브라질에서 Android 사용자를 노리는 새로운 악성 캠페인이 발견되었습니다. 공격자는 피싱 페이지를 공식 Google Play 스토어로 위장하여 앱을 배포하고, 일단 설치되면 은밀한 암호화폐 채굴과 자금 도용에 사용됩니다.
이 기사는 원문을 번역한 것입니다. 당사 특파원이 작성한 원문은 여기에서 확인하실 수 있습니다.
크립토폴리탄에 따르면, 이 공격은 사회 공학과 기술적으로 정교한 방법을 결합하여 숙련된 사용자도 탐지하기 어렵다고 합니다.
공격의 작동 방식
SecureList가 지적했듯이, 이 캠페인은 구글 플레이 인터페이스를 매우 유사하게 모방한 피싱 사이트로 시작됩니다. 사용자는 브라질의 사회 보장 시스템과 연결된 것으로 추정되는 INSS Reembolso라는 앱을 다운로드하라는 메시지를 받게 됩니다.
일단 설치되면 멀웨어는 단계적으로 배포되는데, 먼저 암호화된 구성 요소를 다운로드한 다음 디바이스의 메모리에서 직접 메인 페이로드를 실행합니다. 이 접근 방식은 눈에 보이는 파일을 남기지 않으므로 사용자에게 활동을 숨깁니다.
또한 멀웨어는 에뮬레이트된 환경에서 실행되는지 여부를 확인하고 분석이 감지되면 종료합니다. 디바이스가 "안전"하다고 판단되면 ARM 디바이스에 맞게 조정된 XMRig 기반 마이너를 포함한 추가 모듈을 로드합니다. 이렇게 하면 스마트폰이 공격자가 제어하는 인프라에 연결되고 백그라운드에서 암호화폐를 채굴합니다.
탐지되지 않기 위해 이 프로그램은 배터리 잔량, 온도, 사용자 활동과 같은 디바이스 상태를 모니터링하여 적절한 조건에서만 채굴을 활성화합니다. 또한 거의 들리지 않는 오디오 파일을 재생하여 앱 활동을 시뮬레이션함으로써 안드로이드의 제한을 우회합니다.
도난 및 원격 액세스
멀웨어의 기능은 채굴 그 이상입니다. 경우에 따라서는 바이낸스 및 트러스트 월렛 사용자를 노리는 뱅킹 트로이 목마를 설치하며, 특히 USDT 거래 시 이를 노립니다.
이 멀웨어는 합법적인 앱 위에 가짜 인터페이스를 오버레이하고 지갑 주소를 조용히 대체합니다. 그 결과, 사용자 모르게 자금이 리디렉션됩니다.
또한 감염된 디바이스는 오디오 녹음, 스크린샷 캡처, SMS 메시지 전송, 사용자 활동 로깅에 사용될 수 있습니다. 명령 및 제어는 합법적인 Google 서비스인 Firebase 클라우드 메시징을 통해 처리되므로 탐지가 더욱 어려워집니다.
일부 변종은 서비스형 멀웨어 모델로 배포되는 원격 액세스 도구인 BTMOB를 배포하기도 합니다. 이를 통해 공격자는 카메라, GPS, 자격 증명에 대한 액세스를 포함하여 디바이스를 완전히 제어할 수 있습니다.
시장에 중요한 이유
브라질의 사례는 암호화폐 업계의 위협이 어떻게 진화하고 있는지를 잘 보여줍니다. 이전의 위험은 대부분 프로토콜 익스플로잇과 관련이 있었지만, 이제 공격자들은 피싱, 가짜 인터페이스, 소셜 엔지니어링을 통해 사용자를 표적으로 삼는 경우가 점점 더 많아지고 있습니다.
이러한 수법은 점점 더 널리 퍼지고 있습니다. BTMOB과 같은 MaaS 도구는 진입 장벽을 낮춰 공격의 확산을 가속화합니다. 결과적으로 신뢰할 수 있는 플랫폼을 사용한다고 해서 안전이 보장되는 것은 아닙니다.
기업 입장에서는 인프라 보안뿐만 아니라 경고부터 가짜 도메인 모니터링에 이르기까지 사용자 상호작용을 보호하는 데 투자해야 합니다. 바이낸스와 구글은 이미 이러한 노력을 확대하고 있지만, 공격자들은 계속해서 빠르게 적응하고 있습니다.
사용자에게 중요한 점은 출처를 확인하고 제3자 링크를 피하는 것이 중요하다는 것입니다. 피싱이 증가함에 따라 경계를 늦추지 않는 것이 주요 방어선이 되고 있습니다.
동시에 위험은 에코시스템 전반으로 확대되고 있습니다. Google은 최근 암호화폐 지갑 시드 문구를 노리는 iOS 취약점을 발견했습니다. Google 위협 인텔리전스 그룹의 연구원들은 iOS 버전 13.0에서 17.2.1을 실행하는 iPhone을 손상시키도록 설계된 Coruna라는 툴킷을 발견했습니다. 이를 통해 공격이 크로스 플랫폼화되고 있으며 사용자가 사용하는 시스템에 관계없이 영향을 미치고 있음을 확인할 수 있습니다.
-
가나
-
그리스
-
나미비아
-
나이지리아
-
남아프리카 공화국
-
네덜란드
-
네팔
-
노르웨이
-
뉴질랜드
-
대만, 중화민국
-
대한민국
-
덴마크
-
도미니카 공화국
-
독일
-
라오스
-
라트비아
-
레바논
-
레소토
-
루마니아
-
룩셈부르크
-
르완다
-
리비아
-
리투아니아
-
마다가스카르
-
말레이시아
-
멕시코
-
모로코
-
모리셔스
-
모잠비크
-
몬테네그로
-
몰도바
-
몰타
-
몽골
-
미국
-
미얀마
-
바레인
-
바하마
-
방글라데시
-
베네수엘라
-
베트남
-
벨기에
-
벨라루스
-
보츠와나
-
볼리비아
-
북마케도니아
-
불가리아
-
브라질
-
브루나이 다루살람
-
사우디아라비아
-
세르비아
-
소말리아
-
스리랑카
-
스웨덴
-
스위스
-
스페인
-
슬로바키아
-
슬로베니아
-
시리아
-
싱가포르
-
아랍에미리트
-
아르메니아
-
아르헨티나
-
아이티
-
아일랜드
-
아제르바이잔
-
아프가니스탄
-
알바니아
-
알제리
-
앙골라
-
에스와티니
-
에스토니아
-
에콰도르
-
에티오피아
-
엘살바도르
-
영국
-
예멘
-
오만
-
오스트리아
-
요르단
-
우간다
-
우루과이
-
우즈베키스탄
-
우크라이나
-
이라크
-
이란, 이슬람 공화국
-
이스라엘
-
이집트
-
이탈리아
-
인도
-
인도네시아
-
일본
-
자메이카
-
잠비아
-
재결합(국가 이름)
-
조지아
-
중국
-
짐바브웨
-
체코
-
칠레
-
카메룬
-
카자흐스탄
-
카타르
-
캄보디아
-
캐나다
-
케냐
-
코스타리카
-
코트디부아르
-
콜롬비아
-
콩고
-
콩고 민주공화국
-
쿠바
-
쿠웨이트
-
크로아티아
-
키르기스스탄
-
키프로스(국가 이름)
-
타지키스탄
-
탄자니아
-
태국
-
터키
-
튀니지
-
트리니다드 토바고
-
파나마
-
파라과이
-
파키스탄
-
파푸아뉴기니
-
팔레스타인
-
페루
-
포르투갈
-
폴란드
-
푸에르토리코
-
프랑스
-
핀란드
-
필리핀
-
헝가리
-
호주
-
홍콩
- Forex
- Crypto
