이 안드로이드 악성코드는 자동으로 실행되며 민감한 데이터를 훔칠 수 있습니다

맥아피의 사이버 보안 연구원들은 업데이트된 버전의 안드로이드 악성코드 XLoader가 설치 후 사용자 상호작용 없이 감염된 안드로이드 스마트폰에서 자동으로 실행될 수 있음을 발견했습니다.

XLoader는 MoqHao로도 알려져 있으며, ‘Roaming Mantis’라는 재정적 동기를 가진 위협 행위자에 의해 생성된 것으로 보이는 악성코드 변종입니다.

이 악성코드는 주로 안드로이드 장치의 문자 메시지에서 단축 URL 링크를 통해 배포되며, 클릭 시 모바일 앱의 안드로이드 APK 설치 파일을 다운로드하는 웹사이트로 리디렉션됩니다.

이로 인해 악성코드는 백그라운드에서 조용히 실행되며, 손상된 장치에서 개인 및 비공식 정보를 추출할 수 있습니다. 여기에는 장치 메타데이터, 사진, 문자 메시지, 연락처 목록, 특정 번호로의 통화(무음 모드) 및 잠재적인 은행 정보 등이 포함됩니다.

“전형적인 MoqHao는 사용자가 원하는 목적을 달성하기 위해 앱을 설치하고 실행해야 하지만, 이 새로운 변종은 실행이 필요하지 않습니다. 앱이 설치되는 동안 그들의 악의적인 활동이 자동으로 시작됩니다.”라고 맥아피는 이번 주에 발표된 보고서에서 설명했습니다.

“우리는 이미 이 기술을 구글에 보고했으며, 그들은 향후 안드로이드 버전에서 이러한 자동 실행을 방지하기 위한 완화 조치를 구현하기 위해 작업하고 있습니다.”

사용자를 속이기 위해 이 악성코드는 합법적인 앱으로 위장하며, 종종 구글 크롬 웹 브라우저인 척합니다. 앱 이름에 유니코드 문자열을 사용하여 혼란을 주며, 이를 통해 SMS 콘텐츠를 전송하고 접근하는 것과 같은 위험한 권한을 요청하고, 안드로이드의 배터리 최적화에서 제외하여 항상 백그라운드에서 실행될 수 있도록 합니다.

또한, 가짜 크롬 앱은 사용자가 스팸을 방지하기 위해 기본 SMS 앱으로 설정할 것인지 묻습니다.

추가로, 이 악성코드는 피싱 메시지를 사용하며, 그 내용은 사기성 핀터레스트 프로필의 바이오(또는 설명) 필드에서 추출되어 감염된 스마트폰으로 전송되어 안티바이러스 소프트웨어의 탐지를 피합니다.

악성코드가 핀터레스트에 접근할 수 없는 경우, 잠재적 피해자에게 은행 계좌에 이상이 있다고 알리고 즉각적인 조치를 취해야 한다고 알리는 하드코딩된 피싱 메시지를 사용합니다.

맥아피의 연구원들은 일부 악성코드가 영어, 한국어, 프랑스어, 일본어, 독일어 및 힌디어로 권한을 요청하는 팝업 메시지를 표시하고 있으며, 이는 XLoader의 현재 타겟을 나타냅니다. 그들은 일본 외에도 이 악성코드가 한국, 프랑스, 독일 및 인도의 안드로이드 사용자도 타겟으로 하고 있다고 믿고 있습니다.

XLoader 악성코드로부터 보호받기 위해 사용자는 앱을 사이드로드하거나 문자 메시지에서 단축 URL을 열지 말고, 설치하는 앱에 권한을 부여할 때 매우 주의해야 합니다. 또한, 안드로이드 전화에 설치된 앱의 수를 제한하고 신뢰할 수 있는 개발자만의 앱을 설치해야 합니다.

추가로, 안드로이드 스마트폰에서 구글 플레이 보호를 활성화하여 현재 설치된 모든 앱과 다운로드하는 새로운 앱을 악성코드에 대해 스캔할 수 있도록 해야 합니다.

또한, 추가 보안을 위해 안드로이드용 추가 안티바이러스 소프트웨어 설치를 고려하십시오.