서비스로서의 Dropper란 무엇입니까? 악성코드 개발자를 위한 배송 서비스

맬웨어 기술이 발전함에 따라 악의적인 에이전트가 해킹 현장에 참여하려는 사람들에게 제공하는 서비스도 마찬가지입니다. 악의적인 에이전트가 사용자가 모르는 사이에 사용자의 장치에 악성 코드를 몰래 삽입하려는 경우 해당 목표를 달성하는 데 도움이 되는 서비스로 드로퍼를 제공하는 사람을 고용할 수 있습니다.

따라서 서비스형 드롭퍼(dropper as a service)가 무엇인지, 이를 방지하는 방법을 살펴보겠습니다.

스포이드란 무엇입니까?

드로퍼는 무해한 것처럼 보이지만 그 안에 불쾌한 놀라움이 숨어 있는 일종의 트로이 목마 바이러스입니다. 트로이 목마는 사용자나 시스템이 무해하다고 생각하도록 속이는 특별한 특성을 공유합니다. 이것이 바로 역사상 유명한 트로이 목마의 이름을 따서 명명된 이유입니다.

드롭퍼 자체에는 악성 코드가 포함되어 있지 않습니다. 즉, 누군가 바이러스 백신으로 드로퍼 프로그램을 검사하면 악성 프로그램으로 표시되지 않습니다. 이 단계에서 드로퍼 프로그램은 사용자의 PC에 자체적으로 설치를 시도하여 특정 서비스 및 파일에 액세스할 수 있는 권한을 요청합니다.

사용자는 드로퍼 소프트웨어가 무해하다고 믿기 때문에 드로퍼 맬웨어에 원하는 항목에 액세스할 수 있는 권한을 부여합니다. 이런 일이 발생하면 드로퍼 악성코드는 2단계로 이동하여 악성코드 다운로드 서버에 접속합니다. 그런 다음 의심이나 탐지를 피하기 위해 새로 부여된 권한을 사용하여 대상 시스템에 악성 코드를 설치합니다.

이 악성 코드 변종에 대해 자세히 알고 싶다면 트로이 목마 드롭퍼가 무엇인지 확인해 보세요.

“서비스로서의 드로퍼”란 무엇입니까?

서비스형 드롭퍼는 ​​악의적인 에이전트가 암시장에서 판매하는 대규모 서비스 제품군의 일부입니다. 이전에 맬웨어 세계에서 “서비스로”라는 접미사를 들어본 적이 있을 것입니다. 서비스형 랜섬웨어와 같은 용어로 사용됩니다.

이 경우 드롭퍼를 서비스로 제공하는 사람은 드롭퍼 프로그래밍에 능숙하고 자신의 전문 지식을 암시장에 제공하기를 원하기 때문에 그렇게 하는 것입니다. 그들의 고객 기반은 페이로드를 설계했지만 이를 사람들의 장치에 적용하는 데 도움이 필요한 악성 코드 개발자입니다. 이러한 개발자는 바이러스 백신 솔루션을 통과하여 바이러스를 제거하기 위해 드로퍼 공급자를 찾습니다.

스포이드 서비스는 암시장에서 매우 저렴하게 판매될 수 있습니다. The Register의 한 보고서에 따르면 드로퍼 서비스는 1,000개의 악성 코드 전달에 대해 2달러를 청구했습니다. 이는 피해자로부터 돈을 빼내는 악성 코드를 개발하는 사람에게는 주머니에 동전이 될 것입니다. 어떤 식으로든.

그러나 ‘서비스’로 끝나는 것이 모두 나쁜 것은 아니라는 점에 유의하는 것이 중요합니다. 예를 들어, 서비스형 인공 지능을 통해 기업과 고객은 악의적이지 않은 목적으로 AI 솔루션을 사용할 수 있습니다.

서비스형 드롭퍼의 예: SecuriDropper

서비스로서의 드로퍼가 어떻게 작동하는지 더 잘 보여주기 위해 실제 예를 살펴보겠습니다. SecuriDropper는 Android 휴대폰을 표적으로 삼고 드로퍼 방법을 사용하여 악성 코드로 휴대폰을 감염시키는 특히 불쾌한 드로퍼 변종입니다.

Bleeping Computer에서 보고한 바와 같이 SecuriDropper는 Android 14의 특정 방어를 우회하도록 설계되었습니다. 공식 Google Play 스토어에서 제공되지 않으므로 접근성 설정과 같이 휴대전화의 더 민감한 기능에 액세스할 수 없습니다.

이 문제를 해결하기 위해 맬웨어 개발자는 무해해 보이는 앱에 SecuriDropper를 추가하고 이를 타사 웹사이트에 업로드할 수 있습니다. SecuriDropper가 포함된 일부 앱은 일반적으로 사용되는 앱으로 위장합니다. 하나는 Google 번역인 척 하는 것이 발견되었습니다. 앱에는 악성 코드가 포함되어 있지 않으므로 바이러스 백신 검사로 인해 플래그가 지정되지 않습니다.

그런 다음 피해자는 앱을 다운로드하고 설치를 시도합니다. 설치하는 동안 앱은 휴대폰 저장 공간에 액세스할 수 있는 권한을 요청합니다. 승인된 경우 앱은 설치가 실패했다고 주장하는 가짜 오류 메시지를 표시합니다. 그런 다음 사용자에게 버튼을 표시하고 버튼을 누르면 앱이 자동으로 다시 설치된다고 주장합니다.

사용자가 버튼을 누르면 드로퍼는 악성코드 다운로드 서버에 페이로드를 설치하라는 신호를 보냅니다. 사용자가 앱에 휴대폰 저장 공간을 사용할 수 있는 권한을 부여했기 때문에 드로퍼는 Android 14가 이를 제3자 소스의 앱으로 식별하지 못하도록 특정 방식으로 악성 코드를 설치할 수 있습니다.

그러면 일반적으로 타사 앱에서는 요청할 수 없는 권한을 앱에서 요청할 수 있습니다. 그리고 사용자가 이를 수락하면 맬웨어는 계획을 진행하는 데 필요한 모든 권한에 액세스할 수 있습니다.

SecuriDropper는 모든 종류의 악성 코드 삭제를 담당해 왔습니다. 예를 들어 일부 변종은 휴대폰의 데이터를 훔쳐볼 수 있는 SpyNote를 설치하고 다른 변종은 가짜 Chrome 브라우저로 위장한 뱅킹 트로이 목마를 설치합니다.

Dropper 악성코드로부터 안전을 유지하는 방법

Dropper 악성 코드는 무섭게 들릴 수 있지만 주로 타사 웹사이트에서 호스팅됩니다. 따라서 항상 공식 소스에서 앱을 다운로드하는 것이 가장 좋습니다.

PC를 사용하는 경우 공식 소스의 앱만 설치하세요. 일반적으로 개발자 웹사이트에서 앱을 찾을 수 있지만 때로는 개발자가 다운로드를 처리하기 위해 외부 호스트를 사용하는 경우도 있습니다. 의심스러운 경우 웹사이트에서 앱을 다운로드하기 전에 웹사이트가 안전한지 다시 확인하세요.

운영 체제에 앱 스토어가 함께 제공되는 경우 거기에서 앱을 다운로드하는 것이 타사 웹사이트에서 앱을 다운로드하는 것보다 더 안전합니다. Microsoft Store 및 Google Play와 같은 마켓플레이스는 드롭퍼와 같은 위협으로부터 사용자를 보호하는 데 도움이 되는 보안 대책을 제공합니다.

그러나 공식 앱 스토어에서 볼 수 있는 모든 앱을 모두 신뢰하는 것은 현명하지 않습니다. 맬웨어 개발자는 Google Play가 맬웨어로부터 100% 안전하지 않은 지점까지 악성 앱을 이러한 앱 스토어에 몰래 넣을 수 있는 방법을 찾을 수 있습니다.

다행히도 Google Play에서 가짜 Android 앱을 찾아내기 위해 취할 수 있는 동일한 단계가 다른 앱 스토어에도 적용됩니다. 앱에 대해 “불쾌한” 점이 있다면 다운로드하지 마세요.

Dropper 악성코드 퇴치하기

드로퍼는 불쾌한 키트이지만 앱을 다운로드할 때 좋은 온라인 관행을 사용하여 방어할 수 있습니다. 그리고 이제 드로퍼가 서비스로 제공되므로 이를 방어하는 것이 그 어느 때보다 중요합니다.