연구원들이 발견한 새로운 Android용 Hook 멀웨어

2023년 1월 31일 TuxCare 홍보팀

ThreatFabric 사이버 보안 연구원들이 'Hook'으로 알려진 새로운 유형의 Android 멀웨어를 발견했습니다. 해커는 이 멀웨어를 사용하여 감염된 디바이스를 원격으로 제어하고 로그인 자격 증명 및 금융 정보와 같은 민감한 정보를 훔칠 수 있습니다.

연구진에 따르면 Hook은 타사 앱 스토어에서 다운로드한 악성 앱을 통해 유포됩니다. 디바이스에 멀웨어가 설치되면 VNC를 사용하여 원격 서버(가상 네트워크 컴퓨팅)와 실시간 연결을 설정합니다. 이를 통해 해커는 감염된 디바이스에 액세스할 수 있습니다.

이 멀웨어는 오디오 및 비디오 녹화, 스크린샷 캡처, 디바이스 및 사용자에 대한 데이터 수집 등 다양한 악의적인 작업을 수행할 수 있습니다. 또한 수신 및 발신 전화와 메시지를 가로채고 리디렉션하는 기능도 있어 민감한 정보를 훔치거나 금융 사기를 저지르는 데 사용될 수 있습니다.

또한 Hook은 문자 메시지를 가로채고 리디렉션하여 해커가 온라인 계정에 액세스할 수 있도록 허용함으로써 2단계 인증을 우회할 수 있습니다.

안드로이드용 후크 멀웨어는 안드로이드 운영 체제의 특정 기능의 동작을 가로채고 수정하는 방식으로 작동합니다. 이를 통해 멀웨어는 로그인 자격 증명이나 개인 데이터와 같은 민감한 정보에 액세스하고 사용자 모르게 또는 동의 없이 작업을 수행할 수 있습니다.

이 멀웨어는 시스템 라이브러리에 코드를 삽입하거나 Android 디버그 브리지(ADB)를 통해 디바이스에 액세스하는 방식으로 이를 수행합니다. 멀웨어가 디바이스에 액세스하면 키로깅 또는 화면 스크래핑과 같은 다양한 기술을 사용하여 민감한 정보를 훔쳐 공격자에게 전송할 수 있습니다. 또한 멀웨어는 디바이스를 사용하여 스팸을 보내거나 봇넷에 가입하는 등 다른 악의적인 활동을 수행할 수 있습니다.

"이 기능을 통해 Hook은 추가 채널 없이도 모든 중간 단계 없이 전체 DTO를 수행하고 PII 유출에서 거래에 이르는 전체 사기 체인을 완성할 수 있는 멀웨어 제품군 대열에 합류하게 되었습니다."라고 ThreatFabric은 경고합니다.

따라서 연구원들은 안드로이드 사용자들에게 구글 플레이와 같은 공식 앱 스토어에서만 앱을 다운로드하고 불필요한 권한을 요청하는 앱은 피하라고 조언합니다. 또한 감염된 디바이스에서 멀웨어를 탐지하고 제거하는 데 도움이 될 수 있는 모바일 보안 앱을 설치하는 것이 좋다고 조언합니다.

이 글의 출처는 BleepingComputer의 기사입니다.

요약