히드라 안드로이드 트로이 목마

Hydra Android 트로이 목마는 2019년에 이 위협의 첫 번째 샘플이 발견됨에 따라 한동안 적극적인 공격 캠페인에 사용되었습니다. 그 이후로 위협은 여러 버전을 거쳤으며 위협 기능이 여러 번 확장되었습니다. Hydra Android 트로이 목마의 주요 목표는 은행 또는 금융 서비스를 위해 피해자의 자격 증명을 수집하는 것과 동일하게 유지되었습니다.

MalwareHunterTeam 및 Cyble의 사이버 보안 연구원이 Hydra Android 트로이 목마를 배포하는 최신 캠페인을 발견했습니다. 위협적인 작전은 유럽 전자 뱅킹 플랫폼, 특히 독일에서 두 번째로 큰 은행인 Commerzbank의 고객을 대상으로 합니다.

유해한 기능

위협은 트로이 목마화된 Commerzbank 애플리케이션을 확산시키는 미끼 웹사이트를 통해 전달됩니다. 피해자의 기기에 배포되면 Hydra Android 트로이 목마는 몇 가지 중요한 권한을 요청합니다. 첫째, Android의 접근성 서비스에 대한 액세스를 원합니다. 장애인이 Android 기기를 보다 편안하게 사용할 수 있도록 구현한 합법적인 백그라운드 서비스입니다. 그러나 위협은 서비스를 남용하여 장치의 화면에서 발생하는 모든 활동을 모니터링하고 가로챕니다. 그렇게 하면 피해자가 다른 애플리케이션에서 입력한 자격 증명을 볼 수 있습니다.

위협에서 요구하는 두 번째 권한은 BIND_DEVICE_ADMIN입니다. Hydra 관리자 권한을 부여하고 장치 잠금, 화면 잠금 PIN 수정 등과 같은 수많은 침입 활동을 수행할 수 있습니다. 멀웨어는 SMS 액세스 또는 전송, 전화 걸기, 피해자의 연락처 목록에 메시지 전송 등의 추가 작업을 수행할 수 있습니다.

최신 Hydra Android 트로이 목마 버전에는 SOVA Android 뱅킹 트로이 목마와 유사한 방식으로 TeamViewer 기능도 탑재되어 있습니다. 또한 여러 암호화 기술과 통신용 TOR를 사용하여 탐지 회피율을 높였습니다.