보안 회사 ESET은 최근 주로 Android 사용자를 표적으로 삼은 악성 코드를 보고했습니다. 이 악성 코드는 도난당한 NFC 트래픽과 함께 소셜 엔지니어링 공격을 사용하여 사용자의 은행 데이터를 훔칩니다. Ngate라고 명명된 이 악성 코드는 공격자가 영향을 받은 사용자의 은행 계좌에서 돈을 빼낼 수 있도록 허용합니다. 이 공격은 여러 개의 움직이는 부분이 있다는 점에서 독특하며, 다각적인 접근 방식의 일부로 NFC 차단을 통합한 최초의 사례로 알려졌습니다.
공격이 작동하는 방식은 비교적 간단합니다. 모든 것은 사용자가 선택한 뱅킹 앱의 가짜 버전을 설치하도록 설득하는 것부터 시작됩니다. 이는 Google Play의 공식 인터페이스를 모방한 악성 광고나 진보적인 웹 앱을 통해 이루어지며, 사용자가 다른 것(일반적으로 중요한 보안 업데이트)이라고 생각하는 것을 설치하도록 속이는 뱅킹 앱을 선택합니다. 이는 두 부분으로 구성된 프로세스입니다. 첫 번째 부분은 사용자가 하드웨어 및 은행 데이터에 대한 액세스 권한을 부여하도록 하는 것을 목표로 하며, 두 번째 부분은 실제 악성 코드를 설치합니다.
이 악성 코드는 NFCGate라는 오픈 소스 도구 세트를 기반으로 합니다. 이 도구 세트는 독일 대학생들이 호스트 장치의 NFC 트래픽을 분석하거나 변경할 수 있다는 목표로 개발했습니다. 반면, NGate는 순전히 듣고 전송하기 위해 만들어진 앱입니다. 감염된 장치를 NFC 지원 은행 카드나 기타 NFC 지원 태그 또는 카드 근처에 가져가면 NFC를 통해 브로드캐스트되는 정보가 장치에 캡처되어 공격자에게 전달됩니다. 여기에서 루트 권한이 활성화된 Android 장치를 사용하여 해당 NFC 출력을 복제할 수 있습니다. 이를 통해 ATM이나 기타 NFC 콘센트를 속여 해당 카드나 태그를 들고 있다고 생각하게 할 수 있습니다. 첫 번째 단계에서 도난당한 은행 정보와 함께 피해자의 PIN에 접근하거나 변경하고 돈을 인출할 수 있습니다.
이 공격은 적어도 2023년 11월부터 체코에서 활동 중인 것으로 확인되었습니다. 이 전술은 6개의 가짜 앱을 통해 체코 은행 3곳의 고객을 표적으로 삼아 제한된 규모로 사용된 것으로 보입니다. 돈을 훔치기 위해 악성 코드를 사용한 사람 중 한 명은 2024년 3월 프라하에서 체포되었으며, 그에게 도난당한 자금은 대략 6,500달러에 달했습니다. 그의 신원과 국적은 아직 밝혀지지 않았다. 보고서는 이 공격의 사용이 체포 이후 중단된 것으로 보인다고 지적했습니다.
ESET에서는 활동이 중단되었다고 생각하지만 다른 공격자가 동일한 도구 세트를 선택하여 접근한 다음 새로운 대상을 위해 개조하는 것은 그리 어렵지 않습니다. 이 특정 악성 코드가 포함된 소프트웨어는 공식 Google Play 스토어에서 찾을 수 없다는 점은 주목할 가치가 있습니다. Google은 뉴스 매체인 Bleeping Computer에 이 사실을 확인하면서 Google Play 프로텍트에는 NGate에 대한 보호 기능이 포함되어 있다고 밝혔습니다.
부인 성명: 제공된 모든 리소스는 부분적으로 인터넷에서 가져온 것입니다. 귀하의 저작권이나 기타 권리 및 이익이 침해된 경우 자세한 이유를 설명하고 저작권 또는 권리 및 이익에 대한 증거를 제공한 후 이메일([email protected])로 보내주십시오. 최대한 빨리 처리해 드리겠습니다.
Copyright© 2022 湘ICP备2022001581号-3