FireScam 악성 소프트웨어, 텔레그램 프리미엄 앱을 이용해 사용자 데이터를 도용

Image by Dimitri Karastelev, from Unsplash

FireScam 악성 소프트웨어, 텔레그램 프리미엄 앱을 이용해 사용자 데이터를 도용

읽는 시간: 3 분

게시일: 1월 8, 2025

새로운 종류의 안드로이드 악성 프로그램인 FireScam이 텔레그램 프리미엄 애플리케이션으로 위장하여 사용자를 공격하고 있습니다. 이는 처음으로 CYFIRMA의 사이버 보안 전문가들이 보고했습니다.

시간이 없으세요? 여기에 간단한 정보가 있습니다!

  • FireScam 악성 소프트웨어는 피싱 웹사이트를 통해 가짜 Telegram Premium 앱으로 위장합니다.
  • 피싱 사이트는 러시아 연방의 인기 있는 앱 스토어인 RuStore를 모방합니다.
  • 이 악성 소프트웨어는 메시지, 알림, 클립보드 데이터 등 민감한 정보를 포착합니다.

러시아의 인기 앱 스토어인 RuStore를 흉내 낸 피싱 웹사이트를 통해, 이 맬웨어는 정교한 기술을 사용하여 기기에 침투하고, 민감한 데이터를 도용하며, 탐지를 피합니다.

The Hacker News는 운영자가 누구인지, 사용자가 어떻게 이러한 링크로 이동시키는지, SMS 피싱 또는 맬버타이징 기법이 관련되어 있는지 아직 불분명하다고 보도했습니다.

연구자들은 FireScam이 GitHub.io에서 호스팅하는 피싱 사이트를 통해 배포되며, 이 사이트는 RuStore를 가장하여 사용자들을 악성 APK를 다운로드하도록 속입니다. 이 가짜 앱은 Telegram Premium 기능을 제공하겠다고 약속하지만, 대신 다단계 감염 과정을 배포합니다.

이것은 FireScam 악성 코드를 다운로드하고 설치하는 드로퍼 APK로 시작되며, 이를 합법적인 애플리케이션으로 가장합니다. FireScam이 설치되면, 감염된 기기에 대해 광범위한 감시를 수행합니다.

알림, 메시지, 클립보드 활동과 같은 민감한 데이터를 캡처합니다. 이 악성 코드는 화면 상태 변화와 전자 상거래 거래를 포함한 기기 상호작용까지 모니터링하여, 공격자가 사용자 행동에 대한 귀중한 통찰력을 얻을 수 있게합니다.

FireScam는 Firebase 실시간 데이터베이스를 명령 및 제어 시스템의 일부로 사용하며, 이는 악성 활동을 관리하는 데 필수적입니다. 이 데이터베이스는 악성 코드가 감염된 장치에서 훔친 정보를 저장하는 공간 역할을 합니다.

데이터가 업로드되면, 공격자들은 민감한 개인 정보금융 정보와 같은 가치 있는 부분을 식별하기 위해 이를 분석합니다. 불필요하다고 판단되는 어떤 데이터든지 삭제하여 의심을 불러일으키지 않습니다.

FireScam의 경우, 합법적으로 널리 사용되는 서비스인 Firebase를 사용함으로써 악성 코드가 더 자연스럽게 녹아들어 보안 도구들이 그의 활동을 감지하고 차단하기 어렵게 만듭니다. 또한, Firebase는 추가적인 악성 페이로드를 전달하는 데도 사용되어, 공격자들이 침해된 기기에 대한 지속적인 제어를 유지할 수 있게 해줍니다.

이 악성 코드는 자신의 의도를 숨기고 보안 도구에 의한 검출을 피하기 위해 난독화를 사용합니다. 또한, 분석이나 가상화된 환경에서 실행되고 있는지를 확인하기 위한 환경 검사도 수행하여, 그의 활동을 추적하는 데 더욱 복잡함을 더합니다.

Telegram과 Firebase와 같이 널리 사용되는 앱의 인기를 활용함으로써, FireScam은 현대의 위협 요인들이 사용하는 고급 전략을 보여줍니다. 이 맬웨어가 민감한 정보를 도용하고 은밀하게 유지할 수 있는 능력은 개인 사용자와 조직 모두에게 중대한 위험을 초래합니다.

Information Security Buzz (ISB)는 Salt Security의 사이버 보안 전략 부문장인 에릭 슈와케가 FireScam을 예시로 들며 안드로이드 맬웨어의 점점 더 복잡해지는 기술을 강조하고 있다고 보도했습니다.

“피싱 웹사이트를 이용한 악성 소프트웨어 배포는 새로운 전략은 아니지만, FireScam의 특정한 방법들 – 예를 들어 텔레그램 프리미엄 앱으로 위장하거나 RuStore 앱 스토어를 이용하는 것 등 – 은 공격자들이 끊임없이 변화하는 기법을 보여주며, 의심하지 않는 사용자들을 속이고 위험에 빠뜨리는 데 사용된다.”라고 Dark Reading에 따라 Schwake가 말했습니다.

ISB 보고서에 따르면, Schwake는 견고한 API 보안이 필요하다고 강조하며, 침해된 장치들이 모바일 앱 API를 통해 민감한 데이터에 접근할 수 있다고 설명합니다. 강력한 인증, 암호화, 그리고 지속적인 모니터링이 이러한 위험을 완화하는 데 필수적입니다.

FireScam에 대응하기 위해, CYFIRMA의 연구원들은 위협 인텔리전스, 강력한 엔드포인트 보안, 그리고 행동 기반 모니터링을 사용하는 것을 제안합니다. 그들은 또한 악의적인 도메인을 차단하기 위해 방화벽을 사용하고, 불법 실행 파일을 방지하기 위해 애플리케이션 화이트리스트를 사용하는 것을 제안합니다.

이 기사가 마음에 드셨나요? 평가해 주세요!
정말 싫습니다 별로 좋아하지 않습니다 괜찮습니다 꽤 좋습니다! 정말 좋습니다!

마음에 드셨다니 기쁩니다!

Trustpilot에 여러분의 의견을 남겨 주실 수 있으실까요? 리뷰는 WizCase에게 큰 힘이 됩니다. 감사합니다!

Trustpilot에 리뷰 남기기
5.00 1명의 사용자가 투표
제목
코멘트
피드백을 주셔서 감사합니다
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

댓글 달기

Loader
Loader 더 보기