Google은 Alien 스파이웨어 범주에 속하는 여러 익스플로잇이 단일 상업용 감시 회사인 Cytrox에 의해 패키징되어 다양한 정부 지원 그룹에 판매되었다고 주장합니다. 온라인 보안 연구 회사인 CitizenLab도 여러 공격을 발견했으며 Google은 모두 Alien 스파이웨어와 관련이 있다고 주장합니다.
Google은 Alien 스파이웨어를 기반으로 하는 제로 데이 익스플로잇이 일부 오래된 익스플로잇과 함께 사용된다고 주장합니다. 맬웨어 개발자는 일부 중요한 버그가 수정되었지만 보안 문제로 플래그 지정되지 않은 시점과 해당 수정 사항이 Android 생태계에 완전히 배포된 시점 사이의 시간 차이를 적극적으로 활용하려는 것으로 보입니다.
바이러스는 주로 이메일을 통해 전파되는 것으로 보입니다. 피해자는 의심스러운 링크가 포함된 이메일 메시지를 받습니다. 두 링크 모두 피해자를 맬웨어를 설치하는 웹사이트로 리디렉션합니다. 그런 다음 원래 의도한 웹 사이트를 열기 전에 Predator 바이러스인 주요 페이로드를 다운로드합니다. 구글 말한다:
세 가지 [스파이웨어] 캠페인은 모두 이메일을 통해 대상 Android 사용자에게 URL 단축 서비스를 모방하는 일회성 링크를 전달했습니다. 캠페인은 제한적이었습니다. 각 경우에 수십 명의 사용자의 목표 수를 추정했습니다. 링크를 클릭하면 브라우저를 합법적인 웹 사이트로 리디렉션하기 전에 익스플로잇을 전달한 공격자가 소유한 도메인으로 대상을 리디렉션했습니다.
이 바이러스는 잠재적으로 오디오를 녹음하고 앱을 숨기며 더 사악한 활동을 할 수 있습니다. 구글은 취약점을 수정하기 위해 패치를 보냈다고 주장한다. 그러나 Android 사용자는 익숙하지 않은 출처의 이메일을 열 때 주의를 기울이는 것이 중요합니다. 또한 이메일 사용자는 발신자의 신원을 먼저 확인하지 않고 이메일에 포함된 링크를 클릭해서는 안 됩니다.
답글 남기기