다중 라이센스 할인 견적
위협 데이터베이스 모바일 맬웨어 Trapdoor Ad Fraud

Trapdoor Ad Fraud

모바일 맬웨어년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 '트랩도어(Trapdoor)'라는 정교한 광고 사기 및 악성 광고 유포 작전을 발견했습니다. 이 작전은 대규모 악성 애플리케이션 네트워크와 공격자가 제어하는 인프라를 통해 안드로이드 사용자를 특별히 표적으로 삼습니다. 이번 캠페인에는 455개의 악성 안드로이드 앱과 183개의 명령 및 제어(C2) 도메인이 포함되어 있으며, 여러 단계에 걸친 사기 행위를 지원하도록 설계된 광범위한 생태계를 구축했습니다.

이 공격은 사용자가 자신도 모르게 공격자가 제어하는 애플리케이션을 설치하면서 시작됩니다. 이러한 애플리케이션은 일반적으로 PDF 리더, 휴대폰 정리 앱 또는 기기 최적화 앱과 같은 무해한 유틸리티 도구로 위장합니다. 겉보기에는 정상적인 것처럼 보이는 이 애플리케이션들은 피해자에게 추가 악성 소프트웨어를 다운로드하도록 유도하는 악성 광고 캠페인을 시작합니다.

다단계 감염 사슬이 숨겨진 광고 사기를 조장합니다

2차 단계 애플리케이션은 사기 행위의 핵심 역할을 합니다. 설치되면 사용자 모르게 숨겨진 웹뷰를 실행하고, 공격자가 운영하는 HTML5 도메인에 연결하며, 백그라운드에서 지속적으로 광고를 요청합니다. 또한 이러한 앱은 자동화된 터치 사기 기능을 통해 사용자가 인지하지 못하는 사이에 가짜 광고 상호작용을 생성할 수 있습니다.

Trapdoor의 핵심 특징은 자립형 비즈니스 모델입니다. 합법적으로 보이는 앱 설치 하나만으로도 지속적인 수익 창출 주기가 이어져 악성 광고 캠페인을 위한 자금을 조달할 수 있습니다. 연구원들은 또한 HTML5 기반 현금 인출 인프라의 사용을 확인했는데, 이는 SlopAds, Low5, BADBOX 2.0과 같은 위협 집단에서 사용되던 수법입니다.

최고조에 달했을 때, 트랩도어(Trapdoor) 인프라는 하루에 약 6억 5,900만 건의 입찰 요청을 생성했습니다. 이 작전과 연결된 애플리케이션은 2,400만 건 이상의 다운로드를 기록했으며, 트래픽의 대부분은 미국에서 발생하여 캠페인 활동의 4분의 3 이상을 차지했습니다.

선택적 활성화는 탐지를 회피하는 데 도움이 됩니다.

Trapdoor 공격자들은 합법적인 마케터들이 사용자의 애플리케이션 발견 경로를 추적하는 데 흔히 사용하는 설치 추적 도구를 악용했습니다. 이러한 시스템을 조작함으로써 공격자들은 자신들이 관리하는 광고 캠페인을 통해 확보한 사용자에게만 악성 기능이 활성화되도록 했습니다.

이러한 선택적 활성화 메커니즘으로 인해 탐지 노력이 상당히 복잡해졌습니다. 구글 플레이 스토어에서 직접 애플리케이션을 다운로드하거나 사이드 로딩 방식으로 설치한 사용자는 악성 행위를 접하지 않는 경우가 많았습니다. 대신, 악성 페이로드는 피해자가 캠페인을 통해 전달된 기만적인 광고나 가짜 업데이트 알림과 상호 작용한 후에만 활성화되었습니다.

초기 유틸리티 애플리케이션은 소프트웨어 업데이트 알림을 모방한 사기성 팝업 알림을 표시하여 사용자가 광고 사기 행위를 수행하는 2단계 악성 소프트웨어를 설치하도록 유도했습니다.

Trapdoor는 분석 및 보안 검사를 더욱 회피하기 위해 다양한 분석 방지 및 난독화 기법을 사용했습니다. 이 공격은 종종 합법적인 SDK를 가장하고 악성 구성 요소를 정상적인 소프트웨어에 혼합하여 연구원과 자동화된 보안 시스템이 인프라를 식별하기 어렵게 만들었습니다.

구글이 운영을 방해했지만 위협 환경은 진화하고 있다

연구원들의 책임 있는 정보 공개에 따라 구글은 구글 플레이 스토어에서 해당 악성 애플리케이션을 삭제하여 캠페인의 기반 시설을 효과적으로 차단했습니다.

트랩도어(Trapdoor) 작전은 사이버 범죄자들이 어트리뷰션 플랫폼과 광고 생태계를 포함한 합법적인 기술을 악용하여 확장 가능하고 탄력적인 사기 네트워크를 구축하는 방식을 보여줍니다. 이 캠페인의 배후 세력은 유틸리티 테마 앱, 숨겨진 웹뷰, HTML5 현금 인출 도메인, 그리고 선택적 활성화 전략을 결합하여 악성 광고와 대규모 광고 사기를 모두 지원할 수 있는 고도로 적응력 있는 프레임워크를 구축했습니다.

연구원들은 트랩도어(Trapdoor)와 같은 작전이 모바일 위협의 급속한 진화 양상을 보여준다고 강조했습니다. 사기범들은 탐지를 우회하고 장기적인 수익 창출 경로를 유지하기 위해 은밀성, 단계적 페이로드 전달, 그리고 합법적으로 보이는 소프트웨어에 점점 더 의존하고 있다는 것입니다.

트렌드

이메일 전달률 경고 이메일 사기

피싱, 스팸
예상치 못한 이메일은 항상 주의해야 하며, 특히 긴급성을 강조하거나 개인 정보를 요구하는 경우에는 더욱 그렇습니다. 사이버 범죄자들은 수신자를 속여 개인 정보를 빼내기 위해 신뢰할 수 있는 서비스 제공업체에서 보낸 것처럼 위장한 피싱 메시지를 자주 사용합니다. 소위 '이메일 전송 알림' 이메일이 이러한 수법의 대표적인 예입니다. 이러한 메시지는 어떠한 합법적인 회사, 기관 또는 이메일 서비스 제공업체와도 관련이 없습니다. 사이버 보안 연구원들은 '이메일 전송 오류 알림' 메시지가 이메일 서비스 제공업체의 알림처럼 보이도록 위장한 피싱 이메일임을 확인했습니다. 이 사기는 수신자에게 '#x0035A0Y0'이라는 가상의 네트워크 문제로 인해 여러 발신 메일이...

Searchscr.com

불량 웹사이트, 브라우저 하이재커, 잠재적으로 원하지 않는 프로그램
침입적이고 신뢰할 수 없는 PUP(잠재적으로 원치 않는 프로그램)로부터 기기를 보호하는 것은 개인 정보 보호, 보안 및 안정적인 시스템 성능을 유지하는 데 필수적입니다. 많은 사용자가 의심스러운 브라우저 확장 프로그램이나 가짜 검색 엔진과 관련된 위험을 과소평가하다가 나중에 자신의 검색 활동이 감시되거나 신뢰할 수 없는 웹사이트로 리디렉션되고 있다는...

Ecoaturicudses.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
안전한 인터넷 사용을 위해서는 끊임없는 경계가 필요합니다. 악성 웹사이트는 방문자를 속여 보안과 개인정보를 침해하도록 유도하는 교묘한 수법을 자주 사용합니다. 흔히 사용되는 수법으로는 가짜 CAPTCHA 인증, 조작된 악성코드 경고, 그리고 신뢰할 수 있는 보안 소프트웨어에서 온 것처럼 위장한 허위 경고 등이 있습니다. 이러한 기만적인 페이지는...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
31,042
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
27,134
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
21,178
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...