엘리보미 안드로이드 악성코드

사이버 범죄자들의 실시간 공격에 사용되는 새로운 피싱 Android 맬웨어 제품군이 발견되었습니다. 위협은 엘리보미(Elibomi)라고 명명한 연구원들에 의해 발견되었습니다. 위협은 사회 공학 전술과 가짜 Android 애플리케이션에 의존하여 피해자로부터 정보를 수집하고 해커가 제어하는 서버로 유출합니다.

첫 번째 엘리보미 공격

엘리보미 위협과 관련된 첫 번째 공격은 2020년 말에 발생했습니다. 위협 행위자는 피해자의 기기에 가짜 'IT 인증서' 애플리케이션을 전달했습니다. 무기화된 애플리케이션은 존재하지 않는 서버로 장치를 검증하는 척하는 IT 인증서 관리 모듈을 모방했습니다. 응용 프로그램은 SMS 권한과 관리자 권한을 요청합니다. 후자는 제거 시도를 더 어렵게 만들기 위해 남용될 가능성이 있습니다. 피해자에게 가상의 '보안 스캔'이 제공되는 동안 백그라운드에서 애플리케이션은 이메일, 전화번호, 저장된 SMS/MMS 메시지 등과 같은 민감한 정보를 수집합니다.

두 번째 엘리보미 공격

엘리보미 위협을 배포한 보다 최근의 캠페인은 인도 납세자를 대상으로 했습니다. 해커는 가짜 응용 프로그램의 ID를 바꿨고 이제는 세금 신고 응용 프로그램으로 표시되었습니다. 공격은 인도 소득세 부서에서 보낸 것으로 사칭하는 표적 SMS 메시지를 유포하는 것으로 시작됩니다. 보다 합법적으로 보이도록 미끼 메시지에는 대상 개인의 이름이 언급됩니다. 이 단계의 목표는 피해자가 소득세 환급에 대한 긴급 업데이트가 있다는 허위 정보 아래 제공된 링크를 클릭하도록 하는 것입니다.

손상된 링크는 다시 인도 소득세 부서에 속한다고 주장하는 피싱 페이지로 연결됩니다. 피싱 페이지는 사용자가 Elibomi 위협을 비밀리에 운반하는 애플리케이션을 다운로드하도록 안내합니다. 위협적인 애플리케이션의 패키지 이름은 random word.random string.imobile 패턴에 따라 명명됩니다. infosec 연구원은 가짜 로그인 페이지만 보여주는 가짜 응용 프로그램의 여러 버전이 배포되는 반면 가짜 등록 및 세금 환급 요청에 대한 옵션이 있는 버전도 있음을 발견했습니다.

Elibomi 위협은 손상된 장치에서 민감한 데이터와 피해자로부터 끌어낼 수 있는 모든 금융 정보를 다시 캡처합니다. 이메일, 전화번호, SMS/MMS 메시지, 금융 데이터 및 개인 식별 정보를 얻을 수 있습니다. 이상하게도 수집된 데이터는 인터넷에 공개된 서버에 업로드되어 피해자의 정보를 대중에게 효과적으로 노출했습니다. 해커는 자신의 실수가 발견되어 수집된 정보를 더 이상 사용할 수 없음을 알아차렸을 수 있습니다.