암호화폐 지갑 정보를 노리는 280개의 악성 안드로이드 앱 발견

보안 연구원들이 광학 문자 인식을 사용해 암호화폐 지갑 자격 증명을 탈취하는 280개 이상의 악성 안드로이드 앱을 발견했습니다.

목차

• 1. 소개
• 2. 악성 캠페인의 주요 특징
  • 2-1. 광학 문자 인식의 사용
  • 2-2. 데이터 탈취 방법
• 3. 높은 수준의 정교함
  • 3-1. 서버 측 처리 방식
  • 3-2. 업데이트 및 난독화
• 4. 권장 사항

1. 소개

최근 보안 연구자들이 280개 이상의 악성 안드로이드 앱을 발견했습니다. 이 앱들은 실제로는 금융 기관, 정부 서비스, TV 스트리밍 서비스, 공공 서비스 등을 사칭하여 사용자들로부터 데이터를 탈취하고 있습니다. 특히 이 앱들은 웹사이트를 통해 제공되거나 피싱 메시지를 통해 배포되며, Google Play 스토어에는 존재하지 않습니다.

2. 악성 캠페인의 주요 특징

이 새로운 악성 캠페인의 가장 눈에 띄는 점은 바로 광학 문자 인식(OCR) 소프트웨어를 사용해 암호화폐 지갑의 자격 증명을 탈취하려 한다는 점입니다.

2-1. 광학 문자 인식의 사용

OCR은 이미지를 텍스트로 변환하는 기술로, 인쇄된 텍스트나 손으로 쓴 텍스트를 기계가 읽을 수 있는 형태로 바꿀 수 있습니다. 이러한 기술을 사용함으로써 공격자들은 사용자 기기에 저장된 이미지에서 암호화폐 지갑 자격 증명을 훔칠 수 있습니다.

2-2. 데이터 탈취 방법

앱은 문자 메시지, 연락처, 저장된 이미지를 모두 원격 서버로 전송합니다. McAfee의 연구원 SangRyol Ryu는 서버의 보안 구성이 약한 덕분에 데이터를 분석할 수 있었으며, 이에 따라 많은 사용자의 암호화폐 자격 증명이 탈취되었음을 확인했습니다.

3. 높은 수준의 정교함

이 악성 앱들은 다양한 방법을 사용하여 데이터를 예외적으로 정교하게 관리합니다. 서버 측에서는 Python과 JavaScript를 활용해 이미지를 텍스트로 변환하고 관리하는 패널을 운영합니다.

3-1. 서버 측 처리 방식

서버 측에서는 Python 및 JavaScript를 사용하여 데이터를 처리하며, 관리 패널을 통해 데이터를 구성하고 관리합니다. 이는 공격자들이 탈취한 정보를 처리하는 데 매우 높은 정교함을 보인다는 것을 의미합니다.

3-2. 업데이트 및 난독화

이 악성 앱들은 시간이 지남에 따라 여러 차례 업데이트되었으며, 초기에는 HTTP를 사용해 통신했지만, 지금은 보안 소프트웨어가 분석하기 어려운 WebSockets를 사용합니다. 또한, 코드의 문자열을 인코딩하여 난독화하는 등 분석을 더욱 어렵게 만들고 있습니다.

4. 권장 사항

이러한 악성 안드로이드 앱들은 매우 정교하게 설계되어 사용자 기기에서 민감한 정보를 탈취합니다. 사용자는 이러한 앱을 다운로드하지 않도록 주의해야 하며, McAfee의 게시물에서 관련 웹사이트와 암호화 해시 목록을 확인하여 피해를 예방할 수 있습니다.

특히 이 악성 코드가 한국 외에도 영국으로 확산되고 있다는 점은 주의해야 할 사항입니다. 사용자들은 항상 앱을 다운로드할 때 신뢰할 수 있는 출처를 확인하고, 보안 소프트웨어를 최신 상태로 유지하는 것이 중요합니다. 만약 의심스러운 앱을 설치한 경우 즉시 삭제하고 보안 전문가와 상담하는 것이 좋습니다.