SMS 스틸러 모바일 악성코드
Android 기기를 겨냥한 글로벌 사이버 공격은 수천 대의 Telegram 봇을 사용하여 SMS를 훔치는 악성 코드를 확산시키고 600개 이상의 서비스에 대한 일회성 2FA 비밀번호(OTP)를 캡처합니다. 연구원들은 2022년 2월부터 이 작업을 모니터링해 왔으며 이 캠페인과 연결된 최소 107,000개의 고유한 악성 코드 샘플을 식별했습니다. 공격자는 금전적인 인센티브를 노린 것으로 보이며, 인증을 용이하게 하고 익명성을 강화하기 위해 손상된 장치를 사용할 가능성이 높습니다.
목차
수천 대의 텔레그램 봇이 SMS 스틸러 악성코드를 확산시킵니다.
SMS를 훔치는 악성 코드는 악성 광고와 피해자와의 통신을 자동화하는 텔레그램 봇이라는 두 가지 주요 방법을 통해 확산됩니다.
첫 번째 방법에서는 피해자가 가짜 Google Play 페이지로 연결되는데, 이 페이지에서는 합법적인 것처럼 보이도록 부풀려진 다운로드 번호를 표시하고 피해자의 신뢰를 얻습니다.
Telegram에서 봇은 불법 복제된 Android 애플리케이션을 제공하고 APK 파일을 제공하기 전에 피해자의 전화번호를 요청합니다. 이 번호는 봇이 맞춤형 APK를 생성하는 데 사용되며, 이를 통해 맞춤형 추적이나 향후 공격이 가능해집니다.
이 작업은 다양한 Android APK를 배포하기 위해 약 2,600개의 Telegram 봇을 사용하며 모두 13개의 명령 및 제어(C2) 서버에서 관리됩니다. 영향을 받은 개인의 대다수는 인도와 러시아에 있지만 브라질, 멕시코 및 미국에서도 상당한 숫자가 보고되었습니다.
위협 행위자가 피해자로부터 자금을 창출하는 방법
악성코드는 가로챈 SMS 메시지를 'fastsms.su' 웹사이트의 API 엔드포인트로 보냅니다. 이 사이트는 사용자가 익명성을 보장하고 온라인 플랫폼에서 인증할 수 있는 다양한 국가의 '가상' 전화번호를 제공합니다. 피해자가 모르는 사이에 손상된 장치가 이 서비스에 의해 사용되고 있을 가능성이 높습니다. 이 악성코드는 Android 기기에 부여된 SMS 액세스 권한을 활용하여 계정 등록 및 2단계 인증에 필요한 OTP를 캡처합니다.
피해자의 경우 모바일 계정에 무단 요금이 청구될 수 있으며, 기기 및 전화번호를 추적하여 불법 활동에 연루될 가능성이 있습니다. 전화번호 오용을 방지하려면 Google Play 외부 소스에서 APK 파일을 다운로드하지 말고, 관련 없는 기능이 있는 앱에 불필요한 권한을 부여하지 말고, 기기에서 Play Protect가 활성화되어 있는지 확인하세요.
SMS 스틸러 작전의 공격 흐름
피해자는 합법적인 앱 스토어를 모방한 오해의 소지가 있는 광고나 대상과 직접 상호 작용하는 자동화된 텔레그램 봇을 통해 사기성 애플리케이션을 설치하도록 유도됩니다(자세한 내용은 아래 참조).
권한 요청 – 액세스 권한 얻기
사기성 애플리케이션이 설치되면 중요한 개인 데이터에 액세스할 수 있는 Android의 고위험 기능인 SMS 읽기 권한을 요청합니다. 합법적인 앱은 특정 기능을 위해 SMS 권한이 필요할 수 있지만 이 앱의 요청은 피해자의 비공개 문자 메시지를 수집하도록 설계되었습니다.
명령 및 제어 서버 검색 – 마스터에 연결
그런 다음 위협은 C&C(명령 및 제어) 서버에 연결하여 작업을 지시하고 수집된 데이터를 수집합니다. 처음에 악성코드는 C&C 서버 주소를 얻기 위해 Firebase를 사용했지만 이후 Github 저장소를 사용하거나 앱 내에 직접 주소를 삽입하는 방식으로 발전했습니다.
C&C 커뮤니케이션 – 보고 및 데이터 업로드
C&C 서버 주소를 확보한 후 감염된 장치는 해당 주소에 연결합니다. 이는 두 가지 목적으로 사용됩니다. 1) 악성코드는 서버에 활성 상태를 알리고, 2) 귀중한 OTP 코드를 포함하여 훔친 SMS 메시지를 보내는 채널을 생성합니다.
OTP 수확 – 비밀 수집가
마지막 단계에서 악성코드는 수신되는 SMS 메시지를 자동으로 모니터링하여 탐지되지 않은 채 온라인 계정 확인에 사용되는 OTP를 가로채는 데 중점을 둡니다.
