BankBot 플레이스토어에 돌아와

BankBot Returns On Play Store – A Never Ending Android Malware Story

최근 보안 연구원들이 구글 플레이 스토어의 사용자들을 노리는 새로운 악성코드 캠페인 2개를 발견했습니다. 

그 중 하나는 사용자의 로그인 정보를 훔치기 위해 실제 뱅킹 어플리케이션을 모방하는 끈질긴 뱅킹 트로이 목마 패밀리인 BankBot의 새로운 버전을 배포하고 있었습니다.

BankBot은 Citibank, WellsFargo, Chase, DiBa 등을 포함한 전 세계 주요 은행들의 정식 뱅킹 앱들에 가짜 오버레이를 표시해 로그인 및 신용카드 정보를 훔치도록 설계 되었습니다. 또한 SMS 메시지들에 인터셉트 하거나 전화를 걸고, 감염 된 기기를 추적하고 연락처 정보를 훔치는 등의 행동도 할 수 있습니다.

구글은 올해 초 공식 안드로이드 앱 스토어에서 이 뱅킹 트로이목마의 지난 버전이 포함 된 앱 최소 4개를 삭제했지만, BankBot은 늘 플레이스토어로 다시 돌아왔습니다.

연구원들이 발견한 두 번째 캠페인은 BankBot 트로이목마를 배포할 뿐만 아니라, Mazar과 Red Alert까지 배포하고 있었습니다.

연구원들의 분석에 따르면, BankBot의 최신 변종은 무해해 보이는 안드로이드용 손전등 앱으로 위장하고 있었습니다.

이는 10/13에 처음 발견 되었으며, 사용자가 앱에 어드민 권한을 부여한지 2시간이 지나 악성 행동을 시작하고 서로 다른 개발자 계정을 사용해 앱을 배포하는 등의 방법으로 구글의 자동 탐지를 피했습니다.

악성 앱이 다운로드 되면, 이는 하드코딩 된 160개의 모바일 앱 목록과 감염 된 기기에 설치 된 앱 목록을 비교합니다.

연구원들에 따르면, 이 리스트에는 미국의 Wells Fargo와 Chase, 프랑스의 Agricole, 스페인의 Santander, 독일의 Commerzbank 및 전 세계의 다른 금융 기관들의 앱들이 포함 되어 있었습니다.

만약 감염 된 스마트폰에서 목록에 있는 앱이 발견 될 경우, 이 악성코드는 C&C 서버에서 BankBot APK를 기기에 다운로드 및 설치 합니다. 그리고 플레이 스토어나 시스템 업데이트를 가장해 사용자들을 속여 앱에 어드민 권한을 부여하도록 합니다.

일단 어드민 권한을 얻으면, BankBot 앱은 사용자가 목록에 포함 된 앱들 중 하나를 실행할 경우 정식 앱의 위에 오버레이 화면을 표시하고 사용자가 입력하는 모든 것을 훔칩니다.

많은 은행 앱들이 안전한 거래를 위해 이중인증을 사용하고 있기 때문에, BankBot은 텍스트 메시지에 인터셉트하는 기능을 포함해 범죄자들이 사용자의 폰으로 수신 되는 모바일 거래 번호(mTAN)를 훔쳐 그들의 계좌로 돈을 이체할 수 있습니다.

또한, 안드로이드는 기본적으로 플레이 스토어 이외의 출처에서 앱을 설치하려고 할 경우 이를 차단합니다. 이미 알 수 없는 출처로부터 앱 설치를 허용했음에도, 구글은 설치를 계속 하기 위해서는 버튼을 누르기를 요구합니다.

BankBot의 이전 버전들은 Accessibility Service를 통해 백그라운드에서 이러한 버튼을 클릭해 알 수 없는 출처로부터의 설치를 활성화 해왔습니다.

하지만 최신 버전의 BankBot은 Accessibility Service 기능을 활용하지 않습니다. 구글이 실제 시력장애인을 위해 설계 된 앱들을 제외한 모든 앱들에서 이 기능을 차단 시켰기 때문입니다.

구글은 최근 발견 된 모든 BankBot 앱들을 모두 제거하였습니다.

현재 알약안드로이드에서는 해당 악성앱에 대하여 Trojan.Android.Banker로 탐지중에 있습니다. 

출처 :

https://thehackernews.com/2017/11/bankbot-android-malware.html

https://clientsidedetection.com/new_campaigns_spread_banking_malware_through_google_play.html