Sem categoria

한글명 파일 다운로드

postado em fevereiro 10, 2020

Microsoft 다운로드 관리자를 설치하시겠습니까? 명령 처리 루프를 입력하기 전에 트로이 목마는 장치 정보 파일을 서버로 보내고 장치의 UID를 확인하는 등 초기화를 수행합니다. UID 검사가 1을 반환한 후에만 루프가 들어갑니다. 악성 운송 응용 프로그램이 설치되면, 그것은 우리가 원래 획득 가짜 플러그인을 포함하는 해킹 된 웹 서버에서 추가 페이로드를 다운로드. 가짜 플러그인을 다운로드 하 고 설치 한 후, 그것은 완전히 다른 뭔가 – 그것은 교통 응용 프로그램의 플러그인 역할을하고 장치에 트로이 목마를 설치, 자신의 Google 계정 암호를 입력하고 완전히 걸릴 피싱 사용자를 시도 제어할 수 있습니다. 흥미로운 것은 악성 코드가 기본 라이브러리를 사용하여 장치를 인수하고 라이브러리를 삭제하여 탐지를 숨기는 것입니다. 네이버, 카카오톡, 다움, SKT 등 인기 한국 서비스의 이름을 사용하고 있습니다. 원격 분석 데이터에 따르면 감염된 장치의 수가 매우 적어 최종 페이로드가 소수의 대상 그룹에만 설치되었다는 것을 시사합니다. 이러한 명령 중에서 특히 디렉터리 인덱싱이 중요합니다. 디렉터리 구조는 “kakao.property”라는 파일에 저장되며 사용자 장치에서 지정된 경로를 인덱싱하는 동안 특정 키워드로 파일을 확인하고 일치하는 경우 파일을 원격 업로드 서버에 업로드합니다. 이 키워드는 한국어이며 번역된 영어 버전은 그림 9입니다. 카카오톡 클래스는 악성 로컬 HTML 파일 카카오톡 클래스가 로컬 HTML 파일인 javapage.html을 열고, 감염된 기기에 등록된 사용자의 이메일 주소가 자동으로 계정에 로그인하도록 설정됩니다. 다운로드 관리자가 설치되어 있지 않고 선택한 파일을 다운로드하려는 경우 키워드를 보면 맬웨어 작성자가 군사, 정치 등과 관련된 파일을 찾고 있음을 예상할 수 있습니다. 이러한 파일은 별도의 서버에 업로드됩니다.

다음은 “를 보여주는 매니페스트 파일의 스니펫입니다. 카카오톡” 액티비티가 내보내집니다. startUpdate()는 “background.png”라는 특정 플래그 파일의 존재 여부와 가짜 플러그인이 이미 설치되어 있는지 확인하여 앱이 올바르게 설치되었는지 확인합니다. 장치가 아직 감염되지 않은 경우 가짜 플러그인이 해킹된 웹 서버에서 다운로드되어 피해자에게 알림 메시지를 표시한 후 설치됩니다. updateApplication()은 동일한 해킹된 서버에서 네이티브 바이너리를 다운로드하여 동적으로 로드합니다. 다운로드한 파일(libSound1.1.so 저장됨)은 메모리에 로드된 후 삭제되고 마지막으로 트로이 목마 역할을 하는 내보낸 함수를 실행합니다. 앞에서 설명했듯이이 파일은 이 게시물의 후반부에서 설명하는 가짜 플러그인에 의해 삭제 된 파일과 유사합니다. 피해자의 이메일 주소는 페이지 로드가 완료된 후 JavaScript 기능 세트EmailAddress를 통해 로컬 페이지로 설정됩니다. 가짜 한국 구글 로그인 웹 사이트가 표시됩니다 : McAfee의 모바일 연구 팀은 최근 한국 개발자가 개발 한 교통 응용 프로그램 시리즈의 플러그인으로 가장한 새로운 악의적 인 안드로이드 응용 프로그램을 배웠습니다. 이 시리즈는 버스 정류장 위치, 버스 도착 시간 등 한국의 각 지역에 대한 다양한 정보를 제공합니다. 이 시리즈에는 총 4개의 앱이 있으며, 그 중 3개는 2013년부터 Google Play에서 사용할 수 있으며 다른 앱은 2017년 경부터 사용할 수 있습니다.

가짜 플러그인 자체가 상점에 업로드되지 않은 동안 현재, 네 개의 애플 리케이션은 구글 플레이에서 제거되었습니다.

Fernanda Tusutiya
Fernanda Tusutiya