모바일 보안 글로벌 기업 짐페리엄(Zimperium)은 기가버드(Gigabud) 맬웨어 캠페인에 대한 새로운 정보를 발견했으며, 이를 악명 높은 스파이노트 안드로이드 RAT(Spynote Android RAT)와 연관되었다고 분석했다.

지난 8월 보고된 짐페리엄의 zLabs 조사에 따르면 이 정교한 글로벌 캠페인은 금융 기관의 악성 모바일 앱을 설치하려는 의도로 피싱 웹사이트를 활용한다. 기가버드는 사용자가 민감한 권한을 부여하도록 조종하여 사기성 거래로 이어지고, 스파이노트는 공격자가 감염된 기기를 완전히 제어할 수 있도록 한다.

기가버드와 스파이노트 간의 이러한 협력은 소비자 뿐만 아니라 손상된 기기가 기업용 애플리케이션에도 사용되는 경우 상당한 위험을 초래할 수 있다. 이는 모바일 중심 사이버 공격의 위협 수준이 높아졌다는 것을 시사한다.

zLabs 조사에 따르면 기가버드와 스파이노트 맬웨어 패밀리 간에 강력한 공통점이 있다. 기가버드를 퍼뜨리는 도메인은 스파이노트도 배포하여 단일 위협 행위자의 협력적 노력을 시사한다. 스파이노트는 공격자가 원격으로 장치를 제어하고, 데이터를 훔치고, 미디어를 기록하고, 위치를 추적할 수 있도록 하는 반면, 기가버드는 뱅킹 앱 자격 증명 도용에 중점을 둡니다. 이 연결은 더 광범위하고 협력적인 위협을 나타낸다.

이 캠페인은 주요 항공사, 전자상거래 플랫폼, 정부 서비스를 사칭하는 피싱 웹사이트를 통해 전 세계 금융 기관에 영향을 미치고 있다. 짐페리엄은 에티오피아 항공과 베트남 대출 사이트와 같이 신뢰할 수 있는 브랜드를 모방하는 11개의 명령 및 제어 서버와 79개의 피싱 사이트를 식별했다. 이러한 사이트는 사용자를 속여 악성 모바일 앱을 다운로드하거나 광범위한 권한을 부여하여 공격자에게 전체 모바일 기기 액세스 권한을 제공한다.

이 새로운 발견은 위협 행위자의 초점이 정부 사칭에서 금융 기관을 직접 표적으로 삼는 방향으로 이동하고 있음을 시사한다. zLabs 연구원들은 40개 이상의 은행과 10개의 암호화폐 플랫폼을 포함한 50개 이상의 금융 모바일 앱이 이 캠페인에서 특별히 표적으로 삼아졌다는 것을 발견했다.

이 맬웨어는 탐지 및 분석을 복잡하게 만드는 패커인 Virbox로 보호된다. 이 고급 난독화 기술을 통해 맬웨어는 기존 방어를 회피하여 위협의 효과를 높일 수 있다.

기가버드와 스파이노트의 협력은 모바일을 타깃으로 하는 맬웨어 캠페인이 상당히 확대되었음을 보여주며, 위협 행위자들은 전 세계적으로 금융 기관을 타깃으로 삼고 있다. 캠페인의 범위, 악성 모바일 앱을 홍보하기 위한 피싱 웹사이트 사용, 고급 난독화 기술로 인해 기존 방어 수단으로는 공격을 탐지하고 차단하기 어렵다.

이 캠페인은 처음에는 소비자 중심의 뱅킹 앱을 대상으로 했지만, 모바일 기기에 탑재되는 악성 소프트웨어와 스파이웨어의 정교함을 감안하면 신원 도용, OTP 하이재킹, 기업 네트워크 침투 등을 포함하여 기업 애플리케이션과 기기에 저장된 데이터도 손상되었을 가능성이 있다고 의심하는 것은 무리가 아니다.

조직에서는 실시간, 기기 내 모바일 보안 대책을 우선시해야 한다. 이 캠페인의 규모와 조직화를 감안하여 짐페리엄은 조직이 모바일 보안 방어를 평가하고 강화하여 이 진화하는 위협에 대응해야 한다고 조언한다.