본문 바로가기
인생그것은약속위반/관심

안드로이드 맬웨어 '네크로', 1,100만대 이상 안드로이드 폰 감염

by Daniel_Kevin 2024. 9. 28.
반응형

카스퍼스키 랩의 보안 연구원들은 Google Play와 비공식 앱 소스를 통해 최소 1,100만 대의 Android 기기에 설치된 새로운 버전의 Necro 맬웨어를 발견했습니다.

모르는 분들을 위해 말씀드리자면, Necro 맬웨어는 2019년에 처음 등장했습니다. CamScanner는 Google Play에서 1억 회 이상 다운로드된 휴대전화용 PDF 생성 앱입니다.

 

그러나 네크로 맬웨어의 새로운 변종은 탐지를 피하고 페이로드를 숨기기 위해 스테가노그래피와 난독화와 같은 고급 방법을 사용하는 다단계 로더입니다.

 

또한 이 맬웨어는 Google Play의 합법적 앱과 Spotify, WhatsApp과 같은 인기 소프트웨어의 수정된 버전, 그리고 Minecraft, Stumble Guys, Car Parking Multiplayer, Melon Sandbox와 같은 비공식 앱 스토어를 통해 제공되는 Android 게임 앱에서 사용하는 악성 광고 소프트웨어 개발 키트(SDK)를 통해 Android 기기에 설치되었습니다.

 

반응형

 

카스퍼스키는 Google Play의 두 앱에서 새로운 Necro 맬웨어를 발견했습니다. 첫 번째는 실시간 미용, 얼굴 특징 조정 및 메이크업 필터를 제공하는 무료 앱인 "Wuta Camera"입니다. "Benqu"에서 개발한 이 앱은 Google Play에서 10,000,000회 이상 다운로드되었습니다.

 

카스퍼스키 에 따르면, Necro 로더는 Wuta 카메라 버전 6.3.2.148부터 6.3.2.148까지 존재했는데, 이 보안 회사가 Google에 이를 알렸습니다.

악성 코드는 버전 6.3.7.138에서 제거되었지만, 해당 버전보다 낮은 버전을 사용하는 Android 사용자는 여전히 위험에 노출되어 있으므로 즉시 업데이트하시기 바랍니다.

 

네크로 맬웨어가 포함된 두 번째 합법적인 앱은 "WA 메시지 'recover-warm'으로 생성된 'Max Browser'입니다.

이 웹 브라우저는 카스퍼스키의 통보에 따라 제거되기 전까지 Google Play에서 백만 번 이상 다운로드되었습니다.

 

Kaspersky에 따르면 최신 버전인 1.2.0에는 여전히 Necro 로더가 포함되어 있으며 타사 리소스에서 사용할 수 있습니다. 사용자에게 이 버전을 즉시 제거하고 다른 브라우저로 전환할 것을 권장합니다.

두 사례 모두 카스퍼스키는 'Coral SDK'라는 광고 SDK에 감염되었다고 말했는데, 이 SDK는 난독화 방법을 사용하여 악성 활동을 숨겼습니다. 또한 2단계 페이로드인 shellPlugin에 무해한 PNG 이미지로 위장한 이미지 스테가노그래피를 사용했습니다.

 

300x250

 

안드로이드 기기가 감염되면 맬웨어는 다양한 악성 플러그인을 활성화합니다. 공격자에게 사기성 수익을 창출하기 위해 백그라운드의 보이지 않는 창에 광고를 표시하거나, 임의의 JavaScript와 DEX 파일을 다운로드하여 실행하는 모듈, 다운로드한 앱을 설치하고, 피해자 기기를 터널링하고, 심지어는 유료 구독을 취소할 수도 있습니다.

 

이 최신 Necro 맬웨어에 감염된 Android 기기의 정확한 수는 알려지지 않았지만, Google Play에서만 최소 1,100만 대의 Android 기기가 영향을 받았을 것으로 추정됩니다.

카스퍼스키에 따르면 이 맬웨어는 8월 26 일 부터 9월 15 일 사이에 러시아, 브라질, 베트남, 에콰도르, 멕시코에서 수만 명의 사용자를 표적으로 삼은 것으로 나타났습니다.

 

잠재적인 위협으로부터 보호하기 위해, 카스퍼스키는 사용자에게 영향을 받는 Google Play 앱을 악성 코드가 제거된 버전으로 업데이트하거나 Android 기기에서 삭제하도록 권고합니다.

또한 사용자에게 공식 출처에서만 앱을 다운로드하고, 신뢰할 수 있는 보안 솔루션을 사용하여 기기를 맬웨어 설치 시도로부터 보호할 것을 권고합니다.

 

*참조한 원본 글 https://www.techworm.net/2024/09/android-malware-necro-infect-android-phone.html

반응형
그리드형

댓글