카스퍼스키 GReAT팀은 브라질, 라틴 아메리카, 유럽의 금융 기관을 노리는 브라질 뱅킹 트로이목마 ‘Tetrade’를 발견한 지 4개월이 지난 후, 이 공격자들이 모바일 기기를 스파이웨어로 감염시키기 위한 전략을 추가했다고 전했다.

카스퍼스키 분석에 따르면, 브라질의 공격 그룹인 Guildma는 브라질, 파라과이, 페루, 포르투갈, 독일, 앙골라, 모잠비크 등의 은행, 핀테크회사, 거래소, 가상화폐 앱을 노리는 안드로이드 뱅킹 트로이목마인 ‘Ghimob’을 배포했다고 밝혔다.

Ghimob은 완전한 기능을 갖춘 모바일 스파이다. 일단 감염되면, 해커는 기기에 원격으로 접근해 피해자의 스마트폰에서 사기 거래를 수행할 수 있다. 기기 식별, 금융 기관이 구현한 보안 장치, 시스템의 사기 방지 장치를 우회하는 것도 가능하다.

Guildma와 동일한 인프라를 공유하는 것 외에도 Ghimob은 피싱 이메일을 통해 악성코드를 배포해 사용자가 Ghimob APK 인스톨러를 다운로드하는 악성 URL을 클릭하도록 유도한다.

일단 이 트로이목마가 설치되면 다른 모바일 RAT과 상당히 유사한 행동을 한다.

이는 앱 아이콘을 숨겨 자신의 존재를 숨기고, 지속성을 위해 안드로이드의 접근성 기능을 악용하며, 수동 언인스톨을 비활성화하고, 뱅킹 트로이목마가 키 입력을 캡쳐하고, 스크린 내용을 조작하고 공격자가 원격으로 기기를 완전히 제어할 수 있도록 한다.

사용자의 폰에 화면 잠금 패턴이 설정되어 있더라도, Ghimob은 이를 기록하고 추후 재생해 기기의 잠금을 해제할 수 있는 것이다.

Ghimob은 모바일 앱 총 153개를 공격한다. 이 중 112개는 브라질의 금융 관련 기관이며 나머지는 독일, 포르투갈, 페루, 파라과이, 앙골라, 모잠비크의 가상화폐 및 뱅킹 앱이다.

이 트로이목마는 여러 국가에서 운영되는 은행, 핀테크, 거래소, 가상화폐 거래소와 금융 기관의 신용카드의 자격 증명을 훔칠 준비를 철저히 한 것으로 분석됐다.

★정보보안 대표 미디어 데일리시큐!★