보안 연구원들이 Android 악성코드 NGate의 새로운 캠페인을 발견했습니다. 이번에는 공격자들이 NFC 데이터 전송용으로 설계된 합법적인 앱 HandyPay를 변조하여 악성 코드를 포함시켰습니다. 그 결과 생성된 트로이 목마는 카드 데이터 및 PIN과 같은 민감한 비접촉 결제 정보를 탈취합니다. 이 캠페인은 브라질 사용자를 대상으로 하며 탐지를 회피하기 위해 신뢰할 수 있는 앱을 사용하는 사례를 보여줍니다.
APK 변조 및 악성 코드에 AI 사용 가능성 🤖
사이버 범죄자들은 HandyPay의 원본 APK를 가져와 NGate 악성 모듈을 주입했습니다. 추가된 코드는 인공지능에 의해 생성되거나 도움을 받았을 가능성을 시사하는 특징을 보여 정적 분석을 복잡하게 만들 수 있습니다. 설치되면 트로이 목마 앱은 접근성 권한을 요청하여 NFC 데이터와 사용자가 입력한 PIN을 캡처하고 공격자가 제어하는 서버로 전송합니다.
당신의 휴대폰은 당신의 우체부가 되고 싶어하지만, 사이버 범죄자들을 위해서만 그렇습니다 📮
일부 앱이 유용해지기 위해 얼마나 노력하는지 보면 감동적입니다. 새로운 개선된 버전의 HandyPay는 결제 데이터를 전송하는 데 그치지 않습니다. 사용자가 아무것도 하지 않아도 전 세계 다른 곳에 있는 관심 있는 사람들에게 직접 데이터를 보냅니다. 이는 무료 국제 우편 전달 서비스이지만, 사용자의 은행 정보를 위한 것입니다. 공식 앱 스토어가 사용해야 하는 지루한 사이트임을 상기시켜 줍니다.