GriftHorse 안드로이드 트로이 목마

천만 명 이상의 Android 사용자에게 영향을 미친 대규모 공격 캠페인이 보안 연구원에 의해 밝혀졌습니다. 그들은 GriftHorse라는 새로운 모바일 Android 트로이 목마를 배포하는 130개 이상의 무기화된 애플리케이션을 발견했습니다. 애플리케이션은 다양한 범주에 걸쳐 있으며 Google Play 및 타사 앱 스토어에서 사용할 수 있습니다. 이러한 트로이 목마 응용 프로그램에 투입된 노력은 매우 다양했으며 일부는 기본 기능을 갖고 있지만 아무 것도 할 수 없습니다.

해커의 목표와 GriftHorse의 주요 활동은 '플리스웨어'로 알려진 계획을 수행하는 것입니다. 여기에는 순진한 피해자들을 값비싼 프리미엄 모바일 서비스에 가입시키는 것이 포함됩니다. 전술은 사용자가 이동통신사로부터 다음 달 청구서를 받은 경우에만 드러납니다. 평균 구독 가격이 월 $42(€36)로 추정되는 연구원들은 GriftHorse의 사이버 범죄자들이 70개국에 퍼져 있는 사용자로부터 수억 유로를 징수할 수 있다고 믿습니다.

공격 세부 정보

사용자의 Android 기기에 전달되면 GriftHorse는 즉시 수령해야 하는 상품에 당첨되었다고 주장하는 경고를 사용자에게 퍼붓기 시작합니다. 이러한 경고는 시간당 최소 5번 생성됩니다. 경고와 상호 작용하면 장치의 IP 주소, 지리적 위치, 현지 언어 및 상황에 맞는 텍스트와 같은 여러 요소를 기반으로 동적으로 생성된 페이지가 사용자에게 표시됩니다. 이 페이지는 피해자에게 '확인' 수단으로 사용하는 것으로 가장하여 피해자에게 전화번호를 입력하도록 요청합니다. 대신 GriftHorse는 피해자가 선택한 프리미엄 모바일 서비스에 가입했습니다.

반복 불가능한 페이지를 사용하고 하드코딩된 URL을 피하는 것 외에도 해커는 탐지를 피하고 눈에 띄지 않게 유지하기 위해 추가 전술을 사용했습니다. 예를 들어 Apache Cordova를 사용하여 무기화된 애플리케이션을 개발하여 사용자 상호 작용 없이 업데이트를 푸시할 수 있습니다. 또한 캠페인에는 여러 명령 및 제어 서버가 있는 정교한 인프라와 AES 암호화 알고리즘을 사용한 강력한 암호화가 포함됩니다.