TsarBot 뱅킹 트로이 목마

새롭게 발견된 안드로이드 맬웨어인 TsarBot이 심각한 사이버 위협으로 떠올랐습니다. 은행, 금융, 암호화폐, 전자상거래 부문에서 750개 이상의 애플리케이션을 타겟으로 하는 이 맬웨어는 사용자의 민감한 데이터에 심각한 위험을 초래합니다.

TsarBot이 귀하의 데이터를 수집하는 방법

TsarBot은 오버레이 공격을 사용하여 은행 세부 정보, 로그인 자격 증명 및 신용 카드 정보를 훔치는 정교한 은행 트로이 목마입니다. 북미, 유럽, 아시아 태평양 및 중동을 포함한 여러 지역에서 운영되는 TsarBot은 기만적인 전술을 사용하여 장치에 침투하고 데이터를 원활하게 추출합니다.

TsarBot이 퍼지는 방법: 함정과 속임수

TsarBot은 주로 금융 플랫폼으로 위장한 악성 웹사이트를 통해 퍼집니다. 주목할 만한 예로는 Photon SOL 분산형 거래 플랫폼의 가짜 버전이 있는데, 이는 사용자를 속여 사기성 거래 앱을 다운로드하게 합니다. 또한 피싱 및 소셜 엔지니어링 전술이 배포에 중요한 역할을 합니다.

TsarBot과 같은 맬웨어는 종종 무해해 보이는 콘텐츠에 내장되어 드라이브바이 다운로드, 멀버타이징, 온라인 전략, 의심스러운 다운로드 소스, 스팸 이메일, 가짜 업데이트 및 불법 복제 콘텐츠를 통해 사용자에게 도달합니다. 일부 변종은 로컬 네트워크와 USB 드라이브를 통해 자체적으로 전파될 수도 있어 격리하기가 더욱 어렵습니다.

TsarBot의 작동 방식: 속임수의 달인

일단 설치되면(종종 Google Play 서비스로 위장됨) TsarBot은 합법적인 애플리케이션 위에 가짜 로그인 화면을 표시하여 오버레이 공격을 실행합니다. 이를 통해 의심을 일으키지 않고 로그인 자격 증명을 수집할 수 있습니다.

오버레이 공격 외에도 TsarBot은 화면 녹화, 감염된 기기의 원격 제어, 가짜 잠금 화면을 사용하여 PIN과 비밀번호를 캡처하는 잠금 장치 잡기 메커니즘과 같은 고급 기술을 사용합니다. 또한 검은색 오버레이 화면으로 활동을 숨기면서 스와이프 및 탭과 같은 사용자 동작을 시뮬레이션할 수도 있습니다.

명령 및 제어(C&C) 연결

TsarBot은 WebSocket 연결을 통해 명령 및 제어(C&C) 서버와 통신하며, 이를 통해 실시간 데이터 도난 및 사기 활동이 가능합니다. 이러한 연결을 통해 맬웨어는 화면을 조작하고, 제스처를 실행하고, 대상 애플리케이션과 상호 작용할 수 있습니다.

이 맬웨어는 인도, 프랑스, 폴란드, 호주의 은행 플랫폼, 암호화폐 거래, 소셜 미디어 애플리케이션을 포함한 대상 애플리케이션의 업데이트된 목록을 유지합니다. 사용자가 이러한 애플리케이션과 상호 작용할 때 TsarBot은 가짜 피싱 페이지를 오버레이하여 자격 증명을 수집하고 수집된 데이터를 C&C 서버로 다시 전송합니다.

TsarBot으로부터 안전을 유지하는 방법

TsarBot과 같은 위협으로부터 보호하기 위해 사이버 보안 전문가들은 다음을 권장합니다.

• 신뢰할 수 없는 앱 소스 및 타사 스토어 피하기
• 피싱 링크 및 의심스러운 웹사이트에 주의하세요
• 보안 강화를 위해 Google Play Protect 활성화
• 취약점을 패치하기 위해 정기적으로 장치 업데이트
• 불법 복제 또는 크랙된 소프트웨어 다운로드 금지

안드로이드 뱅킹 트로이 목마가 점점 더 정교해지고 있으므로 사용자는 항상 경계하고 적극적인 보안 조치를 취해 데이터를 보호해야 합니다.