보안연구원들은 브라질, 라틴 아메리카 및 유럽의 금융 기관을 표적으로 삼은 뱅킹 트로이 목마 “Tetrade”가 발견된지 4개월 후 공격자들이 스파이웨어로 장치를 감염시키기 위해 전략을 확장했다고 발표했다.

카스퍼스키의 GReAT에 따르면 브라질에 기반을 둔 위협 그룹인 Guildma는 브라질, 파라과이, 페루, 포르투갈, 독일을 겨냥한 안드로이드 뱅킹 트로이목마인 ‘Ghimob’를 배포했다. Ghimob는 앙골라와 모잠비크의 은행, 핀테크 기업, 거래소 및 암호 화폐를 위한 금융 어플리케이션이다.

사이버보안기업은 보고서에서 Ghimob로 인해 감염이 완료되면 해커가 감염된 기기에 원격으로 액세스하고 피해자의 스마트폰을 사용해 불법 거래를 진행한다.

Guildma와 동일한 인프라를 공유하는 것 외에도 Ghimob는 멀웨어 배포 메커니즘으로 피싱 메일을 계속 사용, 의심하지 않는 사용자가 Ghimob APK 설치 프로그램을 다운로드하는 악성 URL을 클릭하도록 유도한다.

QQ 스크린 샷 20201112135232

트로이 목마가 기기에 설치되면 그 기능은 다른 모바일 RAT와 매우 유사하다. 어플리케이션에서 아이콘을 숨겨서 존재를 숨기고, 안드로이드의 접근성을 악용해 지속성을 확보하고 수동 제거를 비활성화하여 은행 트로이 목마가 이를 캡처할 수 있도록 한다. 이를 통해 키 입력정보, 화면 컨텐츠 조작, 공격자에게 완벽한 원격 제어를 제공한다.

[출처 : 해커뉴스 / 11.12.]