Multi-License Discount Quote
위협 데이터베이스 Mobile Malware Brokewell 모바일 악성코드

Brokewell 모바일 악성코드

Mobile Malware, Banking Trojan년에 Mezo 년까지
번역 :
한국어

사이버 범죄자들은 사기성 브라우저 업데이트를 악용하여 Brokewell이라는 새로 확인된 Android 악성 코드를 배포하고 있습니다. 이 악성 코드는 데이터 도난과 침해된 장치의 원격 제어를 위해 설계된 기능을 보유한 현대 뱅킹 악성 코드의 강력한 예를 나타냅니다. 연구원들은 Brokewell이 터치 이벤트 캡처, 화면 텍스트, 피해자가 실행한 애플리케이션에 대한 세부 정보 등 악성 기능을 확장하는 새로운 명령을 도입하는 지속적인 업데이트를 통해 활발한 개발을 진행하고 있다고 경고했습니다.

합법적인 애플리케이션으로 가장하는 Brokewell 모바일 악성코드

Brokewell은 다음 패키지 이름을 사용하여 Google Chrome, ID Austria 및 Klarna와 같은 합법적인 애플리케이션으로 위장합니다.

jcwAz.EpLIq.vcAZiUGZpK(구글 크롬)

zRFxj.ieubP.lWZzwlluca(ID 오스트리아)

com.brkwl.upstracking(클라나)

다른 최신 Android 악성 코드와 유사하게 Brokewell은 사이드로드된 애플리케이션이 접근성 서비스 권한을 요청하는 것을 금지하는 Google의 제한 사항을 우회하는 데 능숙합니다.

뱅킹 트로이 목마는 설치 및 처음 실행 시 피해자에게 접근성 서비스 권한을 부여하라는 메시지를 표시합니다. 이러한 권한을 획득하면 추가 권한을 부여하고 다양한 악성 활동을 자동으로 실행하는 데 사용됩니다.

Brokewell의 기능에는 사용자 자격 증명을 수집하기 위해 대상 애플리케이션 위에 오버레이 화면을 표시하는 기능이 포함됩니다. 또한 WebView를 실행하여 합법적인 웹사이트를 로드하고 세션 쿠키를 가로채서 악의적인 공격자가 제어하는 서버로 전송함으로써 쿠키를 추출할 수 있습니다.

Brokewell Banking 트로이 목마는 수많은 유해한 작업을 수행할 수 있습니다.

Brokewell의 추가 기능에는 오디오 녹음, 스크린샷 캡처, 통화 기록 액세스, 장치 위치 검색, 설치된 앱 나열, 모든 장치 이벤트 기록, SMS 메시지 전송, 전화 통화 시작, 앱 설치 및 제거, 접근성 서비스 비활성화까지 포함됩니다.

또한 위협 행위자는 악성 코드의 원격 제어 기능을 이용하여 실시간 화면 콘텐츠를 보고 클릭, 스와이프 및 터치를 시뮬레이션하여 장치와 상호 작용할 수 있습니다.

새로운 위협 행위자가 Brokewell 모바일 악성 코드를 담당할 수 있습니다.

Brokewell의 개발자로 추정되는 개인은 Baron Samedit라는 별칭을 사용합니다. 연구원들은 위협 행위자가 도난당한 계정을 확인하기 위해 고안된 도구를 판매한 것으로 최소 2년 동안 알려져 왔다고 지적했습니다. 전문가들은 또한 Brokewell이 사용하고 여러 사이버 범죄자가 액세스하는 명령 및 제어(C2) 서버에서 호스팅되는 'Brokewell Android Loader'라는 Samedit의 또 다른 도구를 발견했습니다.

특히 이 로더는 사이드로드된 앱(APK)에 의한 접근성 서비스 오용을 방지하기 위해 Android 13 이상 버전에 구현된 Google의 제한 사항을 우회할 수 있습니다.

이러한 우회는 2022년 중반부터 지속적인 우려 사항이었으며, 2023년 후반에는 이를 서비스의 일부로 제공하는 DaaS(dropper-as-a-service) 운영과 이러한 기술을 맞춤형 로더에 통합하는 악성 코드가 등장하면서 크게 확대되었습니다.

Brokewell이 예시한 것처럼, 신뢰할 수 없는 채널에서 가져온 APK에 대한 접근성 서비스 액세스를 방지하는 제한을 회피하는 로더가 이제 사이버 위협 환경에서 널리 퍼져 널리 배포되었습니다.

사이버범죄자들은 탈취 기능을 갖춘 악성코드 도구를 활용하고 있습니다

보안 전문가들은 Android용 Brokewell 뱅킹 악성코드에서 볼 수 있는 장치 탈취 기능이 사이버 범죄자들에 의해 높은 관심을 받고 있다고 경고합니다. 이러한 기능을 통해 피해자의 장치에서 직접 사기 행위를 수행할 수 있으므로 가해자가 사기 탐지 및 평가 도구를 회피하는 데 도움이 됩니다.

Brokewell은 추가 개발을 거쳐 잠재적으로 MaaS(Malware-as-a-Service) 제공의 일부로 지하 포럼을 통해 다른 사이버 범죄자에게 배포될 것으로 예상됩니다.

Android 맬웨어 감염으로부터 보호하려면 Google Play 외부 소스에서 애플리케이션이나 업데이트를 다운로드하지 마세요. 기기 보안을 강화하려면 기기에서 Google Play Protect가 항상 활성화되어 있는지 확인하세요.

트렌드

Baseauthenticity.co.in

Rogue Websites, Adware, Browser Hijackers
Baseauthenticity.co.in은 방문자가 원하지 않는 브라우저 알림을 구독하도록 속이기 위해 특별히 제작된 사기성 웹사이트로 운영됩니다. 이러한 침해적인 전술을 사용하는 것 외에도 웹 사이트에는 리디렉션을 실행하여 사용자를 신뢰성이 부족하고 잠재적으로 사용자의 온라인 보안 및 개인 정보 보호를 위험에 빠뜨릴 수 있는 다른 온라인 대상으로...

nccTrojan

Trojans, Advanced Persistent Threat (APT), Backdoors
nccTrojan 위협은 TA428로 알려진 중국 지원 APT(Advanced Persistent Threat) 그룹이 수행한 것으로 여겨지는 일련의 공격에 사용되었습니다. 사이버 범죄자들은 여러 동유럽 국가와 아프가니스탄에 위치한 군사 관련 기업 및 공공 기관을 표적으로 삼고 있습니다. 위협적인 캠페인의 목표는 데이터 수집 및 사이버 스파이 활동으로...

이메일 갱신 사기가 예정되어 있습니다

Phishing, Spam
사이버 보안 연구원들은 '이메일 갱신 예정' 이메일을 철저히 조사한 결과 신뢰성이 부족하다는 사실을 확실히 확인했습니다. 이러한 사기성 이메일은 특히 피싱 전략의 구성 요소로 식별됩니다. 그들은 일반적으로 수신자의 이메일 계정이 저장 용량 한도에 가까워져 업그레이드가 필요하다고 주장합니다. 이 사기성 스팸 캠페인의 주요 목적은 의심하지 않는 피해자를 속여 합법적인 이메일 서비스 제공업체의 로그인 페이지를 모방하도록 설계된 피싱 웹사이트로 연결하여 로그인 자격 증명을 공개하도록 하는 것입니다. 민감한 사용자 세부 정보를 손상시키려는 사기로 인한 이메일 갱신 예정 '[이메일 주소] 계속하려면 확인하세요'라는 제목으로 식별되는 스팸 이메일은 수신자에게 이메일 계정을 갱신해야 한다는 메시지를 전달합니다. 해당...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
79,905
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
63,703
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...