새로운 안드로이드 뱅킹 트로이 목마
새로운 안드로이드 뱅킹 트로이 목마가 10개국에서 180개 이상의 뱅킹, 금융 및 암호화폐 애플리케이션을 겨냥하고 있습니다. 사이버 보안 회사 Cyble에 따르면 이 악성코드는 ‘OverlayPhantom’이라고 하며, 신뢰할 수 있는 애플리케이션을 가장한 악성 URL을 통해 배포되고 있습니다.
감염 체인 및 작동 방식
Cyble은 이 악성코드가 두 단계 감염 체인을 사용한다고 밝혔으며, 첫 번째 단계는 오스트리아의 공식 정부 신원 애플리케이션인 ID Austria와 TikTok을 가장한 드로퍼 앱으로 시작됩니다. 설치가 완료되면 OverlayPhantom은 Google Play 서비스로 위장하고 안드로이드의 접근성 서비스를 악용하여 감염된 장치에 대한 높은 권한을 얻습니다.
타겟 및 기능
이 악성코드는 미국, 호주, 독일, 프랑스, 벨기에, 핀란드, 네덜란드, 이탈리아, 스페인 및 영국의 뱅킹, 금융 및 암호화폐 애플리케이션을 겨냥합니다. Cyble은 OverlayPhantom이 30개 이상의 원격 명령을 실행하고, 실시간 화면 스트리밍을 수행하며, 가짜 오버레이를 표시하고, 수집된 자격 증명을 명령 및 제어 인프라를 통해 유출할 수 있다고 말합니다.
사용자 정보 캡처
이 악성코드는 피해자의 전면 애플리케이션을 모니터링하고 해당 애플리케이션이 하드코딩된 목표 목록에 포함되어 있는지 확인합니다. 일치하는 항목이 발견되면, 합법적인 애플리케이션을 닮은 가짜 WebView 오버레이를 표시합니다. 이러한 오버레이는 사용자 이름, 비밀번호, 카드 세부정보, PIN 및 기타 민감한 정보를 캡처할 수 있습니다.
추가 기능 및 활동
Cyble에 따르면 이 악성코드는 제스처를 시뮬레이션하고, 클립보드 내용을 조작하며, 장치 화면을 잠그고, 가짜 알림을 표시할 수도 있습니다. 보고서에 따르면 OverlayPhantom은 명령 전송, 장치 상태 보고 및 화면 스트리밍을 위해 별도의 명령 및 제어 포트를 사용합니다.
활동 기간 및 발견
Cyble은 이 악성코드가 2025년 5월부터 활동해 왔으며 정부 테마의 URL 사칭에 대한 조사 중 발견되었다고 밝혔습니다.
“X, Facebook 및 Telegram에서 저희를 팔로우하세요. 놓치지 마세요 – 이메일 알림을 직접 받아보세요.”
Surf The Daily Hodl Mix. 금융의 미래를 다루며, 매크로, 비트코인, 이더리움, 암호화폐 및 웹 3.
