상세 컨텐츠

본문 제목

미수신 택배 관련 가짜 메시지를 통해 확산되는 안드로이드 데이터 스틸링 악성코드

국내외 보안동향

by 알약(Alyac) 2020. 7. 2. 15:00

본문

Android security: This fake message about a missed delivery leads to data-stealing malware


은행 정보, 개인정보, 개인 커뮤니케이션 등을 탈취 가능한 강력한 안드로이드 악성코드가 다시 돌아왔습니다. 


이 악성코드는 새로운 캠페인을 통해 SMS 피싱 공격을 실행하여 자신을 확산시킵니다.


FakeSpy 악성코드는 2017년부터 활동해왔습니다. 처음에는 일본과 한국의 사용자만을 노렸지만, 지금은 전 세계의 안드로이드 사용자를 공격하기 시작했습니다. 


이 악성코드는 아시아, 유럽, 북미 지역 사용자를 속이기 위해 설계된 맞춤형 공격을 사용합니다.


최신 FakeSpy 캠페인을 발견한 Cybereason 연구원들은 이 악성코드의 배후에 있는 공격자가 과거 유사한 공격 캠페인을 실행했던 중국어를 사용한 사이버 범죄 작전인 'Roaming Mantis'와 관련이 있다고 밝혔습니다.


FakeSpy는 능동적으로 개발되며 빠르게 진화하는 것으로 알려져 있습니다. 매주 악성코드의 새 버전이 공개되며, 새로운 기능 및 회피 기술을 추가합니다.


이 악성코드는 SMS 메시지, 금융 정보, 애플리케이션 및 계정 정보를 훔치고 연락처 목록을 읽어오는 등의 목적으로 사용하는 인포스틸러를 제공합니다.


이 최신 캠페인은 중국, 대만, 프랑스, 스위스, 독일, 영국, 미국 등의 사용자를 광범위하게 공격합니다. 


각 국가 피해자에게 악성코드를 설치하기 위해 지역 우체국이나 택배 서비스에서 보낸 미 수신 택배 관련 알림으로 위장한 피싱 메시지를 사용합니다.


텍스트 메시지 내 피싱 링크를 누르면 지역 우체국 사이트 앱으로 위장한 악성 앱을 다운로드하는 가짜 웹사이트로 이동됩니다. 


예를 들어 영국에 거주하는 사용자들은 Royal Mail 앱의 가짜 버전을 다운로드하게 되며, 미국 사용자들은 가짜 우편 서비스 앱을 다운로드하게 됩니다.


공격자들은 독일의 도이치포스트, 프랑스 우편국, 일본 우편국, 스위스 우편국, 대만의 Chughwa 우편국 등도 악용했습니다.


가짜 애플리케이션은 WebView를 사용해 만들어졌으며 실제 애플리케이션처럼 보이도록 설계되었습니다. 


사용자가 알 수 없는 출처의 앱을 설치하도록 허용한 후 애플리케이션이 다운로드 되면, 피해자가 눈치채지 못하도록 사용자를 실제 웹사이트로 이동시킵니다.


또한 이 악성코드는 많은 권한을 요구합니다. 하지만 많은 정식 애플리케이션에서 더 넓은 범위의 권한을 요구하는 것은 흔한 일이기 때문에 피해자는 의심하지 않을 가능성이 높습니다.


FakeSpy가 설치되면 이름, 전화번호, 연락처, 은행 및 가상화폐 지갑 정보 등 다양한 정보를 훔치고 텍스트 메시지 및 앱 사용을 모니터링합니다.


FakeSpy는 자신을 확산시키기 위해 피해자가 가지고 있는 모든 연락처에 우편 관련 테마 피싱 메시지를 보냅니다.


Cybereason의 Assaf Dahan은 이 공격에 대해 특정 개인을 노리지는 않지만, 광범위한 공격을 통해 누군가 미끼를 물기를 기다리는 ‘스프레이 앤 프레이(spray and pray)’라 설명했습니다.


FakeSpy는 지난 3년간 활동해왔으며, 계속해서 진화 및 변화를 거듭하며 안드로이드 사용자를 위협해 왔습니다.


이 악성코드가 매우 강력한 것은 분명하지만, 사용자는 예상치 못했던 메시지에 각별한 주의를 기울임으로써 공격을 피할 수 있습니다. 


특정 조직에서 사용자에게 링크를 클릭할 것을 요구하는 메시지를 주의하시기 바랍니다. 피싱 공격일 가능성이 높기 때문입니다.


Dahan 은 아래와 같이 언급했습니다.


“애플리케이션 관리자를 통해 가짜 애플리케이션을 삭제하여 이 공격을 완화할 수 있습니다. 또한 위협을 탐지 및 치료할 수 있는 모바일 보안 솔루션을 사용하는 것도 도움이 됩니다.”


현재 알약M에서는 해당 악성코드 샘플에 대해 'Trojan.Android.Agent'으로 탐지 중에 있습니다.





출처:

https://www.zdnet.com/article/android-security-this-fake-message-about-a-missed-delivery-leads-to-data-stealing-malware/

https://www.cybereason.com/blog/fakespy-masquerades-as-postal-service-apps-around-the-world

관련글 더보기

댓글 영역