뱅킹 악성코드 Svpeng, 키로깅 기능 추가

Dangerous Mobile Banking Trojan Gets 'Keylogger' to Steal Everything

최근 보안연구원들이 키로거 기능이 추가된 안드로이드 뱅킹 악성코드를 발견했습니다. 

연구원들은 지난 달 중순 Svpeng라는 안드로이드 뱅킹 악성코드의 변종을 발견했으며, 여기에는 Accessibility Service를 악용하는 새로운 키로거 기능이 포함되어 있는 것을 확인하였습니다. 

안드로이드 악성코드, 키로깅 기능 추가를 위해 ‘Accessibility 서비스’ 악용해

Svpeng의 새로운 버전에서는 키로거 추가를 위해 안드로이드의 Accessibility 서비스를 악용하였습니다 이는 사용자들에 스마트폰 기기와 상호작용 할 수 있는 대체 방법을 제공해주는 안드로이드의 기능입니다.

이러한 기능 추가를 통하여, Svpeng 악성코드는 다른 앱에 입력된 테스트들 및 모든 키 입력들을 기록할 수 있을 뿐만 아니라, 많은 권한을 획득하여 사용자들이 언인스톨 하지 못하도록 합니다. 

작년 8월, Svpeng 뱅킹 트로이목마는 구글 애드센스 광고를 악용해 단 2개월 만에 전 세계 318,000대가 넘는 안드로이드 기기들을 감염시켰습니다.(▶ 자세히보기)

그리고 약 한달 전, 연구원들은 안드로이드의 Accessibility 서비스를 악용하는 또 다른 공격인 Cloak and Dagger를 발견했습니다. 이는 해커가 은밀히 감염 된 기기의 전체 제어 권한을 얻어 개인 데이터를 훔칠 수 있도록 허용했습니다.

러시아인이라면 안전!

Svpeng의 새로운 변종은 아직까지 널리 배포 되지는 않았지만, 단 1주일만에 러시아, 독일, 터키, 폴란드, 프랑스를 포함한 23개국의 사용자들을 공격했습니다.

감염된 사용자의 대부분이 러시아에 있지만, 이 Svpeng 변종 악성앱은 러시아 사용자의 기기에서는 아무런 악성행동을 하지 않습니다. 

분석결과에 따르면, 이 악성앱은 기기를 감염시킨 후 기기의 언어를 확인합니다. 만약 언어가 러시아어라면, 악성앱은 더 이상 악성 행동을 하지 않습니다. 이로써 이 트로이목마의 배후에 있는 범죄자들이 러시아인이며, 법을 어기지 않기 위해 자국민을 해킹하지 않는 것이라고 추정하고 있습니다.

'Svpeng’ 악성앱이 당신의 돈을 훔치는 법

연구원은 지난 7월 발견 된 Svpeng의 최신 변종이 가짜 플래시 플레이어로 위장한 악성 웹사이트를 통해 배포되고 있다고 말했습니다.

이 악성앱이 일단 설치되면 설치된 환경의 언어를 확인합니다. 만약 러시아 어가 안니라면, 기기에  Accessibility 서비스 접근 권한을 요청합니다. 이로써 감염 된 기기를 여러가지 위험한 공격에 노출 시키게 됩니다.

Accessibility 서비스에 접근 권한을 갖게 되면, 이 악성앱는 자기 자신에 기기의 어드민 권한을 부여하고, 정식 앱의 위에 오버레이 스크린을 표시하며 전화 걸기, SMS 전송 및 수신, 연락처 접근 등과 같은 여러 동적 권한들을 부여합니다.

게다가, 이 트로이목마는 관리자 권한을 이용해, 사용자가 자신으로부터 기기 관리자 권한을 빼앗아 가려는 시도를 모두 차단하기 때문에, 이 악성앱을 삭제할 수 없습니다. 

또한 Svpeng은 Accessibility 서비스를 이용해 기기의 다른 앱들에 대한 내부 작업에 대한 권한을 얻어 사용자가 다른 앱들에 입력한 텍스트를 훔치고 사용자가 키보드 버튼을 누를 때 마다 스크린샷을 찍고, 다른 데이터들을 훔치는 등의 악성행위를 합니다.

연구원은 “주로 은행 앱들을 포함한 일부 앱들은, 해당 앱이 맨 위층에서 표시 될 때 스크린 샷을 찍는 것을 허용하지 않는다. 이런 경우에도, 트로이목마는 데이터를 훔칠 수 있는 방법이 있다. 공격하려는 앱 위에 피싱 창을 표시하는 것이다.”

“어떤 앱이 최 상위에 있는지 알아내기 위해 accessibility 서비스를 사용한다는 점도 흥미롭다.”고 밝혔습니다.

훔친 모든 정보는 공격자의 C&C 서버로 전송 됩니다. 연구원은 이 악성코드의 C&C 서버로부터 암호화 된 설정 파일을 가로채는데 성공했다고 밝혔습니다.

그는 이 파일을 해독하여 Svpeng이 타겟으로 하는 일부 웹사이트, PayPal 및 eBay 모바일 앱 피싱 페이지의 URL, 영국, 독일, 터키, 호주, 프랑스, 폴란드, 싱가폴의 뱅킹 앱들의 링크들을 알아낼 수 있었습니다.

이 파일을 분석 결과 URL 뿐만 아니라 악성코드가 C&C 서버로부터 SMS 전송, 연락처 등 정보 수집, 설치 된 앱 및 전화 기록, 악성 링크 오픈, 기기의 모든 SMS 수집, 수신 되는 SMS 훔치기 등 다양한 명령을 받는 다는 사실을 알아낼 수 있었습니다.

해커들로부터 스마트폰을 보호하는 법

Svpeng 악성앱이 사용하는 악성기술들은 최신 버전의 안드로이드 기기에서 동작하므로, 완전히 감염을 예방할 수 있는 방법은 없습니다. 

다만, 악성앱에 감염되지 않게 하기 위하여 다음과 같은 보안 수칙을 꼭 지키도록 노력해야 합니다. 

구글 플레이 스토어나 애플 앱스토어와 같은 신뢰할 수 있는 출처만 사용하기

앱을 설치하기 전 앱이 요구하는 권한 확인하기

알 수 없거나 안전하지 않은 와이파이 핫스팟 피하기

사용하지 않을 경우 와이파이 옵션을 꺼 두기

SMS, MMS나 이메일로 받은 링크 클릭하지 않기

우수한 바이러스 백신 앱 사용하고, 최신 상태로 유지하기

알약 안드로이드에서는 해당 악성앱에 대하여 Trojan.Android.InfoStealer로 탐지중에 있습니다. 

출처 : 

http://thehackernews.com/2017/07/android-banking-malware.html

https://securelist.com/a-new-era-in-mobile-banking-trojans/79198/