ΟESET 연구원들은 공식 PayPal 애플리케이션을 대상으로 하며 이중 PayPal 인증을 우회할 수 있는 새로운 Android 트로이 목마를 발견했습니다.
2018년 XNUMX월 ESET에서 처음 탐지된 트로이 목마는 원격 제어 뱅킹 트로이 목마의 기능과 공식 PayPal 애플리케이션 사용자를 대상으로 하는 새로운 형태의 Android 접근성 남용을 결합합니다. 지금까지 멀웨어는 배터리 수명을 최적화하는 도구로 나타나며 타사 애플리케이션 스토어를 통해 배포됩니다.
악성 애플리케이션은 일단 설치되면 기능을 제공하지 않고 종료되고 해당 아이콘이 사라집니다. 그 외에도 연구자들은 그것이 두 가지 방식으로 계속된다는 것을 발견했습니다.
이 단계에서 악성코드가 사용하는 변장
첫 번째 방법은 멀웨어가 사용자에게 실행을 요청하는 알림을 표시하는 것입니다. 사용자가 PayPal 애플리케이션을 열고 로그인하면 악의적인 액세스 서비스(이전에 사용자가 활성화한 경우)가 사용자의 클릭을 모방하여 공격자의 PayPal 주소로 돈을 보냅니다.
연구원에 따르면 애플리케이션은 1.000유로를 이체하려고 시도했지만 사용되는 통화는 사용자의 위치에 따라 다릅니다. 전체 프로세스는 약 5초 정도 소요되며, 순진한 사용자에게는 시간에 개입할 방법이 없습니다.
멀웨어는 PayPal 로그인 자격 증명을 훔치는 것에 의존하지 않고 사용자가 스스로 로그인할 때까지 기다리기 때문에 PayPal의 이중 인증을 우회할 수 있습니다. 사용자가 PayPal 잔액이 충분하지 않고 결제 카드를 계정에 연결하지 않은 경우에만 공격이 실패합니다.
ESET은 이 트로이 목마가 사용하는 맬웨어와 공격자가 훔친 돈을 얻기 위해 사용하는 PayPal 계정을 PayPal에 알렸습니다.
두 번째 방법으로, 악성 앱은 Google Play, WhatsApp, Skype, Viber 및 Gmail의 XNUMX가지 합법적인 화면 덮인 애플리케이션을 표시하지만 가짜 데이터 양식을 작성하지 않는 한 사용자가 닫을 수 없습니다. 연구원들은 허위 정보를 제출했음에도 불구하고 화면이 사라지는 것을 발견했습니다.
그러나 멀웨어 코드에는 피해자의 전화가 아동 포르노를 보기 위해 잠겨 있으며 특정 주소로 이메일이 전송되어야만 잠금 해제될 수 있다고 주장하는 문자열이 포함되어 있습니다.
Google Play, WhatsApp, Viber 및 Skype의 악성 오버레이 화면
Gmail 자격 증명에 대한 악성 오버레이 화면 피싱
이 두 가지 기본 기능 외에도 C&C 서버에서 수신하는 명령에 따라 멀웨어는 SMS 전송 또는 삭제, 연락처 다운로드, 전화 걸기 또는 착신 전환, 애플리케이션 설치 및 실행 등을 수행할 수 있습니다.
ESET은 트로이 목마를 설치한 사용자에게 은행 계좌에 의심스러운 거래가 있는지 확인하고 인터넷 뱅킹 코드, PIN 및 Gmail 비밀번호를 변경하도록 조언합니다. 승인되지 않은 PayPal 거래의 경우 PayPal 분석 센터에 문제를 보고할 수 있습니다.
화면 오버레이로 인해 사용할 수 없는 장치 사용자의 경우 ESET에서는 Android의 안전 모드를 사용하고 장치 설정의 응용 프로그램 관리자/앱 섹션에서 "Android 최적화"라는 응용 프로그램을 제거할 것을 권장합니다.
향후 Android 맬웨어로부터 안전하기 위해 ESET에서는 사용자에게 다음을 권장합니다.
• 앱을 다운로드하려면 공식 Google Play 스토어만 신뢰하십시오.
• Google Play에서 앱을 다운로드하기 전에 설치 수, 평가 및 리뷰 내용을 확인하십시오.
• 설치한 응용 프로그램의 권한에 주의하십시오.
• Android 기기를 최신 상태로 유지하고 안정적인 모바일 보안 솔루션을 사용합니다.
