Language
동남아시아 사용자를 노리는 새로운 'MMRat' 안드로이드 트로이 목마

블로그

홈페이지홈페이지 / 블로그 / 동남아시아 사용자를 노리는 새로운 'MMRat' 안드로이드 트로이 목마
search

Jun 15, 2024

10 필수

Jun 01, 2023

Visalia 산업단지에 127만 평방피트의 창고 건물이 들어옵니다.

Mar 26, 2024

말레이시아 쿠알라룸푸르에서 즐길거리 베스트 13

Jul 14, 2023

유럽 ​​여행 비용을 절감하는 3가지 방법

Jun 02, 2024

싱가포르 창이 공항의 경이로운 '보석' 단지에 대해 당신이 몰랐던 5가지 재미있는 사실

문의 보내기
제출하다

Oct 19, 2023

동남아시아 사용자를 노리는 새로운 'MMRat' 안드로이드 트로이 목마

새로 확인된 MMRat Android 트로이목마는 동남아시아 사용자를 표적으로 삼아 원격으로 장치를 제어하고 은행 사기를 저지르고 있습니다. By Flipboard Reddit Pinterest Whatsapp Whatsapp 이메일 A 새로

새로 확인된 MMRat Android 트로이목마는 동남아시아 사용자를 표적으로 삼아 원격으로 장치를 제어하고 은행 사기를 저지르고 있습니다.

에 의해

플립보드

레딧

핀터레스트

왓츠앱

왓츠앱

이메일

동남아시아 사용자를 표적으로 삼고 있는 새로 확인된 안드로이드 트로이목마가 공격자들이 원격으로 장치를 제어하고 은행 사기를 저지를 수 있도록 허용하고 있다고 트렌드마이크로가 보고했습니다.

MMRat이라고 명명되고 6월부터 활동을 시작한 이 악성코드는 사용자 입력을 캡처하고 스크린샷을 찍을 수 있으며 Protobuf 기반의 맞춤형 명령 및 제어(C&C) 프로토콜을 사용하여 대량의 데이터를 전송할 때 성능을 향상시킵니다.

이 악성코드는 공식 애플리케이션 스토어로 가장한 웹사이트를 통해 배포되었으며 베트남어, 태국어 등 다양한 언어로 맞춤 제작되었습니다. 그러나 이러한 사이트에 대한 링크가 의도된 피해자에게 어떻게 배포되는지는 확실하지 않습니다.

설치 후 MMRat은 피해자에게 필요한 권한 활성화를 요청하고 C&C와 통신을 시작하여 장치 정보를 보내고 사용자 입력을 캡처합니다. 접근성 권한이 활성화된 경우 위협은 설정을 수정하고 자체적으로 더 많은 권한을 부여할 수 있습니다.

악성코드는 장치가 사용되지 않을 때 운영자에게 신호를 보내 은행 사기를 수행하고 화면 캡처를 초기화하기 위해 잠금을 해제할 수 있습니다.

그런 다음 악성 코드는 스스로 제거되어 장치에서 모든 감염 흔적을 제거합니다. MMRat은 또한 사용자 의심을 피하기 위해 공식 정부 또는 데이트 애플리케이션으로 가장하는 것으로 나타났습니다.

이어서 “시스템이 켜지고 꺼지는 시기, 재부팅 시기 등을 감지하는 기능을 포함하여 시스템 이벤트를 수신할 수 있는 수신기를 등록합니다. 이러한 이벤트를 수신하면 악성 코드는 지속성을 보장하기 위해 1×1 크기의 픽셀 활동을 시작합니다.”라고 Trend Micro는 설명합니다.

이 악성코드는 접근성 서비스를 시작하고 데이터 유출, 비디오 스트리밍, C&C를 위해 3개 포트를 통해 서버 통신을 초기화하는 것으로 나타났습니다.

서버에서 받은 명령을 기반으로 악성코드는 제스처 및 전역 작업 실행, 문자 메시지 보내기, 비밀번호를 사용하여 화면 잠금 해제, 애플리케이션에 비밀번호 입력, 화면 클릭, 화면 또는 카메라 비디오 캡처, 마이크 활성화, 깨우기 등의 작업을 수행할 수 있습니다. 장치를 삭제하고 자체 삭제합니다.

MMRat은 네트워크, 화면, 배터리 데이터, 설치된 애플리케이션, 연락처 목록을 포함하여 광범위한 장치 데이터와 개인 정보를 수집할 수 있습니다.

“우리는 위협 행위자의 목표가 피해자가 특정 프로필에 부합하는지 확인하기 위해 개인 정보를 알아내는 것이라고 믿습니다. 예를 들어 피해자의 연락처가 특정 지리적 기준을 충족하거나 특정 앱이 설치되어 있을 수 있습니다. 이 정보는 추가적인 악의적 활동에 사용될 수 있습니다.”라고 Trend Micro는 말합니다.

Trend Micro에 따르면 화면 캡처 기능은 원격 제어와 함께 사용되어 위협 행위자가 은행 사기를 수행할 때 장치의 실시간 상태를 볼 수 있도록 허용할 가능성이 높습니다. 또한 이 악성코드는 MediaProjection API를 사용하여 화면 콘텐츠를 캡처하고 비디오 데이터를 C&C 서버로 스트리밍합니다.

또한 이 악성코드는 화면 데이터를 캡처하기 위해 터미널과 유사한 그래픽 사용자 인터페이스 없이 텍스트 정보만 서버로 전송하는 '사용자 터미널 상태' 접근 방식을 사용합니다.

관련된:Google Play를 통해 전달된 Anatsa Banking 트로이 목마는 미국, 유럽의 Android 사용자를 표적으로 삼았습니다.

관련된:Google Play에서 50,000건의 다운로드를 기록한 Android 앱이 업데이트를 통해 스파이웨어로 변했습니다.

관련된:새로운 안드로이드 트로이목마, Google Play와 피싱을 통해 아시아의 많은 기기 감염

Ionut Arghire는 SecurityWeek의 국제 특파원입니다.

SecurityWeek 이메일 브리핑을 구독하여 업계 전문가의 통찰력 있는 칼럼과 함께 최신 위협, 동향, 기술에 대한 정보를 받아보세요.

보안 전문가와 함께 사이버 위험을 줄이고 비즈니스 역량을 강화할 수 있는 ZTNA의 미개발 잠재력에 대해 논의하세요.