포스팅 내용

국내외 보안동향

금융 앱 112개를 통해 돈을 훔치는 안드로이드 뱅킹 트로이목마 발견

Watch Out! New Android Banking Trojan Steals From 112 Financial Apps

 

보안 연구원들이 브라질, 라틴 아메리카, 유럽의 금융 기관을 노리는 브라질 뱅킹 트로이목마 4개인 “Tetrade”를 발견한 지 4개월이 지난 후, 이 공격자들이 모바일 기기를 스파이웨어로 감염시키기 위한 전략을 추가한 것으로 나타났습니다.

 

카스퍼스키의 GReAT 팀에 따르면, 브라질의 공격 그룹인 Guildma는 브라질, 파라과이, 페루, 포르투갈, 독일, 앙골라, 모잠비크의 은행, 핀테크회사, 거래소, 가상화폐 앱을 노리는 안드로이드 뱅킹 트로이목마인 “Ghimob”을 배포했습니다.

 

"Ghimob은 완전한 기능을 갖춘 주머니 속 스파이입니다. 일단 감염되면, 해커는 기기에 원격으로 접근해 피해자의 스마트폰에서 사기 거래를 수행할 수 있습니다. 기기 식별, 금융 기관이 구현한 보안 장치, 시스템의 사기 방지 장치를 우회하는 것도 가능합니다.”

 

Guildma와 동일한 인프라를 공유하는 것 외에도 Ghimob은 피싱 이메일을 통해 악성코드를 배포해 사용자가 Ghimob APK 인스톨러를 다운로드하는 악성 URL을 클릭하도록 유도합니다.

 

 

<이미지 출처: https://securelist.com/ghimob-tetrade-threat-mobile-devices/99228/>

 

 

일단 이 트로이목마가 설치되면 다른 모바일 RAT과 상당히 유사한 행동을 합니다.

 

이는 앱 아이콘을 숨겨 자신의 존재를 숨기고, 지속성을 위해 안드로이드의 접근성 기능을 악용하며, 수동 언인스톨을 비활성화하고, 뱅킹 트로이목마가 키 입력을 캡쳐하고, 스크린 내용을 조작하고 공격자가 원격으로 기기를 완전히 제어할 수 있도록 합니다.

 

사용자의 폰에 화면 잠금 패턴이 설정되어 있더라도, Ghimob은 이를 기록해 추후 재생하여 기기의 잠금을 해제할 수 있습니다.”

 

사이버 범죄자가 거래를 진행할 준비를 마치면 이들은 검은 화면을 오버레이로 삽입하거나 웹사이트를 전체화면으로 오픈합니다. 사용자가 이 오버레이 화면을 보고 있는 동안 공격자는 피해자의 스마트폰에서 실행된 금융 앱을 통해 백그라운드에서 거래를 진행합니다.”

 

Ghimob은 모바일 앱 총 153개를 공격합니다. 이 중 112개는 브라질의 금융 관련 기관이며 나머지는 독일, 포르투갈, 페루, 파라과이, 앙골라, 모잠비크의 가상화폐 및 뱅킹 앱입니다.

 

“Ghimob은 다른 국가의 금융기관 및 고객을 노리는 최초의 브라질 모바일 뱅킹 트로이목마입니다.”

 

이 트로이목마는 여러 국가에서 운영되는 은행, 핀테크, 거래소, 가상화폐 거래소와 금융 기관의 신용카드의 자격 증명을 훔칠 준비를 철저히 했습니다.”

 

현재 알약M에서는 해당 악성코드 샘플을 'Trojan.Android.Banker'로 탐지 중에 있습니다. 


 

 

 

출처:

https://thehackernews.com/2020/11/watch-out-new-android-banking-trojan.html

https://securelist.com/ghimob-tetrade-threat-mobile-devices/99228/


티스토리 방명록 작성
name password homepage