Attention! FluBot Android Banking Malware Spreads Quickly Across Europe
사용자의 민감 정보를 훔치는 안드로이드 뱅킹 악성코드가 유럽 전역에 빠르게 확산되고 있는 것으로 나타났습니다. 또한 다음 타깃은 미국이 될 가능성이 높은 것으로 보입니다.
Proofpoint의 새로운 분석에 따르면, FluBot의 배후에 있는 공격자들은 스페인을 넘어 영국, 독일, 헝가리, 이탈리아, 폴란드를 노리고 있었습니다. 영어를 사용한 캠페인만으로도 700개 이상의 고유한 도메인을 사용해 영국에서만 7천 대의 기기를 감염시켰습니다.
게다가 독일어, 영어를 사용하는 SMS 메시지가 유럽에서 미국 사용자들에게 전송되고 있는 것으로 밝혀졌습니다. 연구원들은 이에 대해 악성코드가 해킹된 연락처 목록을 통해 확산되고 있는 것으로 추정했습니다. 미국을 노린 캠페인은 아직까지 탐지되지 않은 상황입니다.
지난 3월 21일 PRODAFT에서 게시한 분석에 따르면, 뱅킹 트로이목마의 선발주자인 FluBot은 작년 말 스페인에서 6만 명이 넘는 사용자를 감염시킨 악성코드를 활용한 캠페인을 시작했습니다.
해당 악성코드는 기기에서 전화번호 1,100만 건 이상을 수집한 것으로 나타났으며, 이는 스페인 총 인구의 25%에 달하는 수치입니다.
주로 스미싱을 통해 확산되는 이 메시지는 FedEx, DHL, Correos와 같은 택배 서비스로 위장해 사용자의 택배의 배송 상태를 추적할 수 있는 링크를 포함하고 있었습니다. 이 링크를 클릭하면 FluBot 모듈이 내장된 악성 앱을 다운로드합니다.
연구원들은 해당 악성코드에 대해 아래와 같이 언급했습니다.
“FluBot은 웹 뷰 기반 애플리케이션 피싱을 수행하기 위해 오버레이 공격을 사용하는 새로운 안드로이드 악성코드입니다. 이 악성코드는 주로 모바일 뱅킹 및 가상화폐 애플리케이션을 노리지만, 기기에 설치된 모든 애플리케이션에서 광범위한 데이터를 수집하기도 합니다.”
FluBot이 설치되면, 기기에서 실행되는 애플리케이션을 추적할 뿐 아니라 공격자가 제어하는 서버에서 특수 제작된 페이지를 이용하여 금융 앱의 로그인 페이지 위에 오버레이합니다. 이 페이지는 크리덴셜을 훔치기 위한 목적으로 제작되었습니다.
또한 안드로이드의 접근성 서비스를 악용하여 연락처 목록, 메시지, 전화, 알림을 수집합니다.
지난 달 스페인 당국은 FluBot 캠페인의 배후에 있는 공격자 4명을 체포했지만, 감염이 증가하면서 단기간에 일본, 노르웨이, 스웨덴, 핀란드, 덴마크, 네덜란드를 포함하도록 타깃 국가를 확장한 것으로 나타났습니다.
FluBot의 활동이 급증함에 따라, 독일의 연방 정보 보안실(BSI)과 영국의 국가 사이버 보안 센터(NCSC)는 사기성 SMS메시지를 통해 사용자가 “비밀번호 및 기타 민감 정보를 훔치는 스파이웨어”를 설치하도록 속이는 공격에 대해 경고했습니다.
연구원들은 아래와 같이 결론지었습니다.
“FluBot은 국가 간 이동을 통해 상당히 빠른 속도로 계속해서 확산될 것입니다. 예기치 않은 메시지를 신뢰하고 공격자가 제공한 지침에 기꺼이 따르는 사용자가 있는 한 이러한 캠페인은 계속해서 성공할 것입니다.”
현재 이스트시큐리티 알약M에서는 해당 안드로이드 악성코드 샘플을 'Trojan.Android.Banker'로 탐지 중입니다.
출처:
https://thehackernews.com/2021/04/attention-flubot-android-banking.html
SkidMap 악성코드, Redis 무단 액세스 취약점 악용해 (0) | 2021.04.29 |
---|---|
수 년 동안 시스템에 백도어를 설치해온 새로운 리눅스 악성코드 발견 (0) | 2021.04.29 |
CISA와 NIST에서 공급망 공격에 대한 새로운 권고 발표 (0) | 2021.04.28 |
Shlayer macOS 악성코드, 제로데이 악용해 Gatekeeper 기능 우회해 (0) | 2021.04.28 |
미네소타 대학, 리눅스 프로젝트에 악성코드 배포 사과해 (0) | 2021.04.27 |
댓글 영역