Android 사용자에 대한 주요 공격이 마침내 중단되었습니다

318,000 명 이상의 사용자에게 영향을 미친 주요 공격이 마침내 중단되었습니다. 흥미로운 점은 오직 러시아 사용자만 목표로 했다는 것입니다. 즉, 자신의 모바일 장치에 러시아어를 기본 사용자 인터페이스로 설정한 사용자를 의미합니다. 이러한 Android 공격의 주범은 Svpeng Android 뱅킹 트로이 목마였습니다. 그리고 이 트로이 목마는 모바일 장치의 Google Chrome 브라우저의 취약점을 악용했습니다.

악용된 버그는 Chrome에서 다운로드를 처리하는 방식을 고려했습니다. 그리고 Svpeng 트로이 목마는 RT(Russia Today)와 Meduza 뉴스 포털과 같은 러시아 웹사이트를 통해 전파되었습니다. 후자의 사이트에는 JavaScript가 삽입되었습니다. 더 정확하게 말하면, 실제로 이 악성 JS가 삽입된 것은 Google AdSense 광고였습니다. 사이트에서 실행중인 악성 코드가 자동으로 감염된 광고를 클릭하여, 바이러스의 페이로드가 피해자의 모바일 장치에 다운로드 됐습니다.

Svpeng의 실행 파일 이름은 다음과 같습니다 (여기서 확장명 .apk은 Android 앱 파일을 나타냅니다):

2GIS.apk

AndroidHDSpeedUp.apk

Android_3D_Accelerate.apk.

Android_update_6.apk

Asphalt_7_Heat.apk

CHEAT.apk

Chrome_update.apk

Cut_the_Rope_2.apk

DrugVokrug.apk

Google_Play.apk

Instagram.apk

Mobogenie.apk

Root_Uninstaller.apk

Skype.apk

SpeedBoosterAndr6.0.apk

Temple_Run.apk

Trial_Xtreme.apk

VKontakte.apk

Viber.apk

WEB-HD-VIDEO-Player.apk

WhatsApp.apk

last-browser-update.apk

minecraftPE.apk

new-android-browser.apk

Установка.apk

피해 사용자의 수가 더 적을 수도 있습니다. 그 이유는 트로이 목마를 시스템에서 실행하게 하려면 다운로드 받은 APK 파일을 열어야 하기 때문입니다.

Kaspersky Lab의 사이버 보안 연구가들은 이 공격이 더 이상 확산되지 않도록 막았습니다. 연구가들은 직원이 Android 기기용 Chrome 업데이트를 공개한 취약점을 Google에 알렸습니다. 이러한 업데이트는 Android 휴대 전화 브라우저의 자동 다운로드 실행을 목표로 합니다. 그리고 Svpeng 트로이 목마는 공격을 할 수 없게 됩니다. 맹공격은 8 월에서 11 월까지 약 3 개월 간 지속되었습니다.

출처: bleepingcomputer.com, securelist.com.