New WAPDropper malware stealthily subscribes you to premium services
보안 연구원들이 모바일 전화 기기 사용자들을 노리는 새로운 악성코드 패밀리에 대해 경고했습니다. 이 악성코드는 사용자들을 정식 유료 서비스에 은밀히 가입시키는 것으로 나타났습니다.
WAPDropper라 명명된 이 악성코드는 2단계 악성코드를 전달 가능하고, 머신러닝 솔루션을 통해 이미지 기반 CAPTCHA를 우회할 수 있는 다기능 드롭퍼입니다.
다기능 드롭퍼
최근 캠페인에서 WAPDropper을 발견한 사이버 보안 회사인 Check Point는 이 악성코드가 피해자를 말레이시아와 태국의 통신사에서 제공하는 유료 서비스에 가입시키는 것을 발견했습니다.
악성코드 분석 결과, 이는 해킹된 기기에 다른 악성코드를 다운로드하고 실행할 수 있는 다기능 드롭퍼 기능을 수행하는 두 모듈을 포함한 것으로 나타났습니다.
한 모듈은 명령 및 제어 서버에서 2단계 악성코드를 가져오고, 또 다른 모듈은 유료 다이얼러 컴포넌트를 가져오는 역할을 합니다.
Check Point의 모바일 연구원인 Aviran Hazum은 아래와 같이 언급했습니다.
“WAPDropper는 현재 유료 다이얼러를 드롭하지만, 나중에 이 페이로드는 공격자가 원하는 어떤 페이로드로도 변경될 수 있습니다.”
이들이 돈을 벌어들이는 방법은 간단합니다. 유료 번호로 더 많이 전화를 걸 수록 해당 번호의 소유주는 더 많은 돈을 벌어들이게 됩니다. 공격자는 해당 번호의 소유주이거나 소유주의 파트너일 수 있습니다.
CAPTCHA 우회
Check Point에 따르면 WAPDropper는 비공식 스토어에서 제공되는 앱에 악성코드를 통합시키는 흔한 전략을 사용합니다.
악성코드가 피해자의 기기에 설치되면, 이는 유료 다이얼러를 받기 위해 명령 및 제어 서버(C2)에 연결합니다.
연구원들은 이 악성코드가 아래 정보를 포함한 감염 기기의 세부정보를 수집하는 것으로 공격이 시작된다고 밝혔습니다.
- 디바이스 ID
- Mac 주소
- 가입자 ID
- 디바이스 모델
- 설치된 모든 앱 목록
- 실행 중인 서비스 목록
- 최상위 활동 패키지 명
- 스크린 켜짐 여부
- 해당 앱의 알림이 활성화 되었는지 여부
- 해당 앱이 다른 앱 위에 그리기가 가능한지
- 사용 가능한 저장 공간 용량
- 총 RAM 용량 및 사용 가능한 RAM 용량
- 시스템 앱이 아닌 앱의 목록
이후 유료 서비스의 랜딩 페이지가 로드되고, 가입을 완료하기 위해 webview 컴포넌트가 시작됩니다. 스크린의 1픽셀을 사용하기 때문에 화면에 거의 보이지 않습니다.
<이미지 출처: https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/>
연구원들은 가입 시 이미지 기반 CAPTCHA 문제를 풀어야 할 경우 WAPDropper는 중국 회사의 “Super Eagle” 서비스를 사용한다고 밝혔습니다. 이는 머신 러닝 기술을 사용한 이미지 인식 솔루션입니다.
WAPDropper는 두 가지 방법으로 CAPTCHA 문제를 해결할 수 있습니다.
하나는 CAPTCHA 이미지를 다운로드해 서버로 전송하는 것이고, 파일의 DOM 트리를 추출해 Super Eagle 중국 회사의 서버로 전송하는 것입니다.
<WAPDropper의 CAPTCHA 인식>
<이미지 출처: https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/>
연구원들에 따르면, WAPDropper는 비공식 안드로이드 스토어를 통해 배포됩니다. 비공식 마켓을 사용하지 않을 경우 이 악성코드에 감염될 위험을 줄일 수 있습니다.
출처:
MobileIron MDM 취약점, 실제 공격에 활발히 악용돼 (0) | 2020.11.26 |
---|---|
Baidu 안드로이드 앱, 사용자 정보 무단 수집해 플레이스토어에서 삭제돼 (0) | 2020.11.25 |
VMware, 기업 네트워크 해킹에 악용 가능한 SD-WAN 취약점 수정 (0) | 2020.11.24 |
30만 이상 Spotify 계정 ‘크리덴셜 스터핑’으로 해킹돼 (0) | 2020.11.24 |
봇넷들, 노출된 ENV 파일을 찾기 위해 은밀한 대규모 스캔 작전 실행해 (0) | 2020.11.23 |
댓글 영역