새로운 악성 소프트웨어, 실제 은행 앱을 스파이 도구로 변환

연구자들은 GodFather 은행 말웨어가 진화하여 신뢰받는 애플리케이션을 도난 도구로 변모했다는 경고를 내보냈습니다.

Zimperium zLabs의 사이버 보안 연구원들이 이 고급 버전의 악성 소프트웨어를 발견했습니다. 이 악성 소프트웨어는 가상화를 사용하여 진짜 애플리케이션의 속임수 복제본을 만들어 사용자가 탐지하기 거의 불가능하게 만듭니다.

“이 방법은 모바일 위협 능력에서 중요한 도약을 표시합니다,”라고 연구원인 페르난도 오르테가와 비슈누 프라타파기리가 설명했습니다. 이전의 악성 프로그램처럼 단순히 가짜 로그인 화면을 보여주는 대신, 이 버전은 호스트 앱을 설치하여 실제 은행이나 암호화폐 앱의 가상 복사본을 실행합니다.

따라서 은행 앱을 열면, 실제로는 원본처럼 보이고 작동하는 납치된 버전을 사용하게 되며, 모든 탭과 비밀번호가 기록됩니다.

이 악성 소프트웨어는 전 세계 은행, 암호화폐 지갑, 쇼핑 및 메시징 서비스를 포함한 500개 이상의 회사의 애플리케이션을 공격합니다. 특히 이 악성 소프트웨어는 Ziraat, Akbank, ING Mobil을 포함한 12개의 터키 은행을 표적으로 삼습니다. 설치 후, 이 악성 소프트웨어는 사용자의 모든 데이터, PIN과 비밀번호, 메시지 및 암호화폐 지갑 키를 추출할 수 있습니다.

더욱 나쁜 것은, 이 소프트웨어는 탐지를 피하기 위한 여러 기교를 사용한다는 것입니다. 이것은 안드로이드 ZIP 파일을 조작하여 보안 검사를 속이고, 앱의 무해해 보이는 부분에 악성 코드를 숨기며, 사용자를 감시하기 위해 안드로이드의 접근성 서비스를 악용합니다. “결국, 이 가상화 기법은 사용자와 그들의 모바일 애플리케이션 사이의 기본적인 신뢰를 훼손합니다.”라고 연구자들은 경고했습니다.

GodFather 악성 소프트웨어의 통제 하에 있는 감염된 기기들은 해커들이 기기 스와이프 작업, 어플리케이션 탭, 그리고 화면 잠금 비밀번호 도난을 수행할 수 있게 합니다. 이 악성 소프트웨어는 사용자들에게 가짜 팝업을 보내어, 그들이 승인을 부여하는 것을 깨닫지 못하게 속이기도 합니다.

연구자들은 모바일 뱅킹 및 암호화폐 사용자들이 오직 공인된 출처에서만 앱을 다운로드하고, 어플리케이션의 비정상적인 동작에 대해 감시해야 한다고 강조합니다. 심지어 실제 앱이라도, 그들이 경고하는 바에 따르면, 보이는 그대로가 아닐 수도 있다고 합니다.