318,000 명 이상의 사용자에게 영향을 미친 주요 공격이 마침내 중단되었습니다. 흥미로운 점은 오직 러시아 사용자만 목표로 했다는 것입니다. 즉, 자신의 모바일 장치에 러시아어를 기본 사용자 인터페이스로 설정한 사용자를 의미합니다. 이러한 Android 공격의 주범은 Svpeng Android 뱅킹 트로이 목마였습니다. 그리고 이 트로이 목마는 모바일 장치의 Google Chrome 브라우저의 취약점을 악용했습니다.
악용된 버그는 Chrome에서 다운로드를 처리하는 방식을 고려했습니다. 그리고 Svpeng 트로이 목마는 RT(Russia Today)와 Meduza 뉴스 포털과 같은 러시아 웹사이트를 통해 전파되었습니다. 후자의 사이트에는 JavaScript가 삽입되었습니다. 더 정확하게 말하면, 실제로 이 악성 JS가 삽입된 것은 Google AdSense 광고였습니다. 사이트에서 실행중인 악성 코드가 자동으로 감염된 광고를 클릭하여, 바이러스의 페이로드가 피해자의 모바일 장치에 다운로드 됐습니다.
Svpeng의 실행 파일 이름은 다음과 같습니다 (여기서 확장명 .apk은 Android 앱 파일을 나타냅니다):
2GIS.apk
AndroidHDSpeedUp.apk
Android_3D_Accelerate.apk.
Android_update_6.apk
Asphalt_7_Heat.apk
CHEAT.apk
Chrome_update.apk
Cut_the_Rope_2.apk
DrugVokrug.apk
Google_Play.apk
Instagram.apk
Mobogenie.apk
Root_Uninstaller.apk
Skype.apk
SpeedBoosterAndr6.0.apk
Temple_Run.apk
Trial_Xtreme.apk
VKontakte.apk
Viber.apk
WEB-HD-VIDEO-Player.apk
WhatsApp.apk
last-browser-update.apk
minecraftPE.apk
new-android-browser.apk
Установка.apk
피해 사용자의 수가 더 적을 수도 있습니다. 그 이유는 트로이 목마를 시스템에서 실행하게 하려면 다운로드 받은 APK 파일을 열어야 하기 때문입니다.
Kaspersky Lab의 사이버 보안 연구가들은 이 공격이 더 이상 확산되지 않도록 막았습니다. 연구가들은 직원이 Android 기기용 Chrome 업데이트를 공개한 취약점을 Google에 알렸습니다. 이러한 업데이트는 Android 휴대 전화 브라우저의 자동 다운로드 실행을 목표로 합니다. 그리고 Svpeng 트로이 목마는 공격을 할 수 없게 됩니다. 맹공격은 8 월에서 11 월까지 약 3 개월 간 지속되었습니다.
출처: bleepingcomputer.com, securelist.com.
다른 언어 "Android 사용자에 대한 주요 공격이 마침내 중단되었습니다" 읽기
- El Ataque Masivo a Usuarios de Andruid Finalmente Ha Parado (es)
- Det omfattende angreb på Android-brugere er endelig stoppet (dk)
- L’Attaque Massive sur les Utilisateurs Android Finalement Stoppée (fr)
- Android ユーザーã¸ã®å¤§è¦æ¨¡æ”»æ’ƒã€ã‚ˆã†ã‚„ãçµ‚çµ (jp)
- Den massiva attacken på Android-användare har äntligen stoppats (se)
- De Grootschalige Aanval op Android Gebruikers Eindelijk Gestopt (nl)
- O ataque massivo contra utilizadores de Android finalmente parou (pt)
