수십 개의 모바일 백신을 우회하는 안드로이드 뱅킹 트로이목마 Marcher

수십 개의 모바일 백신을 우회하는 안드로이드 뱅킹 트로이목마 Marcher

Android Banking Trojan Marcher Targets Dozens of Apps, Bypasses Antivirus

최근 안드로이드 OS를 타겟으로 하는 뱅킹 악성코드인 Marcher이 빠르게 증가하고 있습니다. 이 악성코드는 SMS/MMS를 이용한 피싱 공격을 통해 기기를 감염시키고, 많은 권한들을 요구하며, 뱅킹 앱에 오버레이 창을 띄우는 방식으로 사용자의 데이터를 수집합니다. 이런 모든 작업은 백신 앱을 우회한 채로 이루어 지는것으로 확인되었습니다. 

보안연구원들에 따르면, 이 공격은 왓츠앱, Runtastic, Netflix 등 인기있는 앱들의 가짜 버전 다운로드 링크가 포함된 SMS나 MMS 피싱공격으로 시작됩니다. 해당 링크를 클릭하면 구글 플레이 스토어가 아닌 써드파티 앱 스토어로 연결됩니다. 물론 스마트폰 기본 설정에서 출처를 알 수 없는 앱이 허용되어 있지 않은 상태라면 이 피싱공격은 실패합니다. 

만약 가짜 링크에서 앱을 내려받고 설치한다면, 이 앱은 기기의 루트권한 등 일반 앱들이 요구하지 않는 권한들을 요구합니다. 게다가 SMS 읽기/쓰기, 인터넷 접속 권한까지 주어지게 된다면 더욱 위험해 집니다. 만약 사용자가 이 권한들을 허용하지 않더라도, 끊임없이 권한 요구창을 띄워 사용자를 지치게 만들어 결국 "예"를 누르도록 유도합니다. 

만약 이 악성앱에서 요구하는 권한들이 모두 주어지게 되면, Marcher악성코드는 서비스형태로 백그라운드에서 실행되며, 관리자 권한으로 기기를 완전히 제어하게 됩니다. 

Marcher 뱅킹 악성코드는 두 가지 공격 목적을 갖고 있습니다. 

첫 번째는 SMS 포워딩을 사용하여 SMS를 통한 온라인 뱅킹 인증을 무력화시키는 것이며, 두 번째는 사용자의 금융정보를 탈취하는 것입니다. 이 뱅킹 악성코드는 타겟 앱이 기기에서 실행될 때 마다 직접 제작한 피싱화면을 그 위에 오버레이 하는 것입니다. 이 화면은 실제 뱅킹 앱 화면과 매우 흡사하여 사용자들은 어떠한 의심없이 각종 금융정보들을 입력하게 되며, 이렇게 사용자가 입력한 금융정보들은 모두 해커에게 전달되는 것입니다. 해커들은 탈취한 금융정보들을 직접 악용하거나 다크웹을 통하여 다른이들에게 판매를 하여 수익을 얻습니다.

다음은 이 가짜 앱이 요구하는 권한들 입니다. 

- 네트워크 연결상태 변경

- SMS 전송, 편집 및 삭제

- 기기 잠금

- 기기 부팅 시 자동 시작

- 사용자 WiFi 상태 모니터링

- 전화 걸기

- 텍스트 인터셉트 등

정상적인 앱들도 이러한 기능들 중의 일부기능들을 포함하고 있지만, 이 모든기능들을 한꺼번에 요구하지는 않습니다. 이러한 다양한 권한을 통하여 악성앱은 사용자 디바이스를 완전히 제어할 수 있게되는 것입니다. 

Marcher 뱅킹 악성코드는 Instagram, Play Store, Facebook, Skype, Viber, WhatsApp, Gmail, Amazon Shopping 등 유명 앱들로 위장하고 있으며 BAWAG, ErsteBank, Volksbank, Bank Austria, ING DiBA Banking + Brokerage, Raiffeisen, DKB Banking, Santander MobileBanking, Barclays, Bank of Scotland, Lloyds Bank, Halifax, HSBC, Banco de Brasil, ING Direct Australia Banking, Citi Mobile, PayPal 등을 포함한 총 117개의 뱅킹앱들을 공격 타겟으로 합니다. 

모바일 백신 우회

Marcher 뱅킹 악성코드에는 모바일 백신을 우회하는 기능이 포함되어 있습니다. 이 때문에 사용자 기기에 모바일 백신앱이 설치되어 있어도 악성앱이 설치되는 것입니다. 아 악성앱은 기기에서 앱을 찾아낼 수 있는 간단한 기술을 이용하여 백신 앱이 실행중인지 확인합니다. 만약 백신앱이 실행중이라면, 악성앱은 강제로 홈 스크린으로 되돌리게 됩니다. 그렇기 때문에 백신앱이 악성앱을 탐지해 내더라도 사용자가 권한을 주지 않으면 삭제할 수 없을 뿐만 아니라 사용자는 백신 앱의 인터페이스를 볼 수 없기 때문에 어떠한 행위도 할 수 없는 것입니다. 

<이미지 출처 : http://news.softpedia.com/news/android-banking-trojan-marcher-targets-dozens-of-apps-bypasses-antivirus-512871.shtml>

Marcher 뱅킹 악성코드가 우회하는 모바일 백신 및 툴들은 다음과 같습니다. 

Norton, BitDefender, Kaspersky, AVG, Avast, Avira, CCleaner, Dr.Web Light, CM Security AppLock Ativirus 등

Security의 통계에 따르면 총 11,000의 감염 횟수 중 독일어 장비가 5,700대, 프랑스의 기기가 2,200대 가량 감염된 것으로 확인되었으며, 가장 많이 감염된 안드로이드 버전은 6.0.1인 것으로 확인되었습니다. 

감염 후 조치

만약 Marcher 뱅킹 악성코드에 감염되었다면 공장 초기화밖에 방법이 없습니다. 

가장 좋은 예방방법은 지인에게로부터 받은 링크라 할 지라도 클릭하지 않는 것이 좋으며, 만약 링크를 클릭하더라도 신뢰할만한 앱마켓이 아니라면 앱을 설치하지 않아야 합니다. 또한 '알 수 없는 출처' 설정을 비활성화 해 두어야 합니다. 

현재 알약에서는 Marcher 뱅킹 악성코드에 대하여 Trojan.Android.Marcher로 탐지중에 있습니다. 

참고 : 

http://news.softpedia.com/news/android-banking-trojan-marcher-targets-dozens-of-apps-bypasses-antivirus-512871.shtml

https://www.securify.nl/blog/SFY20170202/marcher___android_banking_trojan_on_the_rise.html