Kant's IT/Issue on IT&Security

네크로 트로이목마, 1,100만 대 이상의 디바이스 감염

Kant Jo 2024. 9. 27. 21:25

New variant of Necro Trojan infected more than 11 million devices

 

New variant of Necro Trojan infected more than 11 million devices

Experts warn of Necro Trojan found in Google Play, threat actors are spreading it through fake versions of legitimate Android apps.

securityaffairs.com

 

  • 주요 내용
    • 네크로 트로이목마(Necro Trojan) 의 새로운 변종이 구글 플레이 스토어비공식 앱 소스에서 발견되었으며, 1,100만 회 이상의 다운로드를 기록함
    • 멀웨어는 인기 앱과 게임의 변형된 버전에 숨겨져 있으며, 스테가노그래피난독화 기술을 사용해 탐지를 회피함
  • 감염 경로
    • 구글 플레이 스토어에 등록된 앱뿐만 아니라, Spotify, Minecraft 등의 비공식 소스 앱에서 발견됨
    • 감염된 앱들은 Wuta Camera(1천만 이상 다운로드)Max Browser(100만 이상 다운로드) 등이며, 개발자 SDK에 감염되어 배포됨
  • 네크로 트로이목마의 기능
    • 보이지 않는 창에서 광고 표시, DEX 파일 다운로드 및 실행, 앱 설치, 링크 숨김 등을 수행할 수 있음
    • 명령-제어(C2) 서버와 연결해 PNG 이미지 파일에 숨겨진 페이로드를 다운로드하고, Java 아카이브(JAR) 파일을 추출하여 실행함
  • 모듈형 구조
    • NProxy: 피해자의 디바이스를 통해 터널 생성
    • Island: 광고를 표시할 때 랜덤 시간 간격 생성
    • Web: C2 서버에 주기적으로 연결하여 코드 실행
    • Cube SDK: 백그라운드 광고를 처리하는 플러그인 로드
    • Tap: JavaScriptWebView를 통해 광고 로드
    • Happy SDK: NProxyWeb 모듈의 변형된 버전
  • 확산 지역 및 차단 현황
    • 2024년 8월 26일부터 9월 15일 사이에 보안 솔루션이 전 세계적으로 10,000회 이상의 공격을 차단함
    • 주된 감염 지역은 러시아, 브라질, 베트남