Godfather 모바일 악성코드

악명 높은 안드로이드 악성코드 '갓파더(Godfather)'의 새롭게 강화된 버전이 사이버 보안 업계에 파장을 일으키고 있습니다. 감염된 기기에 격리된 가상 환경을 구축하는 이 은밀한 악성코드는 이제 합법적인 뱅킹 앱으로 위장한 채 실시간 감시, 신원 도용, 금융 사기를 가능하게 합니다.

실제 도난을 위한 가상 세계

업그레이드된 Godfather 맬웨어는 겉보기에 무해해 보이는 APK 파일에 내장된 가상화 프레임워크를 사용합니다. 설치되면 뱅킹, 암호화폐, 전자상거래 플랫폼을 포함한 500개 이상의 잠재적인 표적 앱의 존재 여부를 확인하고 이를 가상 환경으로 옮깁니다. 이러한 설정은 2023년 FjordPhantom이 사용한 전략을 모방하지만, 그 범위와 정교함 면에서 훨씬 뛰어납니다.

표준 Android 맬웨어와 달리 Godfather는 가상화를 활용하여 제어된 컨테이너 내에서 대상 앱을 실행하여 다음을 지원합니다.

• 실시간 자격 증명 도용 및 백엔드 응답 차단
• 합법적인 앱의 원활한 시각적 모방
• 안드로이드 내장 보안 메커니즘 회피

StubActivity를 통한 보이지 않는 인수

이러한 사기 수법의 핵심은 악성코드 내부의 플레이스홀더인 StubActivity를 사용하는 것입니다. StubActivity는 실제 UI나 자체 로직을 노출하지 않고 가상화된 앱을 실행합니다. 피해자가 합법적인 뱅킹 앱에 접근하려고 하면, Godfather는 접근성 서비스 권한을 사용하여 해당 동작을 가로채 가상 컨테이너로 리디렉션합니다. 이를 통해 실제 앱 인터페이스를 표시하고 사용자 상호작용을 완전히 제어할 수 있습니다.

이 트릭은 PIN 입력에서 거래 확인까지 모든 민감한 작업을 모니터링하고 해킹하는 동시에 안드로이드가 안전한 애플리케이션을 실행하고 있다고 생각하게 만듭니다.

후드 아래: 도구 및 기술

복잡한 작업을 수행하기 위해 Godfather는 오픈 소스 기술과 뛰어난 엔지니어링을 결합했습니다.

VirtualApp 엔진 – 격리된 컨테이너 생성을 지원합니다.

Xposed Framework – Android API에 연결하여 입력과 응답을 기록합니다.

의도 스푸핑 – 합법적인 앱에 대한 명령을 하이재킹하여 다른 경로로 전송합니다.

가상 파일 시스템 및 프로세스 ID – 원활한 환경 복제를 지원합니다.

중요한 순간에 맬웨어는 가짜 잠금 화면이나 업데이트 화면을 겹쳐 사용자에게 중요한 자격 증명을 입력하도록 요구한 다음, 이 자격 증명을 공격자에게 유출합니다.

회고: 대부의 진화

Godfather는 2021년 3월에 처음 등장한 이후 크게 진화했습니다. 2022년 12월 변종에서는 HTML 오버레이 공격을 통해 16개국 400개 앱을 표적으로 삼았습니다. 그러나 현재 버전은 완전 가상화를 도입하여 전 세계 500개 이상의 앱으로 범위를 확장했습니다. 최근 공격은 터키 은행 12곳에 집중된 것으로 보이지만, 전 세계로 확장할 수 있는 인프라는 이미 구축되어 있습니다.

보호를 유지하는 방법

Godfather와 같은 첨단 위협의 희생자가 될 위험을 줄이려면 사용자는 다음과 같은 사이버 보안 모범 사례를 따라야 합니다.

• 안전하게 다운로드하세요
• Google Play나 신뢰할 수 있는 출처에서만 앱을 설치하세요.
• 게시자가 평판이 좋고 검증되지 않은 이상 APK를 사이드로딩하지 마세요.
• 앱 경계 연습
• Google Play Protect를 활성화해 두세요.
• 앱 권한, 특히 접근성 서비스에 대한 요청을 모니터링합니다.
• 예상치 못한 잠금 화면이나 업데이트 메시지가 나타나면 의심하세요.

최신 버전의 Godfather는 악성 활동과 정상적인 앱 활동의 경계를 모호하게 만드는 더욱 정교한 모바일 위협으로의 전환을 예고합니다. 최신 정보를 파악하고 주의를 기울이는 것이 최전선의 방어선입니다.