사이버 범죄자들, 안드로이드 뱅킹 악성코드를 배포하기 위해 라우터 DNS 하이잭 해

Cybercriminals Hijack Router DNS to Distribute Android Banking Trojan

보안 연구원들이 현재 진행중인 악성코드 캠페인에 대해 경고했습니다. 

이 캠페인은 사용자의 중요한 정보, 로그인 계정, 이중 인증을 위한 비밀 코드를 훔치는 안드로이드 뱅킹 악성코드를 배포하기 위해 인터넷 라우터를 하이잭 하는 것으로 나타났습니다.

사용자들이 Roaming Mantis라 명명 된 안드로이드 악성코드를 설치하도록 속이기 위해, 해커들은 취약하거나 보안이 허술한 라우터의 DNS 세팅을 하이잭 해 온 것으로 드러났습니다.

해커들은 DNS 하이재킹 공격을 통해 트래픽에 인터셉트하고, 웹 페이지에 악성 광고를 삽입하고 사용자들을 로그인 계정, 은행 계좌 정보 등과 같은 중요한 정보를 넘겨주도록 속이는 피싱 페이지로 이동시킵니다.

악의적인 목적을 가지고 라우터의 DNS를 하이재킹 하는 것은 그리 새로운 일은 아닙니다. DNSCharger와 Switcher 악성코드도 공격자들이 제어하는 악성 웹사이트로 트래픽을 이동시키기 위해 무선 라우터의 DNS 세팅을 변경하는 방식으로 동작했습니다.

이 새로운 캠페인은 지난 2월부터 주로 대한민국, 중국, 방글라데시, 일본 등 아시아 국가의 사용자들을 노리고 있는 것으로 나타났습니다.

해커가 구성한 악성 DNS 세팅으로 변경 되면, 이는 피해자들이 방문을 시도하는 정식 웹사이트의 가짜 버전으로 피해자들을 이동시킵니다. 그리고 “더 나은 브라우징을 위해 크롬을 최신 버전으로 업데이트 합니다”는 팝업 경고 메시지를 표시합니다.

<출처: https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/>

안드로이드용 크롬 브라우저로 위장한 Roaming Mantis 악성 앱을 다운로드합니다. 이는 기기의 계정 정보를 수집하고, SMS/MMS 및 전화 발신을 관리하고, 음성을 녹음하며, 외부 저장장치를 제어하고, 패키지를 확인하고, 파일시스템을 사용하고 오버레이 창을 띄우는 등의 권한을 갖습니다.

“리디렉션 되면 안드로이드 Trojan-Banker가 포함 된 facebook.apk와 chrome.apk를 설치하게 됩니다.”

설치 되면, 이 악성 앱은 즉시 "Account No.exists risks, use after certification.”이라는 올바르지 않은 문법을 사용하는 영문 메시지를 보여주는 모든 창 위에 오버레이 되는 가짜 경고 창을 띄웁니다.

이후 Roaming Mantis는 기기에서 로컬 웹 서버를 시작해 웹 브라우저를 열어 사용자들에게 이름과 생일을 입력하라고 요청하는 가짜 구글 웹사이트를 열도록 합니다.

 <이미지: https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/>

위 스크린샷에서 볼 수 있듯이 이 가짜 페이지는 사용자가 입력한 정보를 구글에 전송한다고 믿도록 하기 위해 사용자의 Gmail 이메일 ID를 표시합니다.

연구원은 “사용자가 이름과 생일을 입력하면, 이 브라우저는 http://127.0.0.1:${랜덤포트}/submit 주소의 빈 페이지로 연결 됩니다.”, “배포 페이지와 마찬가지로, 이 악성코드는 한국어, 중국어, 일본어, 영어 4개 국어를 지원합니다.”고 밝혔습니다.

Roaming Mantis 악성 앱은 이미 기기의 SMS 읽기/쓰기 권한을 가지고 있기 때문에, 공격자는 피해자 계정의 이중 인증을 위한 비밀 인증 코드를 가로챌 수 있습니다.

연구원들은 이 악성코드를 분석한 결과 인기 있는 한국의 모바일 뱅킹 및 게임 어플리케이션들에 대한 참조와 감염 된 기기가 루팅 되었는지 여부를 탐지하는 기능을 발견했습니다.

“공격자들은 이를 통해 해당 기기가 고급 안드로이드 사용자의 소유라는 정보나(기기를 더 이상 공격하지 말라는 신호), 또는 루트 접근을 활용해 전체 시스템에 접근할 수 있는 기회를 얻을 수 있음을 알아내는 것으로 추측 됩니다.”

이 악성코드의 흥미로운 점은, 중국의 소셜 미디어 웹사이트 (my.tv.sohu.com)를 C&C 서버로 활용하고 있다는 점입니다. 이는 공격자가 제어하는 사용자 프로필을 업데이트 해 감염 된 기기들에게 명령을 보냅니다.

연구원들의 데이터에 따르면, Roaming Mantis 악성코드는 6천회 이상 탐지 되었으나 감염 된 순 사용자 수는 150명인 것으로 나타났습니다.

사용자들은 라우터의 펌웨어가 최신 버전이며 강력한 패스워드로 보호 되어 있는지 확인하는 것이 좋습니다.

또한 라우터의 원격 관리 기능을 비활성화 하고, 신뢰할 수 있는 DNS 서버를 OS의 네트워크 세팅에 하드코드 하는 것이 좋습니다.

알약M에서는 해당 악성앱들에 대해 Trojan.Android.Banker로 탐지중에 있습니다. 

출처 :

https://thehackernews.com/2018/04/android-dns-hijack-malware.html

https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/