FireScam Malware: A New Threat to Android Device Security

FireScam Malware: A New Threat to Android Device Security

최근 안드로이드 기기를 노리는 정보탈취형 악성코드인 FireScam이 발견되었습니다.

이 악성코드는 Telegram Premium 앱으로 위장하여 GitHub.io 피싱 사이트를 통해 배포되었으며, 러시아에서 널리 사용되는 앱스토어인 RuStore를 모방한 것으로 확인되었습니다.

Cyfirma 연구진은 12월 30일 이 악성코드가 Firebase Realtime Database 엔드포인트로 민감한 데이터를 유출한다고 밝혔습니다.

FireScam의 주요 특징과 작동 방식

FireScam은 사용자 기기의 화면 상태 변경, 전자상거래 활동, 클립보드 내용, 사용자 활동 등을 모니터링하여 민감한 정보를 은밀히 수집합니다.

Cyfirma 연구진은 이를 통해 FireScam이 탐지를 회피하고 데이터 탈취를 수행하며 감염된 기기를 지속적으로 통제하는 고도화된 기술을 활용한다고 강조했습니다.

특히, FireScam은 Telegram과 같은 대중적인 앱과 Firebase 같은 합법적인 서비스를 악용하여 악성코드의 탐지 및 방어를 더욱 어렵게 만듭니다.

---

광범위한 모니터링과 지속성

BlueVoyant의 선임 이사 T. Frank Downs는 FireScam이 보유한 다양한 감시 기능과 기기 내 지속성을 유지하는 능력에 대해 우려를 표명했습니다.

이 악성코드는 스스로를 기본 앱 업데이트 관리자로 설정하여 다른 설치 관리자가 이를 변경하지 못하도록 막으며, 사용자 인증 코드와 같은 민감한 데이터가 포함될 수 있는 USSD(Unstructured Supplementary Service Data)를 가로채는 능력을 보유하고 있습니다.

모바일 위협 환경의 진화

Salt Security의 사이버 보안 전략 책임자인 Eric Schwake는 FireScam 캠페인이 모바일 위협 환경의 심각한 변화를 보여준다고 언급했습니다.

Schwake는 이 악성코드가 Telegram Premium 앱으로 위장하고 RuStore를 활용하는 등 사용자를 오도하는 진화된 기법을 통해 배포된다고 밝혔습니다.

이는 모바일 애플리케이션의 기반이 되는 API 보안의 중요성을 강조합니다.

고급 위협 탐지의 필요성

SlashNext Email Security의 Field CTO인 Stephen Kowski는 FireScam의 Firebase Cloud Messaging을 활용한 명령 및 제어(C2) 기능과 허가 조작 능력을 지적하며, 고급 모바일 위협 탐지가 이러한 공격을 방어하는 데 필수적이라고 강조했습니다.

그는 “실시간 모바일 앱 스캔과 지속적인 모니터링이 필수적”이라고 말하며, 사용자의 신뢰를 악용하는 이러한 공격은 기존 보안 체계를 우회한다고 덧붙였습니다.

---

 

FireScam 악성코드는 Telegram과 같은 대중적인 애플리케이션을 모방하여 사용자 데이터를 탈취하는 고도화된 모바일 위협입니다.

기업과 개인 모두 이러한 공격으로부터 보호하기 위해 보안에 대한 인식을 높이고, 고급 보안 솔루션을 도입하며, 신뢰할 수 있는 소스에서만 앱을 다운로드해야 합니다.

소프트웨어 공급망 보안이 중요한 이유는 이러한 모바일 위협이 단순한 사용자 데이터를 넘어 더 큰 시스템에까지 영향을 미칠 수 있기 때문입니다.

지금 이 순간에도 사이버 위협은 진화하고 있습니다.

지속적인 경계와 적극적인 보안 조치만이 우리를 보호할 수 있습니다.