안드로이드 악성코드, 뱅킹앱이 아닌 카드 지불을 요구하는 일반 앱들을 노려

Android Trojan Now Targets Non-Banking Apps that Require Card Payments

최근 사용자들의 중요한 데이터를 탈취하고 파일을 암호화 하기 위한 랜섬웨어 기능을 추가한 모바일 뱅킹 악성코드가 우버와 다른 예약 앱들의 계정정보를 탈취하도록 수정되었습니다. 

최근 보안연구원들은 안드로이드 뱅킹 악성코드인 Faketoken의 새로운 변종이 금융정보를 탈취하기 위하여, 감염된 기기의 전화를 녹음하고 택시 예약 앱의 맨 위에 오버레이 화면을 표시하는 것을 확인하였습니다. 

Faketoken.q라 명명 된 이 악성코드는 대량의 SMS 를 통해 유포되며, 사용자들에게 이미지 파일로 위장한 악성앱을 다운로드 받으라고 요구합니다. 

악성앱이 다운로드 및 설치되면, 바로가기 아이콘을 숨기고 감염된 안드로이드 기기의 모든 것들을 모니터링하는 모듈들 및 메인 페이로드를 설치합니다. 특정번호로 전화를 걸거나 수신하게 되면, 이 악성앱은 대화 내용을 녹음하고 공격자의 서버로 전송합니다. 

뿐만 아니라 Faketoken.q는 자신이 시뮬레이팅 할 수 있는 앱을 사용자가 실행할 경우, 이를 확인한 후 즉시 가짜 UI로 정상앱 위에 오버레이 화면을 띄웁니다.

이를 위해서 악성앱은 페이스북 메신저, 윈도우 매니저 등의 정식 앱들이 사용하는 안드로이드 기능인 ‘스크린 오버레이를 최상단에 표시하는’ 기능을 사용했습니다.

가짜 UI는 사용자들에게 은행의 인증 코드를 포함한 지불 카드 데이터를 입력하라고 요구하며, 이렇게 탈취된 정보들은 추후 사기성 거래에 악용될 수도 있습니다. 

Faketoken.q는 아래와 같은 수 많은 모바일 뱅킹 앱 위에 오버레이 스크린을 표시할 수 있습니다:

안드로이드 페이

구글 플레이스토어

교통 범칙금 지불 앱

항공 및 호텔 예약 앱

택시 예약 앱

해커들은 거래 승인을 위해 은행에서 보낸 SMS코드가 필요하기 때문에, 악성앱에 수신하는 SMS 메시지 코드를 탈취하는 기능을 추가하여, 탈취한 정보들을 공격자의 C&C 서버로 보냅니다.

Faketoken.q의 사용자 인터페이스는 러시아어로 되어있어, 연구원들은 이 악성앱이 러시아 사용자들을 노리는 것으로 추측하고 있습니다.

현재 알약 안드로이드에서는 해당 악성앱에 대하여 Trojan.Android.HiddenApp로 탐지중에 있습니다. 

출처 :

http://thehackernews.com/2017/08/android-banking-trojan.html

https://securelist.com/booking-a-taxi-for-faketoken/81457/