다중 라이센스 할인 견적
위협 데이터베이스 모바일 맬웨어 고스트챗 모바일 악성코드

고스트챗 모바일 악성코드

모바일 맬웨어년에 Mezo 년까지
번역 :

GhostChat은 채팅 또는 데이트 플랫폼으로 위장한 악성 안드로이드 애플리케이션으로, 실제로는 스파이웨어로 작동합니다. 이 프로그램의 주된 목적은 감염된 기기에서 개인 정보를 수집하는 것입니다. 분석 결과, 파키스탄 사용자들이 주요 공격 대상인 것으로 나타났습니다. 기기에서 이 애플리케이션을 발견하면 즉시 삭제하는 것이 좋습니다. 앱이 계속 남아 있을 경우 데이터 유출 및 더 광범위한 보안 침해 위험이 크게 증가합니다.

기만적인 온보딩 및 가짜 인증

GhostChat은 설치 후 기기 권한을 강압적으로 요구합니다. 권한을 허용하면 유효한 자격 증명을 입력해야 하는 것처럼 보이는 로그인 화면이 나타납니다. 하지만 이 과정은 완전히 사기입니다. 인증 정보는 정식 백엔드 서비스를 통해 검증되는 것이 아니라 애플리케이션 내부에 하드코딩되어 있기 때문입니다. 로그인 단계는 단지 인증이 된 것처럼 보이게 하기 위한 속임수에 불과합니다.

조작적인 사용자 상호작용 및 WhatsApp 리디렉션

가짜 로그인 후, 앱은 사진, 이름, 나이가 포함된 수많은 여성 프로필을 표시합니다. 하지만 실제로는 이러한 프로필에 접근할 수 없습니다. 프로필과 상호 작용하려고 하면 '잠금 해제 코드'를 입력하라는 메시지가 나타납니다. 각 프로필은 특정 WhatsApp 번호와 연결되어 있으며, 예상되는 코드를 입력하면 앱이 자동으로 WhatsApp을 열고 해당 번호로 대화를 시작하게 되어 로맨스 사기 및 사회 공학적 수법에 악용될 수 있습니다.

은밀한 감시와 지속적인 데이터 유출

GhostChat은 실행되는 순간부터, 심지어 로그인 단계 이전부터 백그라운드에서 악성 작업을 수행합니다. 기기 활동을 모니터링하고 수집된 정보를 원격 명령 및 제어(C2) 서버로 전송합니다. 이 악성 프로그램은 주기적으로 기기를 스캔하여 새로운 콘텐츠를 감지하고, 사진을 자동으로 업로드하며, 5분마다 새로 생성되거나 저장된 문서를 확인합니다. 수집되는 데이터의 범위는 다음과 같습니다.

기기 식별자, 연락처 목록, 이미지 및 PDF, Word, Excel, PowerPoint 파일과 같은 문서

공유 인프라 및 데스크톱 감염 사슬

GhostChat C2 인프라는 추가적인 악성 구성 요소를 배포하는 데에도 사용됩니다. 그중 하나는 ClickFix와 관련된 DLL 파일로, 사용자가 조작된 지침을 따라 악성 프로그램을 직접 실행하도록 유도하는 기법입니다. 이 방법을 통해 위협은 모바일 기기를 넘어 데스크톱 시스템까지 확산될 수 있습니다.

신뢰할 수 있는 신원을 악용한 가짜 알림

ClickFix의 GhostChat 관련 캠페인은 오해의 소지가 있는 웹사이트와 가짜 보안 경고를 이용합니다. 관찰된 사례에 따르면 공격자는 파키스탄 컴퓨터 비상 대응팀(CERT)을 사칭하여 국가 기반 시설 및 정부 네트워크에 대한 위협을 암시하는 메시지를 표시합니다. 피해자는 '업데이트' 버튼을 클릭하도록 유도되는데, 이 버튼을 클릭하면 악성 DLL 파일이 다운로드 및 실행됩니다. 활성화된 DLL 파일은 컴퓨터 이름과 사용자 이름 등의 시스템 정보를 명령 서버로 전송하고, 추가 지시를 반복적으로 확인하며, PowerShell을 사용하여 수신된 명령을 실행합니다.

QR 코드를 이용한 WhatsApp 계정 탈취 사기

공격자들은 WhatsApp 사용자들을 대상으로 모바일 중심의 사기 행각을 벌이기도 합니다. 피해자들은 파키스탄 국방부와 연관된 것처럼 위장한 사기 웹사이트로 유인되어 가짜 커뮤니티에 가입하도록 유도됩니다. 제공된 QR 코드를 스캔하면 피해자의 WhatsApp 계정이 공격자의 통제 하에 있는 WhatsApp 웹 또는 데스크톱 버전에 연결됩니다. 이를 통해 공격자는 채팅 및 연락처에 대한 완전한 접근 권한을 얻게 되어 사용자가 즉시 인지하지 못하는 사이에 계정을 탈취할 수 있습니다.

유통 전략 및 위험 완화

GhostChat은 공식 앱 마켓플레이스 외부에서만 배포됩니다. 데이트 또는 메시징 앱으로 위장하여 홍보되며, 로맨스 사기 수법을 사용하여 사용자가 APK 파일을 직접 설치하고 출처를 알 수 없는 곳에서 설치를 허용하도록 유도합니다. 설치가 완료되면 악성 프로그램은 즉시 권한을 요청하고 은밀한 스파이 활동을 시작합니다. 이러한 조직적인 공격은 소셜 엔지니어링, 스파이웨어, 계정 탈취를 결합하여 모바일 및 데스크톱 환경 모두를 위협합니다. 원치 않는 링크, 경고성 팝업, 비공식 앱, 그리고 예상치 못한 QR 코드에 대한 경계는 개인 데이터와 사용자 계정을 보호하는 데 매우 중요합니다.

트렌드

IT 보안 보호 이메일 사기

피싱, 스팸
긴급한 보안 문제를 주장하는 예상치 못한 이메일은 항상 주의해야 합니다. 사이버 범죄자들은 종종 공포심과 긴급성을 악용하여 사용자들이 값비싼 실수를 저지르도록 유도합니다. 소위 'IT 보안 보호' 이메일은 이러한 수법의 대표적인 예입니다. 이러한 메시지는 어떠한 합법적인 회사, 조직 또는 단체와도 관련이 없으며, 오로지 수신자를 속여 민감한 정보를 빼내기 위해 고안되었습니다. IT 지원으로 위장한 기만적인 메시지 IT 보안 보호 이메일 사기는 마치 내부 IT 보안팀에서 보낸 것처럼 위장합니다. 수신자는 비밀번호 만료가 임박했거나 계정이 위험에 처했다는 경고를 받게 됩니다. 메시지는 '접근 권한 유지' 또는 '계정 문제 방지'를 위해 즉각적인 조치를 취하도록...

다중 발신자 에어드롭 사기

불량 웹사이트
웹 서핑 시 항상 주의를 기울이는 것은 더 이상 선택 사항이 아니라 필수 사항입니다. 위협 행위자들은 신뢰를 악용하고 귀중한 데이터나 자산을 훔치기 위해 합법적인 플랫폼, 브랜드 및 서비스를 모방한 기만적인 수법을 끊임없이 고안해냅니다. 이러한 위험은 특히 암호화폐 생태계에서 두드러지게 나타나는데, 단 한 번의 부주의한 상호 작용으로 돌이킬 수 없는...

PDFSIDER 악성코드

멀웨어, 지능형 지속 위협(APT), 백도어
PDFSIDER는 표적 시스템에 침투하여 공격자에게 지속적인 원격 접근 권한을 부여하도록 설계된 악성 백도어입니다. 활성화되면 정상적인 파일로 위장하고 DLL 사이드 로딩이라는 기법을 이용하여 보안 제어를 우회합니다. 시스템 침투에 성공하면 즉시 시스템 정보를 수집하고 원격 명령 실행을 가능하게 합니다. PDFSIDER가 탐지된 경우, 공격자에게 높은...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
40,807
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
31,602
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
30,467
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
로드 중...