포스팅 내용

국내외 보안동향

[해외보안동향] 안드로이드 HijackRAT, 모바일 뱅킹 유저 공격 준비중?

Android HijackRAT poised to hit mobile banking users

안드로이드 HijackRAT, 모바일 뱅킹 유저 공격 준비중?


다양한 기능이 포함된 안드로이드 HijackRAT(Remote Access Trojan: 원격 접속 트로이목마)이 발견되었습니다. 국내에서는 이미 4월말 ~ 5월 초부터 스미싱을 통해 유포되고 있었습니다.


'Google Service Framework'로 위장한 이 악성 앱은, 유저 정보, 뱅킹 크리덴셜 등을 훔칠 수 있으며, 공격자가 사용자 기기로 원격 접속할 수 있도록 허용합니다. 현재 해당 앱은 대한민국 8개 은행의 고객들만을 노리고 있지만, 향후 공격대상이 확대될 가능성이 있다는 점에서 주의가 필요합니다.


Google Service Framework로 위장한 악성앱이 설치되는 화면


해당 앱이 설치되면 HijackRAT은 정상적인 구글 서비스 프레임워크앱처럼 행세합니다. 이를 실행시키면 'Google Services' 아이콘이 홈스크린에 생성됩니다. 이 후 사용자에게 권한을 요구하는데, 이를 수락하면 사용자가 기기 설정 페이지에서 직접 권한을 되돌리기 전까지 해당 앱을 삭제하는 것이 불가능합니다.


안드로이드 HijackRAT은 홍콩에 위치한 C&C 서버에 연결하여 명령을 내려받습니다. 명령 중에는 모바일 상세정보, 연락처 목록, 텍스트 메시지 내용 을 탈취하는 일도 포함될 수 있습니다. 또한 사용자 기기에 설치된 '대한민국의 8개 은행 앱' 중 하나가 발견되면, 이를 가짜앱으로 바꿔치기 합니다.


이 후 '앱의 새로운 버전이 릴리즈 되었으니, 재설치 후 사용하십시오'라는 팝업 메시지와 함께 해당 앱이 업데이트를 시도하려고 하는 것처럼 사용자를 교묘하게 속입니다. 사실은 '진짜 은행 앱'을 삭제하는 것입니다.


알약에서는 해당 악성코드를 5월부터 Trojan.Android.KRBanker로 탐지하고 있습니다. 관련하여 자세한 분석 내용은 ▶여기를 참고해 주시기 바랍니다.



자료 참고 및 출처:

Net Security

http://www.net-security.org/malware_news.php?id=2800



티스토리 방명록 작성
name password homepage