Telegram의 Android용 모바일 앱의 EvilVideo라는 제로데이 보안 결함으로 인해 공격자는 무해해 보이는 비디오처럼 위장한 악성 파일을 다운로드할 수 있게 되었습니다.
ESET에 따르면, 이 익스플로잇은 2024년 6월 6일 지하 포럼에서 알려지지 않은 가격으로 판매되었습니다. 6월 26일 책임 있는 공개에 따라, 이 문제는 7월 11일에 출시된 Telegram 버전 10.14.5에서 해결되었습니다.
보안 연구원인 루카스 슈테판코(Lukáš Štefanko)는 보고서에서 “공격자는 텔레그램 채널, 그룹, 채팅을 통해 악성 안드로이드 페이로드를 공유하고 이를 멀티미디어 파일로 보이게 만들 수 있다”고 밝혔습니다.
이 페이로드는 텔레그램의 애플리케이션 프로그래밍 인터페이스(API)를 사용하여 조작된 것으로 여겨지는데, 이를 통해 멀티미디어 파일을 채팅과 채널에 프로그래밍 방식으로 업로드할 수 있습니다. 이를 통해 공격자는 악성 APK 파일을 30초짜리 비디오로 위장할 수 있습니다.
비디오를 클릭한 사용자에게는 비디오를 재생할 수 없다는 실제 경고 메시지가 표시되고 외부 플레이어를 사용하여 재생해 보라고 촉구합니다. 단계를 진행하면 Telegram을 통해 APK 파일을 설치하도록 허용하라는 메시지가 표시됩니다. 문제의 앱은 “xHamster Premium Mod”입니다.
“기본적으로 Telegram을 통해 수신된 미디어 파일은 자동으로 다운로드되도록 설정되어 있습니다.” Štefanko가 말했습니다. “즉, 옵션을 활성화한 사용자는 공유된 대화를 열면 악성 페이로드를 자동으로 다운로드합니다.”
이 옵션은 수동으로 비활성화할 수 있지만, 페이로드는 가정된 비디오와 함께 제공되는 다운로드 버튼을 탭하여 다운로드할 수 있습니다. 이 공격은 웹용 Telegram 클라이언트나 전용 Windows 앱에서는 작동하지 않는다는 점에 유의해야 합니다.
현재 이 익스플로잇의 배후가 누구인지, 실제 공격에서 얼마나 널리 사용되었는지는 불분명합니다. 그러나 같은 공격자는 2024년 1월에 Google Play Protect를 우회할 수 있다고 알려진 완전히 감지할 수 없는 Android 크립터(일명 크립터)를 광고했습니다.
햄스터 컴뱃의 바이러스성 성공은 악의적인 모방범을 낳았다
사이버 범죄자들이 금전적 이익을 위해 Telegram 기반 암호화폐 게임 Hamster Kombat을 이용하고 있는 가운데, ESET은 해당 앱을 홍보하는 가짜 앱 스토어, 게임 자동화 도구라는 명목으로 Windows용 Lumma Stealer를 호스팅하는 GitHub 저장소, Ratel이라는 안드로이드 트로이 목마를 배포하는 데 사용되는 비공식 Telegram 채널을 발견했습니다.
게임 개발자에 따르면 2024년 3월에 출시된 이 인기 게임은 2억 5천만 명 이상의 플레이어가 있는 것으로 추산됩니다. Telegram CEO Pavel Durov는 Hamster Kombat을 “세계에서 가장 빠르게 성장하는 디지털 서비스”라고 부르며 “Hamster 팀은 TON에서 토큰을 주조하여 수억 명의 사람들에게 블록체인의 이점을 소개할 것입니다.”라고 말했습니다.
“hamster_easy”라는 Telegram 채널을 통해 제공되는 Ratel은 게임을 가장하도록 설계되었으며(“Hamster.apk”) 사용자에게 알림 액세스 권한을 부여하고 기본 SMS 애플리케이션으로 설정하도록 요청합니다. 그런 다음 원격 서버와 연락을 시작하여 응답으로 전화번호를 받습니다.
다음 단계에서 맬웨어는 맬웨어 운영자의 전화번호로 러시아어 SMS 메시지를 보내어 SMS를 통해 추가 지침을 받습니다.
“그러면 위협 행위자는 SMS를 통해 손상된 기기를 제어할 수 있게 됩니다. 운영자 메시지에는 지정된 번호로 보낼 텍스트가 포함될 수도 있고, 기기에 해당 번호로 전화를 걸도록 지시할 수도 있습니다.” ESET이 말했습니다. “이 맬웨어는 또한 баланс(잔액)라는 텍스트가 포함된 메시지를 900번으로 보내 Sberbank Russia의 피해자의 현재 은행 계좌 잔액을 확인할 수도 있습니다.”
Ratel은 알림 액세스 권한을 남용하여 내장된 하드코딩된 목록을 기반으로 최소 200개 앱의 알림을 숨깁니다. 이는 피해자를 다양한 프리미엄 서비스에 가입시키고 알림을 받지 못하도록 하려는 시도로 의심됩니다.
슬로바키아 사이버 보안 회사는 Hamster Kombat을 다운로드할 수 있다고 주장하는 가짜 애플리케이션 스토어프런트를 발견했지만, 실제로는 사용자를 원치 않는 광고로 안내하고, GitHub 저장소에서는 대신 Lumma Stealer를 배포하는 Hamster Kombat 자동화 도구를 제공한다고 밝혔습니다.
“Hamster Kombat의 성공은 또한 사이버 범죄자들을 끌어들였고, 그들은 이미 게임 플레이어를 표적으로 삼는 맬웨어를 배포하기 시작했습니다.” Štefanko와 Peter Strýček은 말했습니다. “Hamster Kombat의 인기는 그것을 남용하기 쉽게 만들었고, 이는 이 게임이 미래에 더 많은 악의적인 행위자들을 끌어들일 가능성이 높다는 것을 의미합니다.”
BadPack 안드로이드 맬웨어가 틈새로 침투하다
Telegram 이외에도 Android 기기를 대상으로 하는 악성 APK 파일은 BadPack이라는 형태를 띠고 있습니다. BadPack은 정적 분석을 방해하려고 ZIP 아카이브 포맷에 사용된 헤더 정보를 변경한 특수하게 제작된 패키지 파일을 말합니다.
이를 통해 모바일 애플리케이션에 대한 필수 정보를 제공하는 중요한 파일인 AndroidManifest.xml 파일이 추출되어 적절히 구문 분석되는 것을 방지하여, 위험 신호를 표시하지 않고도 악성 아티팩트가 설치될 수 있도록 하는 것이 목표입니다.
이 기술은 4월 초에 카스퍼스키에서 SoumniBot이라는 안드로이드 트로이 목마와 관련하여 광범위하게 문서화되었습니다. 이 트로이 목마는 한국 사용자를 표적으로 삼았습니다. Palo Alto Networks Unit 42에서 2023년 6월부터 2024년 6월까지 수집한 원격 측정 데이터는 야생에서 약 9,200개의 BadPack 샘플을 감지했지만 Google Play 스토어에서는 아무것도 발견되지 않았습니다.
“이러한 변조된 헤더는 BadPack의 핵심 기능이며, 이러한 샘플은 일반적으로 Android 리버스 엔지니어링 도구에 도전 과제를 제기합니다.” Unit 42 연구원 Lee Wei Yeong이 지난주에 발표한 보고서에서 말했습니다. “BianLian, Cerberus, TeaBot과 같은 많은 Android 기반 뱅킹 트로이 목마가 BadPack을 사용합니다.”
