Android 해커들의 경고
최근 Android 해커들이 800개 이상의 은행, 암호화폐 및 소셜 미디어 애플리케이션을 겨냥하고 있다는 경고가 나왔습니다. 사이버 보안 회사 Zimperium의 연구에 따르면, 이들은 자격 증명을 훔치고 무단 금융 거래를 수행하며 대규모 데이터 유출을 일으키는 고급 명령 및 제어 인프라를 사용하는 네 가지 악성코드 패밀리를 확인했습니다.
Zimperium은 “이 캠페인은 은행, 암호화폐 및 소셜 미디어 분야의 800개 이상의 애플리케이션을 겨냥하고 있으며, 고급 반분석 기술과 구조적 APK 변조를 통해 전통적인 서명 기반 보안 메커니즘에 대해 근접 제로 탐지율을 유지하고 있습니다.”라고 밝혔습니다.
악성코드 패밀리
이 악성코드 패밀리의 이름은 RecruitRat, SaferRat, Astrinox 및 Massiv입니다.
공격 방식
공격자들은 일반적으로 피싱 웹사이트, 사기성 구인 제안, 가짜 소프트웨어 업데이트, 문자 메시지 사기 및 프로모션 유인을 이용하여 피해자들이 악성 Android 앱을 설치하도록 유도합니다. 설치된 후, 악성코드는 접근성 권한을 요청하고 앱 아이콘을 숨기며, 제거 시도를 차단하고, 가짜 잠금 화면을 통해 PIN 및 비밀번호를 훔치고, 일회용 비밀번호를 캡처하며, 실시간 장치 화면을 스트리밍하고, 합법적인 은행 또는 암호화폐 앱 위에 위조 로그인 페이지를 오버레이할 수 있습니다.
Zimperium은 “오버레이 공격은 자격 증명 수집 생태계의 핵심입니다. 접근성 서비스를 사용하여 전경을 모니터링하는 악성코드는 피해자가 금융 애플리케이션을 실행하는 정확한 순간을 감지합니다. 그런 다음 악성 HTML 페이로드를 가져와 합법적인 애플리케이션의 사용자 인터페이스 위에 오버레이하여 매우 설득력 있고 기만적인 외관을 만듭니다.”라고 덧붙였습니다.
악성 트래픽의 혼합
이 회사는 또한 캠페인이 HTTPS 및 WebSocket 통신을 사용하여 악성 트래픽을 정상 앱 활동과 혼합하며, 일부 변종은 탐지를 피하기 위해 추가 암호화 계층을 추가한다고 밝혔습니다.
