Multi-License Discount Quote
위협 데이터베이스 Mobile Malware XploitSpy 모바일 악성코드

XploitSpy 모바일 악성코드

Mobile Malware, Trojans년에 Mezo 년까지
번역 :
한국어

eXotic Visit라는 새로운 안드로이드 악성 코드 캠페인은 남아시아, 특히 인도와 파키스탄의 사용자를 적극적으로 표적으로 삼았습니다. 본 캠페인은 전문 웹사이트와 구글 플레이 스토어를 통해 악성코드를 유포해왔습니다.

연구원들은 2021년 11월부터 이 캠페인을 모니터링해 왔으며 알려진 위협 행위자 또는 그룹과의 연관성을 발견하지 못했습니다. 그들은 그 배후에 있는 그룹을 가상 침입자(Virtual Invaders)로 분류했습니다.

이러한 소스에서 다운로드한 위협적인 애플리케이션은 합법적인 기능을 제공하지만 오픈 소스 Android XploitSPY RAT의 코드도 포함하고 있습니다. 이 캠페인은 Google Play의 애플리케이션 설치 수가 0에서 45까지 매우 적다는 점에서 매우 초점이 맞춰진 것으로 보입니다. 연구 결과에 따르면 이러한 애플리케이션은 플랫폼에서 제거되었습니다.

수많은 가짜 애플리케이션을 악용한 공격 작전

사기성 애플리케이션은 여전히 기능적이었고 주로 Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger 및 Zaangi Chat과 같은 메시징 플랫폼으로 위장했습니다. 약 380명의 개인이 메시징에 사용하기 위해 이러한 애플리케이션을 다운로드하고 계정을 만드는 피해자가 된 것으로 보고되었습니다.

또한 eXotic Visit 캠페인의 일환으로 Sim Info 및 Telco DB와 같은 애플리케이션이 활용됩니다. 이러한 애플리케이션은 파키스탄 전화번호만 입력하면 SIM 카드 소유자에 대한 정보를 제공한다고 주장합니다. 또한 다른 애플리케이션은 파키스탄의 음식 배달 서비스와 Specialist Hospital(현재 Trilife Hospital로 브랜드 변경)로 알려진 합법적인 인도 병원인 것처럼 가장합니다.

XploitSpy 모바일 악성코드는 광범위한 침입 기능을 보유하고 있습니다.

RaoMK라는 사용자가 2020년 4월 초 GitHub에 처음 업로드한 XploitSPY는 XploitWizer라는 인도 사이버 보안 솔루션 회사와 관련이 있습니다. 이는 AhMyth에서 영감을 받은 L3MON이라는 또 다른 오픈 소스 Android 트로이 목마의 파생물로 확인되었습니다.

이 악성 코드는 손상된 장치에서 민감한 데이터를 수집할 수 있는 광범위한 기능을 자랑합니다. GPS 위치를 수집하고, 마이크에서 오디오를 녹음하고, 연락처, SMS 메시지, 통화 기록 및 클립보드 내용에 액세스할 수 있습니다. 또한 WhatsApp, Facebook, Instagram, Gmail과 같은 인기 앱에서 알림 세부 정보를 추출할 수 있을 뿐만 아니라 파일을 다운로드 및 업로드하고, 설치된 애플리케이션을 보고, 대기 중인 명령을 실행할 수도 있습니다.

또한 유해한 애플리케이션은 WhatsApp, WhatsApp Business, Telegram 및 GBWhatsApp로 알려진 WhatsApp의 수정된 버전과 관련된 특정 디렉터리에서 사진을 찍고 파일을 열거하도록 프로그래밍되어 있습니다.

공격자들은 스텔스 기능을 더욱 강조합니다.

수년에 걸쳐 이러한 위협 행위자는 난독화, 에뮬레이터 감지, C2 주소 숨기기, 기본 라이브러리 사용을 추가하여 피해 코드를 맞춤화해 왔습니다. 기본 라이브러리 'defcome-lib.so'의 주요 목적은 C2 서버 정보를 인코딩하여 정적 분석 도구에서 숨기는 것입니다. 에뮬레이터가 감지되면 앱은 가짜 C2 서버를 사용하여 감지를 회피합니다.

일부 애플리케이션은 이러한 목적으로 특별히 제작된 웹사이트인 'chitchat.ngrok.io'를 통해 전파되었습니다. 이 웹사이트는 GitHub에서 호스팅되는 Android 패키지 파일 'ChitChat.apk'에 대한 링크를 제공합니다. 피해자가 어떻게 이러한 애플리케이션으로 연결되는지는 현재로서는 확실하지 않습니다.

연구원들은 전용 웹사이트에서 배포가 시작된 후 공식 Google Play 스토어까지 이동했다고 밝혔습니다. 이 캠페인의 목적은 간첩이며 아마도 파키스탄과 인도의 피해자를 표적으로 삼을 것입니다.

트렌드

Capcheck.co.in

Rogue Websites, Adware, Browser Hijackers
Capcheck.co.in은 신뢰할 수 없는 웹사이트입니다. 실제로 이는 개인적인 이익을 위해 컴퓨터 사용자를 착취하려는 개인이 제작한 것입니다. 이 사이트는 기만적인 전술을 사용하여 푸시 알림의 실제 목적과 기능을 왜곡하는 오해의 소지가 있는 메시지를 통해 사용자를 유혹하여 푸시 알림을 활성화합니다. 권한이 부여되면 Capcheck.co.in은...

HackBrowserData Infostealer 악성코드

Stealers
알려지지 않은 위협 행위자들은 HackBrowserData라는 오픈 소스 정보 도용 악성 코드의 변형된 변종을 사용하여 인도 정부 기관과 에너지 회사에 관심을 집중했습니다. 이들의 목표는 특정 상황에서 Slack을 명령 및 제어(C2) 메커니즘으로 사용하여 민감한 데이터를 추출하는 것입니다. 이 악성코드는 인도 공군에서 보낸 초대장으로 위장한 피싱 이메일을 통해 유포되었습니다. 공격자는 실행 시 Slack 채널을 기밀 내부 문서, 개인 이메일 서신, 캐시된 웹 브라우저 데이터 등 다양한 형태의 민감한 정보를 유출하는 통로로 활용했습니다. 이 문서화된 캠페인은 2024년 3월 초에 시작된 것으로 추정됩니다. 사이버 범죄자는 중요한 정부 및 민간 기관을 표적으로 삼습니다. 유해한 활동의 범위는 인도의...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
77,079
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
61,333
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...