지하면 위협 요소는 홈 버튼을 눌러 사용자를 홈 화면으로 되돌리는 것을 시뮬레이션합니다. 유사한 방법이 뒤로 버튼 누르기를 시뮬레이션할 때 사용자가 트로이 목마를 제거하지 못하도록 하는 데 사용됩니다.

현재 활성화된 위협 샘플은 콜롬비아 사용자에게만 집중되어 있는 것처럼 보이지만 Coper Baking 트로이 목마 운영자가 다음 릴리스 버전에서 작업을 확장하는 것을 막을 수는 없습니다.

트렌드

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng는 사용자 웹 브라우저의 검색 기능을 조작하여 원하지 않는 검색 엔진으로 검색을 리디렉션하는 브라우저 확장 유형입니다. 브라우저 하이재커로 알려진 이 침입 소프트웨어는 브라우저의 기본 검색 엔진 설정을 변경하여 대신 safesearcheng.com을 활용하도록 합니다. Safe Search Eng와 같은 브라우저 하이재커는...

마이월페이퍼

Browser Hijackers
컴퓨터 사용자는 온라인 경험을 향상시키기 위해 설계된 다양한 소프트웨어와 애플리케이션을 접하는 경우가 많습니다. 그러나 모든 소프트웨어가 좋은 의도로 만들어진 것은 아니며 일부 소프트웨어는 완전히 안전하지 않을 수 있습니다. 그러한 예 중 하나는 MyWallPaper로 알려진 브라우저 하이재커입니다. 이 기사에서는 MyWallPaper가 무엇인지,...

가장 많이 본

Lookmovie.io는 안전한가요? 스크린샷

Lookmovie.io는 안전한가요?

Issue
29,132
Lookmovie.io는 동영상 스트리밍 사이트입니다. 문제는 불법 스트리밍을 위해 제공되는 콘텐츠입니다. 또한 사이트는 불량 광고 네트워크를 통해 금전적 이득을 얻습니다. 결과적으로 사용자는 종종 의심스러운 광고를 보게 되거나 웹 브라우저에서 의심스러운 웹사이트를 열게 됩니다. 실제로, 이는 불법적으로 제공되는 콘텐츠를 무시하면 사이트 자체는 안전할...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
23,621
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
22,680
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...