기술 지원
문서
로그인
문의하기
원본 앱을 모방하여 데이터를 훔치는 Zombinder 멀웨어
2022년 12월 20일 TuxCare 홍보팀
사이버 범죄자들이 멀웨어를 합법적인 앱에 쉽게 삽입하여 데이터를 훔치는 동시에 디바이스를 혼란에 빠뜨릴 수 있는 좀빈더 서비스를 발견한 ThreatFabric 연구원이 있습니다.
이 캠페인은 멀웨어를 퍼뜨리기 위해 Wi-Fi 인증 포털을 사칭하여 표면적으로는 사용자가 인터넷 포인트에 액세스할 수 있도록 지원합니다. 그런 다음 이 사이트는 사용자에게 실제로 멀웨어인 Windows 또는 애드웨어 버전의 애플리케이션을 다운로드하라는 메시지를 표시합니다.
위협패브릭 보고서에 따르면 이 공격은 ERMAC, Erbium, Aurora, Laplas와 같은 멀웨어를 사용하여 개인 식별 정보를 훔치고, Gmail 앱에서 이메일을 가로채고, 2단계 인증 코드를 염탐하고, 다양한 암호화폐 지갑에서 시드 문구를 훔치는 방식으로 이루어집니다. 연구원들은 또한 버튼이 두 개뿐인 가짜 한 페이지짜리 웹사이트를 통해 배포되었다고 밝혔습니다.
이 버튼은 윈도우 또는 안드로이드용 다운로드를 제공했습니다. 후자를 클릭하면 암호화폐 지갑에서 Gmail 메시지, 2단계 인증 코드, 시드 문구를 훔칠 수 있는 Ermac이 다운로드되었습니다. 또한 키로거 역할도 합니다. 한편, 겉으로 보기에 Windows 앱으로 보이는 앱을 다운로드하면 오로라 및 에르비움 탈취 멀웨어와 라플라스 클리퍼가 유포됩니다.
이 공격은 브라우저 업데이트를 가장한 악성 코드 난독화 기능을 갖춘 Wi-Fi 인증 앱으로 시작됩니다. 일부 앱은 직접 Ermac은 아니지만 정상적으로 실행되는 동안 여러 뱅킹 애플리케이션을 대상으로 하는 페이로드로서 Ermac을 설치하는 합법적인 앱이었습니다.
이와 같은 앱은 Instagram, WiFi 자동 인증기, 축구 라이브 스트리밍 등의 수정된 버전으로 위장합니다. 패키지 이름도 합법적인 애플리케이션에서 사용하는 것과 동일합니다. 앱을 다운로드하면 정상적으로 작동합니다. 그런 다음 업데이트가 필요하다는 메시지가 나타납니다. 피해자가 업데이트를 수락하면 앱이 Ermac 멀웨어를 설치합니다.
또 다른 캠페인은 좀빈더를 사용하여 미디어 다운로드 회사의 애플리케이션에 클리핑된 제노모프 뱅킹 트로이 목마를 유포하고, 피해자는 악성 광고를 통해 유인됩니다. 의심하지 않는 피해자를 위해 정상적인 앱이 정상적으로 실행되고 있음에도 불구하고 Zombinder는 제노모프를 드롭하고 실행합니다.
이 글의 출처는 TheHackerNews의 기사입니다.
