SecuriDropper 모바일 악성코드

사이버보안 전문가들이 안드로이드 기기용 'dDopper-as-a-Service'(DaaS)로 작동하는 SecuriDropper라는 새로운 서비스를 공개했습니다. SecuriDropper는 Google이 구현한 최신 보안 제한을 우회하고 Android 장치에 악성 코드를 성공적으로 배포하도록 설계되었습니다.

Android의 드로퍼 악성 코드는 손상된 장치에 위협적인 소프트웨어를 쉽게 설치하는 수단으로 사용되어 사기 관련 개인에게 수익성 있는 비즈니스 모델을 창출합니다. 이러한 위협 행위자는 자신의 능력을 다른 범죄 조직에 홍보할 수 있습니다.

또한 이 접근 방식을 통해 공격자는 공격의 개발 및 실행과 실제 악성 코드 설치를 분리할 수 있습니다. 드롭퍼와 이를 조율하는 개인의 환경은 진화하는 보안 조치에 적응하면서 끊임없이 변화하는 상태에 있습니다.

SecuriDropper는 여러 보안 조치를 우회합니다.

Google의 Android 13에는 '제한된 설정'이라는 보안 기능이 도입되었습니다. 이 기능은 사이드로드된 응용 프로그램이 뱅킹 트로이 목마에 의해 자주 악용되는 접근성 및 알림 수신기 권한을 획득하지 못하도록 방지하기 위해 설계되었습니다.

SecuriDropper는 의심을 불러일으키지 않고 이 보호 장치를 우회하도록 설계되었으며 종종 겉으로는 무해한 응용 프로그램으로 가장합니다. 야생에서 발생하는 일부 사례는 다음과 같습니다.

com.appd.instll.load (구글)

com.appd.instll.load(구글 크롬)

SecuriDropper를 차별화하는 것은 설치 프로세스에 대한 독특한 접근 방식입니다. 이전 버전과 달리 이 악성 코드군은 대체 Android API를 사용하여 새로운 페이로드를 설치하며, 새로운 애플리케이션 설치를 위해 합법적인 애플리케이션 마켓플레이스에서 사용하는 프로세스를 미러링합니다. 여기에는 외부 저장소(READ_EXTERNAL_STORAGE 및 WRITE_EXTERNAL_STORAGE)에 데이터를 읽고 쓸 수 있는 권한과 패키지(REQUEST_INSTALL_PACKAGES 및 DELETE_PACKAGES)를 설치 및 삭제할 수 있는 권한이 포함됩니다.

공격의 두 번째 단계에서는 피해자에게 앱 내에서 "재설치" 버튼을 클릭하여 설치 오류를 해결하라는 메시지가 표시되어 악성 페이로드 설치가 용이해집니다.

연구원들은 사기성 웹사이트와 Discord와 같은 타사 플랫폼에서 SecuriDropper를 통해 SpyNote 및 ERMAC와 같은 Android 뱅킹 트로이 목마가 배포되는 것을 관찰했습니다.

사이버범죄자들은 위협 도구를 진화시키고 있습니다

제한된 설정 기능을 우회하는 Zombinder 라는 또 다른 드로퍼 서비스가 등장했습니다. Zombinder는 올해 초 종료된 것으로 알려진 APK 바인딩 도구입니다. 이 두 도구 사이에 어떤 연관성이 있는지 여부는 여전히 불확실합니다.

Android가 새로운 버전이 출시될 때마다 계속해서 더 높은 보안 표준을 설정함에 따라 사이버 범죄자들도 마찬가지로 신속하게 적응하고 새로운 솔루션을 찾습니다. DaaS(Dropper-as-a-Service) 플랫폼은 사기 관련 개인이 장치를 침해하고 스파이웨어 및 뱅킹 트로이 목마를 배포할 수 있는 강력한 도구로 부상했습니다.