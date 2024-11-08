SpyAgent로 알려진 새로운 Android 맬웨어 변종이 돌아다니며 스크린샷을 훔치고 있습니다. 이 맬웨어는 광학 문자 인식(OCR) 기술을 사용하여 사용자 장치의 스크린샷에 저장되는 암호화폐 복구 문구를 쫓는 경우가 많습니다.
이러한 공격을 피하는 방법은 다음과 같습니다.
공격은 언제나 그렇듯이 피싱 활동에서 시작됩니다. 사용자는 합법적으로 보이는 앱을 다운로드하라는 문자 메시지를 받습니다. 사용자가 미끼에 걸려 앱을 설치하면 SpyAgent 맬웨어가 작동합니다.
목표는 무엇일까요? 암호화폐 지갑에 사용되는 12~24단어 복구 문구의 스크린샷입니다. 이러한 문구는 너무 길어 쉽게 기억하기 어렵기 때문에 사용자는 나중에 참조하기 위해 스크린샷을 찍는 경우가 많습니다. 공격자가 이러한 화면 캡처를 탈취하면 암호화폐 지갑을 원하는 디바이스로 복구하여 지갑에 포함된 모든 디지털 화폐를 훔칠 수 있습니다. 암호화폐 프로토콜의 특성상 거래가 완료되면 되돌릴 수 없기 때문에 자금이 한 번 사라지면 사라진 것이나 마찬가지입니다. 돈이 잘못된 주소로 송금되면 송금인은 수취인에게 반품 거래를 생성하고 완료하도록 요청해야 합니다.
사용자가 복구 문구를 스크린샷하고 SpyAgent에 의해 도난당한 경우, 공격자는 지갑을 복구하고 원하는 목적지로 자금을 이체하기만 하면 됩니다.
코인 텔레그래프에 따르면 이 맬웨어는 한국에서 280개 이상의 APK가 영향을 받은 채로 돌아다니고 있다고 합니다. 이러한 애플리케이션은 공식 Google Play 스토어 외부에 배포되며, 사용자의 관심을 끌기 위해 SMS 메시지나 소셜 미디어 게시물을 사용하는 경우가 많습니다. 감염된 앱 중 일부는 한국이나 영국 정부 서비스를 모방하고 있으며, 다른 일부는 데이트 앱이나 성인 콘텐츠 앱으로 보입니다.
또한 공격자들이 영국으로 확장할 준비를 하고 있다는 징후가 있으며, 이는 더 광범위한 침해로 이어질 수 있습니다. 그리고 이 맬웨어는 현재 Android 전용이지만 iOS 버전이 개발 중일 수 있다는 징후가 있습니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
암호화폐 복구 문구는 SpyAgent의 최우선 과제이지만, OCR 기술을 사용한다는 것은 어떤 그림이든 포착할 수 있음을 의미합니다. 예를 들어, 비즈니스 디바이스에 데이터베이스 또는 분석 툴에 대한 사용자 이름과 비밀번호의 스크린샷이 있는 경우 회사 자산이 위험에 처할 수 있습니다. 침해 위험을 줄이기 위해 각각 고유한 비밀번호가 필요한 여러 보안 서비스에 액세스할 수 있는 관리자를 생각해 보세요. 비밀번호를 안전하게 유지하면서도 온디맨드 방식으로 사용할 수 있도록 하기 위해 선의의 관리자가 목록을 작성하고 다양한 자격 증명 조합의 스크린샷을 찍습니다. 그들은 자사 기기가 안전하다고 믿기 때문에, 다중 인증(MFA)과 보안 싱글사인온(SSO) 같은 솔루션을 사용하고 있으며, 스크린샷을 위험으로 여기지 않습니다.
그러나 해커가 감염된 애플리케이션을 클릭하여 다운로드하도록 유도하면 공격자는 저장된 이미지 데이터를 보고 훔친 다음 이 데이터를 사용하여 '합법적으로' 계정 액세스 권한을 얻을 수 있습니다.
또 다른 잠재적 위험은 개인 데이터에서 비롯됩니다. 사용자는 개인 건강 또는 금융 데이터의 스크린샷을 가지고 있을 수 있으며, 이로 인해 데이터 유출 및 신원 사기의 위험에 처할 수 있습니다. 또한 비즈니스 파트너나 경영진의 기밀 연락처 정보를 가지고 있어 또 다른 피싱 공격에 노출될 수 있습니다.
이러한 사진 기반 침해 접근 방식은 보안 팀에 두 가지 문제를 야기합니다. 첫 번째는 탐지에 필요한 시간입니다. IBM 2024 데이터 유출 비용(CODB) 보고서에 따르면 기업이 사고를 감지하고 억제하는 데 평균 258일이 걸립니다. 하지만 이 숫자는 보안이 완벽하게 작동할 때만 적용됩니다. 모바일 디바이스가 사용자 행동으로 인해 손상되고 맬웨어의 유일한 목적이 스크린샷을 찾아 훔치는 것이라면, 특히 공격자가 시간을 내서 한다면 문제가 훨씬 더 오랫동안 눈에 띄지 않을 수 있습니다.
한편 범죄자들이 공격을 시작하면 그 피해는 상당할 수 있습니다. 공격자는 도난당한 자격 증명을 사용하여 중요한 서비스에 액세스하고 계정 소유자를 잠그거나 차단할 수 있습니다. 이를 통해 다양한 IT 시스템과 서비스에서 데이터를 캡처하고 유출할 수 있습니다. 이러한 직접적인 조치는 IT 팀에 경각심을 주지만, 보안 대응은 자연히 사후적으로 이루어지므로 기업은 공격을 피할 수 없고 피해를 완화할 수 밖에 없습니다.
여기서 메시지는 간단합니다. 휴대폰에 저장된 데이터는 결코 안전할 수 없다는 것입니다. 암호화 복구 비밀번호, 기업 로그인 및 비밀번호의 스크린샷 또는 주민등록번호 또는 은행 계좌 정보와 같은 개인 데이터는 공격자의 중요한 표적이 됩니다.
공격을 피하는 것은 또한 미끼를 사용하지 않는 것을 의미합니다. 요청하지 않은 문자에 응답하지 않고 승인된 앱 스토어를 통해서만 앱을 다운로드하세요. 또한 예방 조치를 취해야 한다는 의미이기도 합니다. 항상 연결되어 있는 디바이스의 특성으로 인해 완전한 안전은 환상에 불과합니다. 기기에 저장되는 용량은 적을수록 좋습니다.
사용자는 공식 Google Play 스토어만 이용함으로써 장치를 안전하게 유지할 수 있습니다. Play 스토어 외부에서 다운로드한 애플리케이션은 안전성과 보안에 대한 어떠한 보장도 없습니다. 일부는 Google의 검증 절차를 통과하지 못한 무해한 앱일 수 있습니다. 다른 일부는 숨겨진 파일이나 명령을 포함한 공식 애플리케이션의 유사 복제본입니다. 또 다른 일부는 맬웨어를 설치하고 명령 및 제어(C2) 서버와 연결하기 위한 수단에 불과합니다.
또한 기업은 보안 자동화 및 AI 보안 툴 배포의 이점을 누릴 수 있습니다. 이러한 솔루션은 양성으로 보이지만 침해의 집합적 지표(IoC)인 행동 패턴을 캡처하고 상호 연관성을 파악할 수 있습니다. IBM 데이터에서 언급한 바와 같이 AI와 자동화를 광범위하게 사용하는 기업은 전 세계 평균보다 98일 더 빠르게 유출을 탐지하고 억제할 수 있었습니다.
스파이 에이전트 악성코드는 현재 한국 전역을 잠식하고 있으며, 스크린샷을 훔쳐 암호화 복구 암호를 캡처하고 기업을 대규모 데이터 손상의 위험에 빠뜨리고 있습니다.
가장 효과적인 방어책은 무엇일까요? 스크린샷 저장을 최소화하고, 비공식 앱에 대한 경계심을 유지하며, 고급 인텔리전스 솔루션을 배포하는 세 가지 조합입니다.