사이버 범죄자들이 스마트폰 원격 제어를 위한 'Hook' 안드로이드 악성코드를 판매하고 있습니다

사이버 보안

ThreatFabric의 보고서에 따르면, ‘Hook’이라는 이름의 안드로이드 악성코드가 사이버 범죄자들에 의해 판매되고 있으며, 이들은 이 악성코드가 가상 네트워크 컴퓨팅(VNC)을 사용하여 스마트폰을 실시간으로 원격 제어할 수 있다고 자랑하고 있습니다.

가상 네트워크 컴퓨팅은 다른 컴퓨터를 원격으로 제어하기 위한 크로스 플랫폼 화면 공유 시스템입니다.

계속해서, 이 악성코드는 Ermac의 제작자들에 의해 홍보되고 있으며, 공격자들에게 월 5,000달러에 판매되고 있습니다. 이는 그들이 오버레이 로그인 페이지를 사용하여 은행 및 암호화폐 앱에서 정보를 훔치는 데 도움을 줍니다.

이 악성코드는 다음 패키지 이름을 통해 구글 크롬 APK로 배포되고 있습니다: “ com.lojbiwawajinu.guna “, “ com.damaariwonomivi.docebi “, “ com.yecomevusaso.pisifo “.

그렇다고 하더라도, 악성코드의 제작자는 새로운 악성코드 ‘Hook’이 처음부터 작성되었다고 주장하지만, 보안 회사에 따르면 두 개의 안드로이드 악성코드의 상당한 코드가 서로 겹쳐져 있으며, ‘Hook’은 이전 악성코드에 비해 추가 기능을 가지고 있습니다.

또한, 보안 회사는 이 악성코드가 여전히 대부분의 Ermac 코드를 포함하고 있다고 언급하며, 따라서 여전히 은행 악성코드로 남아 있지만, 이전 변종에서 발견된 일부 쓸모없는 부분이 있어 코드가 대량으로 재사용되고 있음을 보여줍니다.

그런 의미에서, ‘Hook’ 안드로이드 악성코드는 Ermac의 진화된 버전이며, 안드로이드 사용자에게 매우 위험한 위협이 되는 광범위한 기능을 가지고 있습니다.

‘Hook’이 Ermac보다 가지고 있는 기능 중 하나는 HTTP 트래픽에 추가로 제공되는 WebSocket 통신입니다. 사용되는 네트워크는 여전히 AES-256-CBC 하드코딩된 키로 암호화되어 있습니다.

그것뿐만 아니라, 이 악성코드의 주요 기능은 VNC로, 위협 공격자가 감염된 스마트폰의 인터페이스와 실시간으로 통신할 수 있게 해줍니다. 이를 통해 악성코드는 개인 식별 정보(PII)에서 금전 거래에 이르기까지 손상된 장치에서 모든 작업을 수행할 수 있습니다.

Hook 제작자가 가상 네트워크 컴퓨팅 시스템을 홍보하는 모습

ThreatFabric에 따르면, 이 안드로이드 악성코드는 전체 데이터 전송 객체(FDT)를 수행하고 PII 유출에서 거래에 이르는 전체 사기 체인을 실행할 수 있는 악성코드 목록에 포함되어 있으며, 모든 중간 단계와 추가 채널 없이 가능합니다.

이로 인해 공격을 감지하기가 어려워지며, 이는 Ermac과 유사한 것 외에 악성코드가 실행할 수 있는 새로운 명령입니다.

이러한 명령 외에도, 파일 관리자 명령은 악성코드를 파일 관리자로 변환하고 공격자는 파일 관리자에 저장된 모든 파일의 기록을 얻고 원하는 파일을 다운로드할 수 있습니다.

잠깐, 더 있습니다; 보안 회사가 발견한 또 다른 명령은 Whatsapp과 관련이 있으며, 이는 악성코드가 Whatsapp의 모든 메시지를 기록하고 공격자가 피해자의 계정에서 메시지를 보낼 수 있게 해줍니다.

마지막으로, 지리 위치 추적 메커니즘은 악성코드가 ‘정확한 위치 접근’ 권한을 악용하여 피해자의 위치를 파악할 수 있도록 도와줍니다.

피해자의 정확한 위치 추적

Hook이 타겟으로 삼은 은행 앱 사용자들이 있는 국가는 스페인, 호주, 폴란드, 캐나다, 영국, 프랑스, 이탈리아, 터키, 포르투갈, 미국입니다. 여기서 중요한 점은 ‘Hook’이 전 세계를 대상으로 한다는 것입니다.

안드로이드 악성코드가 타겟으로 삼은 국가별 은행 앱

또한, ThreatFabric은 관심 있는 사람들을 위해 타겟으로 삼은 모든 앱을 나열했습니다.

읽기: 해커들이 엔지니어의 감염된 2FA 지원 SSO를 통해 CircleCi 시스템을 침해하다