UBEL 안드로이드 악성코드

UBEL Android 악성코드는 지하 해킹 포럼에서 새로운 Android 위협으로 제공되는 것으로 관찰되었습니다. 그러나 기본 코드를 분석한 결과 다른 그림이 나타났습니다. UBEL은 Oscorp로 알려진 이전에 탐지된 Android 위협과 상당한 유사점을 공유한다는 것이 밝혀졌습니다. 사실, 둘 사이의 연결은 연구원들이 UBEL이 원래 Oscorp 프로젝트의 한 지점이거나 다른 해커 그룹이 수행한 이전 위협의 브랜드 변경일 뿐이라는 결론을 내리기에 충분합니다. UBEL의 운영자는 사이버 범죄 고객과 몇 가지 문제에 부딪쳤습니다. 프로모션에서 제기된 주장에도 불구하고 맬웨어 도구가 특정 Android 기기에서 작동할 수 없다는 불만이 제기되기 시작했습니다.

위협적인 능력

위협 요소에는 위협 행위자가 감염된 Android 기기를 거의 완벽하게 제어할 수 있도록 하는 다양한 기능이 있습니다. 주요 목표는 여전히 피해자로부터 자금을 모으고 은행 자격 증명을 얻는 것인 것으로 보입니다. 이 위협은 암호화 및 뱅킹 애플리케이션을 포함한 여러 경로를 공격할 수 있습니다. 연구원들은 맬웨어가 150개 이상의 응용 프로그램에 대해 오버레이 공격을 수행할 수 있음을 발견했습니다. 또한 위협 요소는 다양한 키로깅 루틴을 설정하고 WebRTC 프로토콜을 통해 백도어 액세스를 설정하며 SMS 및 전화 통화를 조작(차단, 읽기, 보내기, 삭제)할 수 있습니다. 경우에 따라 공격자는 피해자에게 전화를 걸어 가짜 은행 교환원을 고용했고, 백그라운드에서 악성코드는 무단 은행 송금을 통해 자금을 수집했습니다.

채용된 기술

유해한 목표를 용이하게 하기 위해 UBEL은 몇 가지 잘 알려진 기술에 의존합니다. 그 중 하나는 장치의 접근성 서비스를 남용하는 것과 관련이 있습니다. 장애가 있는 사람들이 모바일 장치를 더 편안하게 사용할 수 있도록 설계된 접근성 서비스는 모바일 맬웨어 위협의 일반적인 대상이 되었습니다. 액세스 권한을 획득하면 위협 요소가 버튼 클릭이나 화면 제스처를 시뮬레이션할 수 있습니다. 동일한 권한을 통해 맬웨어가 감염된 장치에서 선택한 정보를 관찰하고 수집할 수도 있습니다. 또 다른 방법을 사용하면 UBEL이 소위 오버레이 공격을 수행할 수 있습니다. 일반적으로 이것은 뱅킹 트로이 목마의 핵심 동작입니다. 이 위협 요소는 WebView를 통해 대상 응용 프로그램에서 생성한 합법적인 페이지 위에 가짜 등록 또는 로그인 페이지를 사용자에게 보여줍니다.