SpyAgent 모바일 맬웨어

SpyAgent로 알려진 새로운 모바일 맬웨어 캠페인이 한국의 안드로이드 사용자를 대상으로 시작되어, 니모닉 키를 위해 장치 이미지를 스캔하여 독특한 위협을 가하고 있습니다. 연구자들은 그 범위가 확대되어 이제 영국의 사용자도 영향을 받고 있다고 지적했습니다.

이 멀웨어는 합법적인 것처럼 보이는 가짜 안드로이드 애플리케이션을 통해 배포되며, 은행, 정부, 스트리밍 및 유틸리티 애플리케이션을 모방합니다. 올해 초부터 이 캠페인과 관련하여 280개 이상의 사기성 애플리케이션이 확인되었습니다.

SpyAgent는 데이터 수집을 위한 정교한 기능을 시연합니다.

공격은 사용자에게 사기성 웹사이트에서 APK 파일로 애플리케이션을 다운로드하도록 유도하는 안전하지 않은 링크가 포함된 SMS 메시지로 시작됩니다. 이러한 애플리케이션은 설치되면 연락처, SMS 메시지, 사진 및 기타 민감한 정보를 포함하여 장치의 데이터에 액세스하기 위한 침입적 권한을 요청한 다음 공격자가 제어하는 서버와 공유됩니다.

이 맬웨어의 가장 우려되는 기능 중 하나는 광학 문자 인식(OCR)을 사용하여 니모닉 키(사용자가 암호화폐 지갑에 대한 액세스를 복원할 수 있도록 하는 복구 문구)를 캡처하는 것입니다. 공격자가 이러한 키에 액세스할 수 있다면 피해자의 지갑을 제어하고 그 안에 저장된 모든 자금을 수집할 수 있습니다.

SpyAgent가 iOS 사용자를 타겟으로 삼는다는 징후

명령 및 제어(C2) 인프라에는 사이트의 루트 디렉토리에 대한 무제한 액세스 및 피해자 데이터 노출을 포함하여 심각한 보안 결함이 있었습니다. 서버에는 감염된 장치의 원격 제어를 가능하게 하는 관리자 패널도 있습니다. 특히, 시스템 언어가 간체 중국어('zh')로 설정된 iOS 15.8.2를 실행하는 Apple iPhone이 있다는 것은 iOS 사용자도 타깃이 될 수 있음을 시사합니다.

처음에 맬웨어는 기본 HTTP 요청을 통해 C2 서버와 통신했는데, 이는 효과적이기는 했지만 보안 도구가 탐지하고 차단하기 쉽게 만들었습니다. 그러나 전략적 전환으로 맬웨어는 이제 WebSocket 연결을 사용하여 C2 서버와 보다 효율적이고 실시간의 양방향 통신을 가능하게 하면서도 기존 HTTP 기반 모니터링 도구가 탐지하기 어렵게 만들었습니다.

모바일 기기는 여전히 사이버 공격의 주요 타겟으로 남아 있습니다.

2024년 초, 사이버 보안 전문가들은 CraxsRAT라는 새로운 안드로이드 원격 액세스 트로이 목마(RAT)를 발견했는데, 이는 적어도 2024년 2월부터 피싱 웹사이트를 통해 말레이시아의 은행 사용자를 표적으로 삼고 있습니다. CraxsRAT 캠페인이 싱가포르에서 2023년 4월 초에 이미 확인되었다는 점도 주목할 만합니다.

CraxsRAT는 Android 원격 관리 도구(RAT) 범주 내에서 잘 알려진 맬웨어 패밀리로, 원격 장치 제어 및 스파이웨어 기능과 같은 기능을 제공합니다. 여기에는 키로깅, 제스처 실행, 카메라, 화면 및 통화에서 비디오 녹화가 포함됩니다. CraxsRAT가 포함된 애플리케이션을 다운로드하는 사용자는 자격 증명 도용 및 자금 무단 인출에 직면할 수 있습니다.