상세 컨텐츠

본문 제목

스마트폰 루팅하고, 접근성 기능 및 팀 뷰어 악용하는 새로운 SmsSecurity 변종 발견

국내외 보안동향

by 알약(Alyac) 2016. 12. 6. 09:38

본문

스마트폰 루팅하고, 접근성 기능 및 팀 뷰어 악용하는 새로운 SmsSecurity 변종 발견

New SmsSecurity Variant Roots Phones, Abuses Accessibility Features and TeamViewer


지난 2016년 1월, 다양한 은행에서 만들어진 것으로 예상되는 “SmsSecurity” 모바일 앱 다수가 발견되었습니다. 이 앱들은 계좌주가 은행에 로그인할 때 사용할 수 있는 OTP를 생성하는 앱으로 위장했습니다. 해당 앱은 SMS 메시지를 통해 수신되는 모든 패스워드를 훔치는 악성 앱으로 밝혀졌습니다. 이는 원격의 공격자로부터 명령어를 내려 받고, 그들이 사용자의 기기를 제어할 수 있도록 허용합니다.


이후 새로운 악성 기능을 추가한 변종 공격이 발견되었습니다. 악성앱은 안티-분석 장치, 자동 루팅, 언어 감지, 팀 뷰어를 통한 원격 접속 등의 기능을 포함하고 있습니다. 특히, SmsSecurity는 그들의 공격 루틴을 사용자와의 상호작용 없이 은밀히 진행하기 위해서 안드로이드의 접근성 기능을 영리하게 사용합니다. 


이 새로운 변종은 에뮬레이터에서 실행되지 않도록 설계되었습니다. 어떻게 이것이 가능할까요? 해당 악성앱은 기기에 설치된 안드로이드의 버전의 빌드 properties를 포함하고 있는 Build.prop 파일을 확인합니다. 또한 물리적인 기기에서 실행되는지, 에뮬레이터에서 실행되는지를 확인하기 위해 Build.prop 안의 PRODUCT, BAND, DEVICE와 같은 값들을 확인합니다. 만약 에뮬레이터에서 실행될 경우, 이는 동적 분석 툴을 피하기 위해 어떠한 악성코드도 실행하지 않을 것입니다.


이것이 실행되면 사용자에게 악성앱을 위한 접근성 서비스를 활성화할 것인지 묻습니다. 이는 악성앱이 스크린 탭하기 등 사용자의 액션을 시뮬레이트할 수 있도록 허용합니다.

 

SmsSecurity를 위한 접근성 서비스 켜기

이미지 출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/new-smssecurity-variant-roots-phones-abuses-accessibility-features-teamviewer/


이 악성앱은 써드파티 루팅 툴을 다운로드 및 실행합니다. 접근성 서비스는 com.shuame.rootgenius.ui.homepage.HomepageActivity라 명명된 루팅 툴의 메인 액티비티를 모니터링합니다. 접근성 서비스는 해당 액티비티를 발견하면, 루팅 프로세스를 시작하는 버튼을 찾아 클릭합니다.


이후 접근성 서비스는 사용자에게 알리지 않은 채, 악성 앱을 기기 관리자로 활성화하는 것을 시도합니다. 이 단계에서 SmsSecurity 변종은 팀뷰어 퀵서포트 앱을 기기에 설치합니다. 원래는 기술 지원팀이 사용자를 돕기 위해 사용하는 원격 접속 툴이지만, 이 경우 공격자가 사용자의 기기를 제어하는데 사용되었습니다.


관련하여 오스트리아, 헝가리, 루마니아, 스위스가 이 공격에 노출된 것으로 나타났습니다. 아래는 이 공격이 타겟으로하는 은행의 목록입니다.


Aargauische Kantonalbank

Bank Austria

Banque Cantonale de Fribourg

BKB Bank

Credit Suisse

Erste Bank

Glarner Kantonalbank

Luzerner Kantonalbank

Ober Bank

Obwaldner Kantonalbank

Raiffeisen Bank

Schaffhauser Kantonalbank

Volksbank

Zürcher Kantonalbank


한편 알약 안드로이드는 해당 악성코드를 Trojan.Android.InfoStealer로 탐지하고 있습니다.







출처 :

http://blog.trendmicro.com/trendlabs-security-intelligence/new-smssecurity-variant-roots-phones-abuses-accessibility-features-teamviewer/



관련글 더보기

댓글 영역