AppLite Banker 모바일 맬웨어

사이버 보안 전문가들은 Antidot 뱅킹 트로이 목마의 업데이트된 변형을 배포하는 것을 목표로 한 정교한 피싱 계획을 밝혀냈습니다. 모바일 피싱(또는 미싱) 캠페인으로 운영되는 공격자는 매력적인 취업 기회를 제공하는 채용 담당자로 위장합니다.

사악한 의도를 은폐하는 구인 제안

합법적인 채용 프로세스의 일부인 것처럼 가장한 공격자는 피해자를 속여 사기성 애플리케이션을 다운로드하게 합니다. 이 위협적인 애플리케이션은 드롭퍼 역할을 하며 합법적인 소프트웨어라는 명목으로 피해자의 기기에 Antidot Banker의 새로운 변종을 전달합니다.

AppLite Banker 소개: 위장한 위협

보안 연구자들이 AppLite Banker라는 코드명으로 명명한 업데이트된 맬웨어는 고급 기능을 자랑합니다. PIN, 패턴 또는 비밀번호와 같은 장치 잠금 해제 자격 증명을 추출하고 감염된 장치를 원격으로 제어할 수 있습니다. 이러한 기능은 TrickMo와 같은 유사한 위협에서 볼 수 있는 전술을 반영합니다.

사회공학과 일자리 계획

공격자는 수익성 있는 일자리 기회를 약속하며 피해자를 유인하기 위해 사회 공학적 전술을 사용합니다. 예를 들어, 2024년 9월 피싱 캠페인은 캐나다 회사인 Teximus Technologies를 사칭하여 매력적인 시급과 경력 성장 잠재력을 갖춘 원격 고객 서비스 역할을 제공한다고 주장했습니다. 이러한 '채용 담당자'와 거래하는 피해자는 피싱 사이트에서 안전하지 않은 애플리케이션을 다운로드하도록 지시받으며 맬웨어 설치 프로세스를 시작합니다.

가짜 애플리케이션 및 피싱 도메인

직원 CRM 도구로 위장한 유해한 애플리케이션은 사기성 도메인 네트워크를 통해 배포됩니다. 이러한 드로퍼 앱은 ZIP 파일을 조작하고 보안 방어를 우회하여 교묘하게 탐지를 피합니다. 피해자는 계정을 등록하고 가짜 애플리케이션 업데이트를 설치하라는 메시지를 받는데, 표면적으로는 '휴대폰을 보호하기 위해'입니다. 그런 다음 가정된 업데이트가 위조된 Google Play Store 인터페이스를 통해 전달되어 맬웨어 배포가 완료됩니다.

유해한 활동을 위한 접근성 기능 활용

이전 버전과 마찬가지로 AppLite Banker 애플리케이션은 Android Accessibility Services 권한을 남용합니다. 이 액세스를 통해 화면을 오버레이하고, 권한을 자체 부여하고, 기타 유해한 활동을 수행할 수 있습니다.

주요 기능은 다음과 같습니다.

• 화면 오버레이를 통해 Google 계정 자격 증명을 훔칩니다.
• 화면 밝기, 기본 앱 등의 기기 설정을 수정합니다.

감염된 장치에 대한 확장된 제어

최신 버전에서는 다음을 포함하여 위협 수준을 높이는 기능이 도입되었습니다.

• 원격 서버 지침에 따라 통화를 차단하고 SMS 메시지를 숨깁니다.
• 172개 은행, 암호화폐 지갑, Facebook과 Telegram과 같은 소셜 미디어 플랫폼에 가짜 로그인 페이지를 제공합니다.
• 키로깅, SMS 도용, 콜 포워딩, 가상 네트워크 컴퓨팅(VNC)을 사용하여 원격으로 장치를 조작할 수 있습니다.

글로벌 타겟 고객층

이 캠페인은 다양한 지역의 사용자, 특히 영어, 스페인어, 러시아어, 프랑스어, 독일어, 이탈리아어, 포르투갈어 등의 언어에 능통한 사용자를 타겟으로 하는 것으로 보입니다.

선제적 방어가 핵심입니다

이 위협의 정교한 본질과 광범위한 영향을 감안할 때, 견고한 보호 조치를 구현하는 것이 중요합니다. 사용자는 요청하지 않은 구인 제의나 외부 애플리케이션을 설치하라는 메시지를 받을 때 주의해야 합니다. 경계를 늦추지 않고 모바일 보안을 우선시하면 잠재적인 데이터 및 재정적 손실을 방지하는 데 도움이 될 수 있습니다.