카르본, 지오니 및 삼성 클론이 DeathRing 트로이안으로 사전 설치됨 - Lookout

Table Of Contents

• 카르본, 지오니 및 삼성 클론이 DeathRing 트로이안으로 사전 설치됨
• DeathRing
• DeathRing이 사전 설치될 수 있는 스마트폰

카르본, 지오니 및 삼성 클론이 DeathRing 트로이안으로 사전 설치됨

모바일 보안 솔루션 제공업체 Lookout의 보안 전문가들은 베트남, 인도네시아, 인도, 나이지리아, 대만, 중국 등 제3세계 국가에서 인기 있는 저가 스마트폰에 사전 설치된 새로운 중국 트로이안의 증거를 발견했습니다. Lookout 연구자들은 이 트로이안을 벨소리 앱으로 위장하고 있기 때문에 “DeathRing”이라고 명명했습니다.

Lookout은 올해 초 유사한 사전 설치된 악성코드인 MouaBad를 발견한 후 Android 스마트폰과 태블릿에서 사전 설치된 DeathRing 트로이안의 증거를 발견했다고 말합니다.

DeathRing

Lookout은 DeathRing이 벨소리 앱으로 위장된 반짝이는 Android 스마트폰과 함께 제공되지만 실제로는 사용자의 스마트폰에서 명령 및 제어 서버로부터 SMS 및 WAP 콘텐츠를 다운로드하는 트로이안이라고 말합니다. 트로이안이 명령 및 제어 서버와 연결되면 사이버 범죄자들은 가짜 문자 메시지를 통해 개인 및 은행 정보를 피싱하거나 APK로 위장된 더 많은 악성코드를 다운로드하도록 유도합니다.

Lookout은 이 악성코드가 아래에 나열된 특정 삼성 클론 및 기타 Android 스마트폰 브랜드에 사전 설치되어 있으며, 전화가 꺼졌다가 다섯 번 재부팅되거나 피해자가 ‘이탈 및 존재’ 상태를 50회 경험한 후에 활성화된다고 말합니다.

이 악성코드는 두 가지 방법으로 활성화됩니다. 두 가지 모두 피해자의 전화 사용에 의존합니다. 첫째, 전화가 꺼졌다가 다섯 번 재부팅되면 악성코드가 활성화됩니다. 다섯 번째 재부팅에서 악성코드가 시작됩니다. 둘째, 악성 서비스는 피해자가 장치에서 최소 50회 이탈 및 존재했을 때 시작됩니다.

DeathRing이 사전 설치될 수 있는 스마트폰

Lookout은 DeathRing이 설치된 Android 스마트폰의 공급망을 추적하고 있지 않지만, 사전 설치된 중국 트로이안이 포함된 스마트폰 목록을 제공했습니다.

• 가짜 삼성 GS4/노트 II

• 다양한 TECNO 기기

• 지오니 Gpad G1

• 지오니 GN708W

• 지오니 GN800

• 폴리트론 로켓 S2350

• 하이테크 아메이즈 탭

• 카르본 TA-FONE A34/A37

• 지아유 G4S – 갤럭시 S4 클론

• 하이얼 H7

• 명시되지 않은 삼성 S4 i9502 클론

Lookout 연구에 따르면 DeathRing은 클론 및 저가 Android 스마트폰에만 사전 설치되는 것으로 보입니다. Lookout은 이 악성코드가 전화의 시스템 디렉토리에 사전 설치되어 있기 때문에 안티바이러스 공급업체가 이 악성코드를 제거할 수 없지만, 악성코드의 존재에 대해 경고할 것이라고 말했습니다. 악성코드에 대해 인지하게 되면 스마트폰 판매자에게 환불을 요청할 수 있습니다. Lookout은 구매자로서 스마트폰을 구매할 때 출처를 확인해야 한다고 말합니다. 악성코드가 존재하는 또 다른 지표는 프리미엄 SMS 서비스 및 데이터 다운로드로 인해 높은 통신 요금이 발생하는 것입니다.