해커들이 모바일 뱅킹 계좌에서 돈을 훔치기 위해 Face ID 스캔을 훔친다

Group-IB의 연구자들은 Face ID 스캔을 훔쳐서 딥페이크를 생성하여 피해자의 은행 계좌에 무단으로 접근할 수 있도록 하는 새로운 악성 소프트웨어를 발견했습니다.

Group-IB의 새로운 보고서에 따르면, 이는 “예외적으로 드문 사건 - iOS 사용자를 겨냥한 새로운 정교한 모바일 트로이 목마”입니다. Group-IB의 위협 정보 부서에서 GoldPickaxe.iOS라는 이름으로 불리는 이 트로이 목마는 ‘GoldDigger’, ‘GoldDiggerPlus’, ‘GoldKefu’와 같은 다른 악성 소프트웨어 변종을 책임지는 중국어를 사용하는 위협 행위자 GoldFactory와 연결되어 있습니다.

안드로이드와 iOS에서 사용할 수 있는 이 새로운 악성 소프트웨어는 GoldDigger 안드로이드 트로이 목마를 기반으로 하며, 얼굴 인식 데이터, 신원 문서 수집 및 SMS 가로채기가 가능합니다.

“GoldPickaxe.iOS는 피해자의 생체 데이터를 수집하고, 신원 문서를 수집하며, SMS를 가로채고, 피해자의 장치를 통해 트래픽을 프록시하는 다음 기능을 결합한 Group-IB가 관찰한 첫 번째 iOS 트로이 목마라는 점이 주목할 만합니다,”라고 연구자들은 보고서에서 말했습니다.

“안드로이드 형제는 iOS 버전보다 더 많은 기능을 가지고 있으며, 이는 iOS의 더 많은 제한과 폐쇄적인 특성 때문입니다.”

Group-IB는 분석가들이 주로 아시아 태평양 지역, 특히 태국과 베트남을 겨냥한 공격을 발견했으며, 지역 은행 및 정부 기관을 사칭하고 있다고 말했습니다.

2023년 10월에 처음 발견된 GoldPickaxe는 여전히 진행 중이며, 안드로이드와 iOS 사용자 모두를 대상으로 합니다. 이는 2023년 6월 Gold Digger와 함께 시작된 GoldFactory 캠페인의 일부로 간주됩니다.

이러한 공격에서는 공격자들이 정부 당국을 사칭하여 LINE 앱을 통해 잠재적인 피해자와 초기 접촉을 하였고, 이후 GoldPickaxe를 장치에 배포하는 가짜 URL을 보냈습니다.

예를 들어, 안드로이드의 경우 범죄자들은 태국 재무부의 공무원을 모방하고 피해자들을 ‘디지털 연금’ 앱으로 가장한 사기 애플리케이션을 설치하도록 유도했습니다. 이는 Google Play 스토어 페이지 또는 베트남의 가짜 기업 웹사이트를 사칭하는 웹사이트에서 이루어졌으며, 피해자들이 디지털로 연금을 받을 수 있도록 해줄 것이라고 주장했습니다.

그러나 iOS용 GoldPickaxe의 경우, 위협 행위자들은 처음에 피해자들을 베타 소프트웨어를 배포하는 Apple의 TestFlight 소프트웨어로 유도하여 악성 앱을 설치하도록 했습니다. 이 기술이 실패하면, 그들은 피해자의 장치에 대한 완전한 제어를 제공하는 모바일 장치 관리(MDM) 프로필을 설치하도록 속였습니다.

트로이 목마가 모바일 장치에서 활성화되면, 악성 소프트웨어는 피해자의 신원 문서와 사진을 수집하고, 수신 SMS 메시지를 가로채며, 피해자의 감염된 장치를 통해 트래픽을 프록시할 수 있습니다. 이 외에도 피해자는 가짜 앱에서 ‘확인 방법’으로 비디오를 녹화하라는 메시지를 받습니다.

“GoldPickaxe는 피해자에게 가짜 애플리케이션에서 확인 방법으로 비디오를 녹화하라고 요청합니다. 녹화된 비디오는 얼굴 교환 인공지능 서비스에 의해 딥페이크 비디오를 생성하는 원료로 사용됩니다,”라고 보안 연구원 Andrey Polovinkin과 Sharmine Low가 말했습니다.

생체 인식 스캔이 캡처되면, 이는 피해자를 사칭하는 AI 딥페이크를 생성하는 데 사용되어 사이버 범죄자가 얼굴 인식 검사를 우회하여 피해자의 계좌에 무단으로 접근할 수 있도록 합니다.

“우리는 사이버 범죄자들이 자신의 장치를 사용하여 은행 계좌에 로그인하고 있다고 가정합니다. 태국 경찰은 사이버 범죄자들이 자신의 안드로이드 장치에 은행 애플리케이션을 설치하고 캡처된 얼굴 스캔을 사용하여 얼굴 인식 검사를 우회하여 피해자의 계좌에 무단으로 접근하고 있다고 확인했습니다,”라고 Group-IB는 결론지었습니다.

“GoldFactory와 같은 위협 행위자들은 잘 정의된 프로세스와 운영 성숙도를 가지고 있으며, 창의성의 수준이 증가하고 있습니다. 그들이 서로 다른 지역에 맞춤화된 악성 소프트웨어 변종을 동시에 개발하고 배포할 수 있는 능력은 우려스러운 수준의 정교함을 보여줍니다.”

악성 소프트웨어로부터 보호하기 위해 Group-IB는 은행 사용자에게 의심스러운 링크를 클릭하지 말고, Google Play 스토어, Apple App Store 및 Huawei AppGallery와 같은 공식 플랫폼에서만 애플리케이션을 다운로드하고, 새로운 앱을 설치할 때 요청된 권한을 신중하게 검토하고, 메신저에 알 수 없는 연락처를 추가하지 말고, 은행 통신의 유효성을 확인하고, 사기를 당했다고 생각되면 즉시 은행에 연락할 것을 권장합니다.