에 대해 아는 것이 있습니까? 팬텀랜스 백도어? 해커 그룹은 2016년 말부터 개인 데이터를 훔치는 데 사용된 멀웨어를 배포하기 위해 Google Play를 사용해 왔습니다.
Kaspersky Laboratories는 PhantomLance 트로이 목마 백도어에 대한 자세한 보고서를 공유했습니다. PhantomLance 트로이 목마는 정교한 형태의 악성코드라고 합니다. 이 백도어는 탐지하기 어려울 뿐만 아니라 조사하기도 더 어렵습니다.
PhantomLance Backdoor에 감염된 Google Play 스토어 앱, 2016년부터 데이터 도용
Kaspersky는 맬웨어가 기본적으로 감염된 스마트폰의 모든 정보에 액세스할 수 있다고 보고합니다.
PhantomLance의 주요 목표는 피해자의 장치에서 민감한 정보를 수집하는 것입니다. 멀웨어는 수집가에게 위치 데이터, 통화 기록, 문자 메시지, 설치된 앱 목록 및 감염된 휴대폰에 대한 전체 정보를 제공할 수 있습니다.
또한 C&C 서버에서 추가 모듈을 업로드하기만 하면 언제든지 기능을 확장할 수 있습니다.
Google Play 앱의 멀웨어
조사하는 동안 사용자가 글꼴을 변경하고, 광고를 제거하고, 시스템 정리를 수행할 수 있게 해주는 인기 있는 앱 및 유틸리티에서 맬웨어가 발견되었습니다. 이러한 앱의 개발자는 악성이 아닌 버전의 앱으로 시작하여 Google Play 스토어의 보안 검사를 우회할 수 있었습니다.
앱이 게시되면 Google Play 스토어에서 제어하지 않는 업데이트를 통해 나중에 악성 기능을 추가할 수 있었습니다. 또한 개발자는 GitHub에서 고유한 프로필을 만들어 신뢰할 수 있는 개발 소스로 사용할 수 있었습니다.
PhantomLance의 주요 타겟은 베트남 사용자라고 합니다. 그러나 감염된 앱은 세계 다른 지역에서도 다운로드되었습니다. 트로이 목마는 데스크톱 운영 체제에 대한 유사한 맬웨어 공격 이력이 있는 OceanLotus라는 그룹에 연결되었습니다. 이러한 그룹은 고위 관리와 정부의 지원을 받는 경우가 많습니다.
Google이 Play 스토어에서 이러한 앱을 제거했지만 다양한 APK 다운로드 웹사이트 및 기타 타사 스토어에서 온라인으로 계속 사용할 수 있습니다.
구글 플레이 스토어에서 앱만 설치해도 개발자의 진위를 확인하지 않으면 여전히 안전하지 않은 것 같습니다. 빠른 Google 검색은 개발자에 대한 많은 신뢰할 수 있는 정보를 드러낼 수 있으며, 검색 결과에 의심스러운 점이 있으면 그러한 앱을 피하십시오.
누구나 플레이 스토어에 간단히 가입하고 악성 앱을 게시할 수 있기 때문에 Android의 개방형 특성은 이에 반해 작용할 수도 있습니다.
이것은 데스크톱이든 모바일이든 간에 세계에서 가장 널리 사용되는 운영 체제에 여전히 놀라운 일입니다. Android는 전 세계적으로 2.500억 개의 기기에서 사용되며 Google은 공식 마켓플레이스를 통해 배포되는 앱에 대해 사용자에게 적절한 개인정보 보호 및 보안 보장을 제공하는 데 반복적으로 실패했습니다.
멀웨어 작동 방식에 대한 기술적 배경과 Kaspersky Labs에서 뒤에서 수행한 연구에 관심이 있다면 여기에서 자세한 보고서를 읽어보세요.