포스팅 내용

국내외 보안동향

왓츠앱, 우버, 구글플레이 역할을 하는 새로운 멀웨어, 유럽에서 증가 추세

왓츠앱, 우버, 구글플레이 역할을 하는 새로운 멀웨어, 유럽에서 증가 추세

New Malware That Acts as WhatsApp, Uber and Google Play is on The Rise in Europe


왓츠앱, 우버, 구글플레이에 영향을 미칠 수 있는 새로운 안드로이드 악성코드가 발견 되었습니다. 해커들은 이를 사용하여 오리지널 앱의 유저 인터페이스를 스푸핑하는데 사용하고 있습니다 이를 이용하면 사용자의 신용카드 정보 및 기타 개인 정보를 탈취할 수 있습니다.


안드로이드 기기에 영향을 미치는 이 악성코드는 덴마크, 이탈리아, 독일에서만 제보 되었지만 더 확산 되고 있습니다. 주로 SMS를 통한 피싱방법으로 유포중에 있습니다. 


사용자들이 실수로 이 악성코드를 다운로드 하면, 이는 사용자 휴대폰에 가짜 사용자 인터페이스를 만든 후 실제 앱에 오버레이 시킵니다. 이 오버레이 된 인터페이스는 신용카드 정보를 물을 뿐만 아니라, 데이터가 입력되면 해커들에게 정보를 보냅니다. 현재 이 악성코드 패밀리는 계속적으로 진화하고 있는 것으로 나타났습니다. 


올해 2월부터 유럽에서만 최소 55개의 동일한 오버레이 테크닉을 발견했습니다. 


이 악성앱의 이전 버전들은 주로 뱅킹앱을 타겟으로 했지만, 조금 더 진화된 지금은 안드로이드 플랫폼에서 인기있는 앱인 왓츠앱과 구글플레이 등을 타겟으로 하고 있습니다. 대부분의 사용자들은 뱅킹 앱처럼 자신의 신용카드 정보 및 개인정보들을 이러한 앱에도 입력하기 때문입니다.


사이버 공격자들은 자신들의 경제적 이득을 극대화 하기 위하여 폭넓게 사용되고 넓은 사용자 풀을 가진 앱을 타겟으로 한다고 말했습니다. 일부는 유투브, 우버, 인기있는 중국 메세지 서비스인 위챗에도 영향을 미치기도 했습니다. 


공격자들은 악성 링크가 포함된 SMS를 통하여 해당 악성앱들을 유포시켰습니다. 


공격자들이 보낸 SMS 메세지 중 하나는 다음과 같습니다. "We could not deliver your order. Please check tour shipping information here. (당신의 주문한 물품을 배달할 수 없었습니다. 여기서 배송 정보를 확인하세요.)”


파이어아이는 이 캠페인이 다섯개의 또 다른 캠페인을 통해 확산되고 있다고 말했습니다. 하나의 캠페인에서만 악성코드가 호스팅 되고있는 링크에 최소 13만건의 클릭수를 기록했습니다. 또한 새로운 버전은 탐지가 힘든 것으로 확인되었습니다. 


한편 이 악성코드는 아랍에미레이트, 독일, 이탈리아, 라트비아, 네덜란드에 서버가 위치한 것으로 추정됩니다. 


해당 악성앱들에 대하여 알약안드로이드에서는 Trojan.Android.SLocker로 탐지중에 있습니다.


출처 :

https://www.fireeye.com/blog/threat-research/2016/06/latest-android-overlay-malware-spreading-in-europe.html

티스토리 방명록 작성
name password homepage