최근 사이버 보안 전문가들은 정교함, 적응성, 광범위한 영향력을 특징으로 하는 이란 은행을 겨냥한 놀라운 멀웨어 캠페인을 발견했다.

짐페리움의 최신 보고서에 따르면, 이 작전과 관련된 200개 이상의 악성 앱이 발견되었으며, 인증정보 탈취를 넘어 금융 기관에 대한 고급 회피 전술과 피싱 공격까지 포함하는 진화를 보여주고 있다. 이 문서에서는 점점 더 커지고 있는 이 위협의 세부 사항을 자세히 살펴보고, 사용된 전술과 Android 및 iOS 사용자에게 미칠 수 있는 잠재적 영향에 대한 인사이트를 제공한다.

이 악성코드 캠페인은 2023년 7월 소포스가 멜랏 은행, 사데랏 은행, 레살랏 은행, 이란 중앙은행을 주요 표적으로 삼은 40개의 인증정보 탈취 앱 클러스터를 자세히 설명하면서 처음 세간의 주목을 받았다.

그 이후로 이 캠페인은 진화해 더 많은 은행과 암호화폐 지갑 앱을 대상으로 범위를 확대하고 보안 조치에 앞서 나가는 데 중점을 두고 있다.

이러한 악성 앱의 주요 목적은 사용자를 속여 광범위한 권한을 부여하도록 유도하여 안드로이드의 접근성 서비스를 악용하는 것이다.

이러한 악용을 통해 위협 공격자는 은행 로그인 정보, 신용카드 정보 등 민감한 정보를 수집한다.

해당 악성 앱의 정상 버전은 수백만 건의 다운로드를 기록한 이란의 안드로이드 마켓플레이스인 Cafe Bazaar에서 호스팅됐다. 반면, 악성 모조품은 새로운 도메인 네트워크를 통해 배포되며, 이 중 일부는 명령 및 제어(C2) 서버 역할을 한다.

특히, 이러한 도메인 중 일부는 의심하지 않는 모바일 사용자의 자격 증명을 훔치도록 설계된 HTML 피싱 페이지를 호스팅한다.

짐페리움의 최근 연구 결과에 따르면, 이전에 문서화되지 않은 기능이 멀웨어의 위력을 강화하는 것으로 밝혀졌다. 여기에는 접근성 서비스를 사용하여 SMS 메시지를 가로채고, 제거를 방지하고, 사용자 인터페이스 요소와 상호 작용하는 것이 포함됐다.

일부 변종 멀웨어는 업데이트된 C2 서버 정보를 추출하기 위해 깃허브 리포지토리에 액세스하여 피싱 사이트의 적응성을 보장한다.

주로 안드로이드 디바이스에 초점을 맞췄지만, 증거에 따르면 애플의 iOS 운영 체제도 잠재적인 위협이 될 수 있다. 캠페인과 관련된 피싱 사이트는 iOS 디바이스에서 페이지를 열었는지 확인하도록 구성되어 있다.

iOS 캠페인이 개발 중인지 아니면 실제로 앱을 배포하고 있는지는 아직 명확하지 않지만, 안드로이드 캠페인은 삼성과 샤오미 단말기에 특별히 초점을 맞추고 있는 것으로 나타났다.

이러한 악성 앱과 관련된 피싱 캠페인은 기존의 수법을 뛰어넘어 합법적인 웹사이트를 사칭하여 자격 증명, 계정 번호, 디바이스 모델, IP 주소 등 다양한 정보를 추출한다.

수집된 데이터는 공격자가 통제하는 텔레그램 채널로 유출되며, 이는 최신 멀웨어의 정교함을 보여준다.

전문가들은 진화하고 정교해지는 멀웨어 위협에 맞서 모바일 애플리케이션에 대한 런타임 가시성과 보호가 매우 중요하다고 강조한다.

멀웨어가 더욱 지능화됨에 따라 기업과 사용자 모두 위험을 완화하고 민감한 정보를 보호하기 위한 선제적 방어 전략의 우선순위를 정해야 한다.

이 광범위한 안드로이드 멀웨어 캠페인에 대해, 보안전문가들은 위협 행위자들이 지속적으로 전술을 조정하고 강화함에 따라 조직, 보안 전문가, 사용자는 경계를 늦추지 말고 강력한 사이버 보안 조치에 투자하고 새로운 위협에 대한 정보를 지속적으로 파악해야 한다고 강조한다. 첨단 우회 기법, 피싱 캠페인, iOS 사용자에 대한 잠재적 위협이 교차하는 상황에서 이러한 진화하는 위협을 효과적으로 차단하기 위해서는 사이버 보안에 대한 포괄적이고 협력적인 접근 방식이 필요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★