안드로이드 은행 악성 소프트웨어인 MMRat이 protobuf 데이터 직렬화라는 드물게 사용되는 통신 방식을 활용해 훼손된 장치로부터 데이터를 더 효율적으로 도난하는 방법을 사용하고 있습니다. 이 악성 소프트웨어는 공식앱 스토어로 위장한 웹사이트를 통해 퍼지며, 이용자들은 대부분 공식 정부 앱이나 데이트 앱을 흉내내는 이러한 악성 앱을 다운로드하고 설치합니다. 이 장치 권한을 부여하는 단계에서 이용자들로부터의 접근 권한을 부여하도록 요청함으로써 MMRat은 감염된 장치에서 광범위한 악의적인 행동을 수행할 수 있게 됩니다.

MMRat은 Android 장치에 감염되면 C2 서버와 통신 채널을 설정하고, 장치 활동을 모니터링하여 유휴 시간을 찾아냅니다. 이러한 시간 동안, 위협적인 행위자는 Accessibility Service를 악용하여 장치를 원격에서 깨우고, 스크린 잠금을 해제하며, 실시간으로 은행 사기를 실행합니다. 나아가 MMRat은 실시간 화면 콘텐츠 캡처와 같은 다양한 기능을 수행할 수 있게 해주는 protobuf 프로토콜을 개발하기까지 하여 데이터 유출을 초기 설계 단계부터 효과적으로 수행할 수 있었습니다.

마지막으로, 장치에서 앱을다운로드할 때에는 반드시 Google Play 에서만 다운받도록 하고, 사용자 리뷰를 체크하며, 신뢰할 수 있는 출판사만을 신뢰하도록 하여야 합니다. 또한, 권한 허용 요청이 나올 때는 특히 주의를 기울여야 합니다. 이러한 방안을 적용함으로써 MMRat과 같은 신종 안드로이드 은행 악성 소프트웨어로부터 자신의 장치를 보호할 수 있습니다.

요약

- MMRat은 protobuf 데이터 직렬화 방식을 사용하여 효율적으로 데이터를 훼손된 장치에서 도난한다.
- 이 악성 소프트웨어는 위장된 웹사이트를 통해 퍼져, 악성 앱을 설치하는 과정에서 사용자로부터 접근 권한을 부여받는다.
- MMRat은 은행 사기를 실행하고 시각화 데이터를 캡처하는 등 광범위한 악의적인 행동을 함으로써 안드로이드 은행 악성 소프트웨어의 발전된 기교를 보여준다.
- 사용자는 반드시 Google Play 에서 앱을 다운받아야 하며, 설치 단계에서 권한 부여를 요청 받을 때 주의를 기울여야 한다.
- 이러한 조치를 통해 MMRat와 같은 신종 안드로이드 은행 악성 소프트웨어로부터 자신의 장치를 보호할 수 있다.

Reference

https://www.bleepingcomputer.com/news/security/new-android-mmrat-malware-uses-protobuf-protocol-to-steal-your-data/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*