기술 지원
문서
로그인
문의하기
은행 정보를 훔치는 갓파더 안드로이드 뱅킹 악성코드
오반라 오페예미
2023년 1월 12일 TuxCare 전문가 팀
사이블 리서치 & 인텔리전스 랩(CRIL)의 연구원들이 안드로이드 뱅킹 트로이 목마의 새로운 버전인 갓파더 멀웨어를 발견했습니다.
이 멀웨어는 16개국에서 400개 이상의 암호화폐 및 뱅킹 앱에 침투했습니다. Group-IB는 2021년 6월에 이 트로이 목마를 발견했으며, ThreatFabric은 2022년 3월에 이 정보를 공개했습니다.
은행 및 암호화폐 거래소 웹사이트의 앱 로그인 포럼 상단에 로그인 화면으로 표시될 수 있습니다. 사용자가 자격 증명을 입력하면 해당 정보는 공식 웹사이트가 아닌 해커에게 전송됩니다.
16개국에서 이 안드로이드 멀웨어는 온라인 뱅킹 페이지와 암호화폐 거래소를 표적으로 삼습니다. 이 멀웨어는 합법적인 애플리케이션 위에 가짜 로그인 화면을 표시합니다. 갓파더는 위협 공격자들이 계정 자격 증명을 훔치는 데 사용됩니다. 갓파더는 또한 SMS, 디바이스 정보 및 기타 데이터를 훔칠 수도 있습니다.
215개의 뱅킹 앱이 표적이 되었으며, 이 중 대부분은 미국(49개), 터키(31개), 스페인(30개), 캐나다(22개), 프랑스(20개), 독일(19개), 영국(17개)에 위치해 있습니다. 대부 멀웨어는 또한 110개의 암호화폐 거래소 플랫폼과 94개의 암호화폐 지갑 앱을 표적으로 삼고 있습니다.
이 멀웨어는 서비스형 멀웨어 플랫폼을 통해 다양한 위협 행위자에게 배포되며 Google Play 앱 내에 숨겨져 있습니다. 이러한 앱은 합법적인 것처럼 보이지만 Google 보호 기능으로 보호되는 것처럼 위장된 페이로드가 포함되어 있습니다. 피해자가 가짜 알림과 상호 작용하거나 이러한 앱 중 하나를 실행하려고 하면 멀웨어는 가짜 웹 오버레이를 표시하고 사용자 이름과 비밀번호는 물론 SMS 기반 2FA 코드를 훔치기 시작합니다.
연구진에 따르면 피해자의 디바이스에 설치되면 갓파더는 뱅킹 및 암호화폐 거래소 자격 증명을 훔치는 등 일련의 전형적인 뱅킹 트로이 목마 동작을 시작한다고 합니다. 또한 SMS, 설치된 애플리케이션의 데이터를 포함한 기본 디바이스 세부 정보, 디바이스의 전화 번호와 같은 민감한 데이터를 훔치고 백그라운드에서 다양한 악의적인 작업을 수행할 수 있습니다.
바이러스 백신 소프트웨어의 탐지를 피하기 위해 분석된 GodFather 샘플은 맞춤형 암호화 기술을 사용하여 암호화됩니다. 보안 연구원들이 테스트 디바이스에 이 앱을 설치했을 때, 이 앱의 아이콘과 이름이 MYT Music이라는 합법적인 앱과 유사하다는 것을 발견했습니다. 이 합법적인 앱은 Google Play에서 다운로드할 수 있으며 천만 건 이상의 다운로드를 기록했습니다.
갓파더는 또한 합법적인 베이킹 및 암호화폐 거래소 애플리케이션을 위한 가짜 로그인 페이지를 표시합니다. 이러한 피싱 페이지는 사용자 이름, 고객 ID, 비밀번호 등의 로그인 정보를 훔치는 데 사용됩니다. 갓파더는 200개 이상의 뱅킹 앱, 100개 이상의 암호화폐 거래소 플랫폼, 94개의 암호화폐 지갑 앱을 표적으로 삼고 있습니다.
갓파더는 피해자의 디바이스에 있는 앱 목록에서 일치하는 가짜 로그인 양식을 검색합니다. 피해자가 GodFather의 목록에 없는 뱅킹 또는 암호화폐 거래소 앱을 가지고 있는 경우, 악성 코드는 입력된 로그인 자격 증명을 캡처하기 위해 화면을 녹화합니다.
이 글의 출처는 HackRead의 기사입니다.
