New variant of Necro Trojan infected more than 11 million devices
- 주요 내용
- 네크로 트로이목마(Necro Trojan) 의 새로운 변종이 구글 플레이 스토어 및 비공식 앱 소스에서 발견되었으며, 1,100만 회 이상의 다운로드를 기록함
- 이 멀웨어는 인기 앱과 게임의 변형된 버전에 숨겨져 있으며, 스테가노그래피와 난독화 기술을 사용해 탐지를 회피함
- 감염 경로
- 구글 플레이 스토어에 등록된 앱뿐만 아니라, Spotify, Minecraft 등의 비공식 소스 앱에서 발견됨
- 감염된 앱들은 Wuta Camera(1천만 이상 다운로드) 및 Max Browser(100만 이상 다운로드) 등이며, 개발자 SDK에 감염되어 배포됨
- 네크로 트로이목마의 기능
- 보이지 않는 창에서 광고 표시, DEX 파일 다운로드 및 실행, 앱 설치, 링크 숨김 등을 수행할 수 있음
- 명령-제어(C2) 서버와 연결해 PNG 이미지 파일에 숨겨진 페이로드를 다운로드하고, Java 아카이브(JAR) 파일을 추출하여 실행함
- 모듈형 구조
- NProxy: 피해자의 디바이스를 통해 터널 생성
- Island: 광고를 표시할 때 랜덤 시간 간격 생성
- Web: C2 서버에 주기적으로 연결하여 코드 실행
- Cube SDK: 백그라운드 광고를 처리하는 플러그인 로드
- Tap: JavaScript와 WebView를 통해 광고 로드
- Happy SDK: NProxy와 Web 모듈의 변형된 버전
- 확산 지역 및 차단 현황
- 2024년 8월 26일부터 9월 15일 사이에 보안 솔루션이 전 세계적으로 10,000회 이상의 공격을 차단함
- 주된 감염 지역은 러시아, 브라질, 베트남 등
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
새로운 Rust 기반 Splinter에 대한 경고 (1) | 2024.09.27 |
---|---|
Mozilla의 PPA 기능 도입에 따른 개인정보보호 논란 (0) | 2024.09.27 |
구글의 Rust 전환으로 안드로이드 메모리 취약점 52% 감소 (0) | 2024.09.27 |
해외 수출기업 이메일 해킹 송금 사기 주의보 (0) | 2024.09.27 |
통신사 해지 고객 개인정보 과도 보유 논란 지속 (0) | 2024.09.27 |