해커들이 구글 플레이를 모방하여 암호화폐 채굴 악성 소프트웨어를 유포하고 있습니다
해커들이 새로운 피싱 수법으로 피해자들을 노리고 있습니다. SecureList의 게시물에 따르면, 해커들은 가짜 구글 플레이 스토어 페이지를 이용해 브라질에서 안드로이드 악성코드를 유포하고 있습니다.
이 악성 앱은 합법적인 다운로드처럼 보이지만, 설치가 완료되면 감염된 휴대폰을 암호화폐 채굴 기기로 바꿔놓습니다. 뿐만 아니라, 금융 관련 악성 프로그램을 설치하고 공격자에게 원격 접근 권한을 부여하는 데에도 사용됩니다.
해커들이 브라질 스마트폰을 암호화폐 채굴기로 탈취했습니다
이 캠페인은 구글 플레이 스토어와 거의dent생긴 피싱 웹사이트에서 시작됩니다. 웹사이트의 한 페이지에서는 브라질 사회보장국과 연관되어 있다고 주장하는 'INSS Reembolso'라는 가짜 앱을 제공합니다. 사용자 경험(UX) 및 사용자 인터페이스(UI) 디자인은 신뢰할 수 있는 정부 서비스와 플레이 스토어 레이아웃을 모방하여 다운로드가 안전해 보이도록 설계되었습니다.
가짜 앱을 설치하면 악성코드가 여러 단계에 걸쳐 숨겨진 코드를 실행합니다. 암호화된 구성 요소를 사용하고 주요 악성 코드를 메모리에 직접 로드합니다. 기기에 눈에 보이는 파일이 없기 때문에 사용자가 의심스러운 활동을 감지하기 어렵습니다.
이 악성 프로그램은 보안 연구원들의 분석을 회피하기도 합니다. 휴대전화가 에뮬레이션 환경에서 실행 중인지 확인하고, 에뮬레이션 환경이 감지되면 작동을 멈춥니다.
설치가 성공적으로 완료되면 악성 프로그램은 계속해서 더 많은 악성 파일을 다운로드합니다. 그런 다음 가짜 구글 플레이 스토어 화면을 표시하고, 거짓 업데이트 알림을 띄워 사용자가 업데이트 버튼을 누르도록 유도합니다.
해당 파일 중 하나는 ARM 장치용으로 컴파일된 XMRig의 변형인 암호화폐 채굴 프로그램입니다. 이 악성 프로그램은 공격자가 제어하는 인프라에서 채굴 페이로드를 가져와 복호화한 후 휴대폰에서 실행합니다. 페이로드는 감염된 기기를 공격자가 제어하는 채굴 서버에 연결하여 백그라운드에서 조용히 암호화폐를 채굴합니다.
이 악성 소프트웨어는 정교하며 무작정 암호화폐를 채굴하지 않습니다. SecureList의 분석에 따르면, 이 악성 소프트웨어는 배터리 충전량, 온도, 설치 기간, 그리고 휴대전화 사용 여부를 모니터링합니다. 채굴은 모니터링된 데이터에 따라 시작되거나 중지됩니다. 목표는 숨어서 탐지될 가능성을 최소화하는 것입니다.
안드로이드는 배터리 소모를 줄이기 위해 백그라운드 앱을 종료하지만, 악성 프로그램은 거의 소리가 나지 않는 오디오 파일을 반복 재생하여 이를 회피합니다. 마치 앱이 활발하게 사용되고 있는 것처럼 위장하여 안드로이드의 자동 종료 기능을 무력화하는 것입니다.
악성 프로그램은 명령 전송을 지속하기 위해 구글의 정식 서비스인 파이어베이스 클라우드 메시징을 사용합니다. 이를 통해 공격자는 감염된 기기에 새로운 명령을 보내고 활동을 쉽게 관리할 수 있습니다.
뱅킹 트로이목마는 USDT 송금을 표적으로 삼습니다
이 악성 프로그램은 단순히 코인을 채굴하는 것 이상의 기능을 수행합니다. 일부 버전은 특히 USDT 전송 중에 Binance 와 트러스트 월렛을 표적으로 삼는 뱅킹 트로이목마를 설치하기도 합니다. 실제 앱 위에 가짜 화면을 덧씌운 후, 지갑 주소를 공격자가 제어하는 주소로 조용히 바꿔치기합니다.
뱅킹 모듈은 크롬과 브레이브 같은 브라우저를 모니터링하고 다양한 원격 명령을 지원합니다. 이러한 명령에는 오디오 녹음, 화면 캡처, SMS 메시지 전송, 기기 잠금, 데이터 삭제 및 키 입력 기록 등이 포함됩니다.
최근의 다른 샘플들은 동일한 가짜 앱 배포 방식을 사용하지만 다른 페이로드를 설치합니다. 이들은 암시장에서 판매되는 원격 접속 도구인 BTMOB RAT을 설치합니다.
BTMOB는 서비스형 악성코드(MaaS) 생태계의 일부입니다. 공격자는 이를 구매하거나 임대할 수 있어 해킹 및 정보 탈취의 진입 장벽이 낮아집니다. 이 도구를 사용하면 화면 녹화, 카메라 접근, GPS trac, 자격dent탈취 등 시스템에 대한 더욱 강력한 접근 권한을 얻을 수 있습니다.
BTMOB는 온라인에서 활발하게 홍보되고 있습니다. 한 공격자는 유튜브에 악성코드 데모 영상을 공유하여 감염된 기기를 제어하는 방법을 보여주었습니다. 판매 및 지원은 텔레그램 계정을 통해 이루어집니다.
SecureList는 알려진 피해자가 모두 브라질에 있다고 밝혔습니다. 또한 일부 새로운 변종은 WhatsApp 및 기타 피싱 페이지를 .
이처럼 정교한 해킹 공격은 모든 것을 검증하고 아무것도 믿지 말아야 한다는 점을 다시 한번 상기시켜 줍니다.
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다 .
