제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

약 300개에 달하는 가짜 앱의 홍수로 이란 은행 부문에 홍수 발생

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 184

이란의 은행 부문을 표적으로 삼는 대규모 캠페인이 최근 몇 달 동안 규모가 커졌으며, 거의 300개에 달하는 악성 Android 앱이 사용자의 계정 자격 증명, 신용 카드, 암호화폐 지갑을 표적으로 삼았습니다.

XNUMX개월 전, Sophos의 연구원들은 긴 캠페인을 자세히 설명했습니다. 40명이 참여 악성 뱅킹 앱 자신도 모르게 고객의 자격 증명을 수집하도록 설계되었습니다. 해커들은 이슬람 공화국의 가장 중요한 금융 기관 중 XNUMX개(Bank Mellat, Bank Saderat, Resalat Bank, Central Bank of Iran)를 모방하여 피해자의 휴대폰에 모방 앱을 설치하고 숨기고 로그인 정보를 수집하며 SMS 메시지를 가로챌 수 있었습니다. 일회용 비밀번호, 신용 카드를 포함한 민감한 금융 정보 도용.

분명히 그것은 오프닝 일제 사격이었습니다. ㅏ Zimperium의 새 블로그 게시물 명확하게 진행 중인 동일 캠페인과 관련된 앱이 245개 더 공개되었으며, 그 중 28개는 이전에 VirusTotal에 기록되지 않았습니다.

그리고 이 새로운 보물은 더 커졌을 뿐만 아니라, 처음 40개보다 더 다양하고 정교해졌으며, 새로운 종류의 표적과 은밀함과 끈기를 위한 전술을 갖추고 있습니다.

285 가짜 뱅킹 앱

여름 이후 발견된 245개의 새로운 앱은 40개의 새로운 이란 은행을 적극적으로 표적으로 삼아 원래의 XNUMX개 범위를 넘어 확장되었으며, 그들이 또 다른 XNUMX개의 은행을 노리고 있다는 일부 증거가 있습니다.

공격자들은 은행 외에도 Metamask, KuCoin 및 Coinbase와 같은 인기 있는 플랫폼을 포함하여 XNUMX개 암호화폐 플랫폼과 관련된 데이터를 조사하기 시작했습니다.

16개 은행과 XNUMX개 암호화폐 허브를 쉽게 표적으로 삼기 위해 공격자들은 무기고에 몇 가지 새로운 도구도 추가했습니다. 예를 들어, 인프라 중단을 피하기 위해 그들이 사용하는 작은 트릭 중 하나는 피싱 링크 배포만을 목적으로 하는 명령 및 제어 서버와 관련됩니다. 연구원들이 설명했듯이, 이를 통해 "다운될 위험 없이 서버 URL을 애플리케이션에 하드코딩할 수 있습니다."

그러나 그룹의 가장 주목할만한 새로운 전술은 앱이 접근성 서비스를 남용하는 방식입니다. 

Zimperium의 수석 과학자인 Nico Chiaraviglio는 "접근성 API를 사용하는 동안 프로그래밍 방식으로 UI 요소에 액세스할 수 있는 방법을 얻게 됩니다."라고 설명합니다. 그는 공격자가 사용자와 동일한 방식으로 장치와 눈에 보이지 않게 상호 작용하여 악의적인 영향을 미칠 수 있다고 설명합니다. 예를 들어, “그들은 위험한 권한(예: SMS 읽기)을 요청할 수 있으며 사용자에게 권한을 수락하라는 메시지가 표시되면 사용자가 알림을 보기도 전에 '수락'을 클릭합니다. 또는 사용자가 앱을 제거하려고 할 때 '취소'를 클릭하여 제거를 방지합니다.”

지금까지 가짜 앱은 Android 기기로 제한됨. 그러나 연구원들은 공격자의 소지품 중에서 은행 앱의 Apple App Store 페이지를 모방한 피싱 웹사이트를 발견했으며, 이는 가까운 시일 내에 해당 캠페인이 iPhone으로 확대될 수 있음을 나타냅니다.

그 일이 일어나기 오래 전에 캠페인은 수천 명에 이르렀을 것입니다. “텔레그램 채널 중 하나에서 얻은 정보를 바탕으로 우리는 수천 명의 피해자가 있다는 것을 알고 있습니다. 하지만 우리는 사용된 채널 중 하나만 액세스할 수 있었고(그 중 하나는 비공개이기 때문에) 과거에 다른 채널을 사용하지 않았다는 보장은 없습니다.” 

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.