상세 컨텐츠

본문 제목

MysteryBot 안드로이드 악성코드, 뱅킹 트로이목마, 키로거, 랜섬웨어 포함 해

국내외 보안동향

by 알약(Alyac) 2018. 6. 18. 10:09

본문

New MysteryBot Android Malware Packs a Banking Trojan, Keylogger, and Ransomware


사이버 범죄자들이 현재 안드로이드 기기를 노리는 새로운 악성코드 변종을 개발 중인 것으로 나타났습니다. 이 악성코드는 뱅킹 트로이목마, 키로거, 모바일 랜섬웨어를 포함합니다.


MysteryBot이라 명명 된 이 악성코드는 아직 개발 중인 것으로 보입니다.



MysteryBot, LokiBot과 관련 있어


연구원들은 MysteryBot이 잘 알려진 LokiBot 안드로이드 뱅킹 트로이목마와 관련 있는 것으로 보인다고 밝혔습니다.


연구원들은 “트로이목마 코드 두 개를 분석한 결과, 우리는 LokiBot과 MysteryBot의 제작자들이 관련이 있을 것으로 추측했습니다. MysteryBot은 LokiBot 코드를 기반으로 하고 있기 때문입니다.”고 밝혔습니다.


게다가, MysteryBot 악성코드는 과거 LokiBot 캠페인이 사용했던 것과 동일한 C&C 서버로 데이터를 보냅니다. 따라서, 동일한 사람이나 그룹이 개발하고 있는 것으로 추측할 수 있습니다.


LokiBot의 개발자가 왜 MysteryBot을 개발하는지에 대한 이유는 밝혀지지 않았지만, LokiBot의 소스코드가 몇 개월 전 온라인에 유출 되었다는 것과 관련이 있는 것으로 추측 됩니다.


다수의 사이버 범죄 그룹이 LokiBot 코드에 달려들었으며, 지금까지도 이용하고 있습니다. 따라서 LokiBot의 개발자들은 언더그라운드 포럼에서 판매할 새로운 악성코드 패밀리를 만들려고 하는지도 모릅니다.



안드로이드 7, 8에서 동작 가능한 MysteryBot


MysteryBot은 안드로이드 7, 8에서 “오버레이 스크린”을 안정적으로 보여줄 수 있는 최초의 뱅킹 악성코드인 것으로 보입니다.


뱅킹 악성코드들은 정식 앱의 위에 가짜 로그인 페이지를 보여주기 위해 오버레이 스크린을 사용합니다. 구글이 안드로이드 7과 8에 추가한 보안 기능으로 인해, 악성 코드들은 기존의 방식으로는 더 이상 오버레이 스크린을 표시할 수 없었습니다.


문제는 기존 악성코드들이 정확한 순간에 오버레이 스크린을 표시하지 못한다는 것이었습니다. 사용자가 스크린에서 앱을 볼 때를 감지하지 못했기 때문에, 오버레이 화면을 내보낼 시간을 잘못 계산해 엉뚱한 시간에 로그인 화면이 표시 된다는 것입니다.


MysteryBot 뱅킹 모듈, 사용 접근 권한 악용해


MysteryBot 팀은 사용자가 앱을 열고 전면으로 가져오는 적절한 시간에 오버레이 스크린을 표시하는 안정적인 방법을 찾은 것으로 보입니다.


공격자들은 앱에 대한 사용 통계를 보여주는 안드로이드 OS 기능인 PACKAGE_USAGE_STATS 권한 (Usage Access 권한)을 사용하고, 현재 사용 중인 앱에 대한 정보를 간접적으로 유출합니다.


MysteryBot의 개발 중인 버전은 많은 모바일 인터넷 뱅킹 (오스트레일리아, 오스트리아, 독일, 스페인, 프랑스, ​​크로아티아, 폴란드, 루마니아) 및 페이스북, 왓츠앱, 바이버와 같은 메시징 앱을 위한 커스텀 “오버레이 스크린”을 포함합니다.


악성코드는 총 100개의 앱을 노리는 것으로 나타났습니다. 또한 연구원들은 MysteryBot이 앞으로 몇 주 내에 스크린 오버레이를 강화할 것으로 추측했습니다.



매우 독특한 키로거 컴포넌트


이 악성 코드에는 키로거가 포함 되어 있으며, Android 마켓에서 발견 되는 다른 키로거와 비교했을 때 매우 특이합니다.


MysteryBot은 사용자가 터치 키보드를 눌러 키를 입력하는 순간, 이를 식별하기 위해 스크린샷을 찍는 대신 터치 제스쳐의 위치를 기록합니다.


이후 키로거는 추측한 종류의 가상 키보드 위에서 사용자 터치 제스쳐의 스크린 위치를 기반으로 사용자가 무엇을 눌렀는지 추측하려고 시도합니다.


연구원들은 이 컴포넌트가 기록 된 데이터를 원격 서버로 보내는 등의 행동을 하지 않기 때문에 아직까지 동작하지 않는 상태라고 밝혔습니다.



MysteryBot, 결함이 있는 랜섬웨어 모듈 포함해


연구원들은 MysteryBot이 외부 스토리지 기기에 저장 된 사용자의 파일들을 모두 잠궈버리는 랜섬웨어 모듈을 포함한다고 밝혔습니다.


이 랜섬웨어는 파일을 암호화 하지는 않지만, 암호로 보호 된 ZIP파일 속에 각각의 파일을 잠급니다.


하지만 연구원들은 이 모듈이 다소 애매하게 코딩 되었다고 말했습니다.


첫 번째로, ZIP 아카이브 패스워드는 8자리이기 때문에 쉽게 브루트포싱 될 수 있습니다.


두 번째로, 패스워드 및 사용자 맞춤 생성 감염 기기 ID는 Myster_L0cker라는 이름의 원격 제어판으로 보내집니다.


문제는 각각의 피해자에게 할당 된 ID는 0~9999 사이의 숫자인데, 원격 제어판으로 보내질 때 기존 ID를 확인하지 않는다는 것입니다.


따라서 동일한 ID를 가진 새로운 피해자가 MysteryBot의 백엔드와 동기화 되면, 이 전의 피해자는 제어판에 패스워드를 덮어쓰기 할 수 있습니다.



안드로이드용 Flash Player로 위장한 MysteryBot


연구원들은 지금까지 발견 된 MysteryBot의 버전들이 안드로이드용 Flash Player 앱으로 위장하고 있었다고 밝혔습니다.


연구원들은 “일반적으로, 앱스토어들 내/외부에서 발견 되는 ‘플래시 플레이어(업데이트)’ 앱들은 모두 악성코드임을 명심해야 합니다.”고 밝혔습니다.


MysteryBot은 아직까지 배포 되고 있는 상태는 아니지만, LokiBot은 SMS 스팸을 통해 배포 되었습니다. 동일한 개발자가 두 악성코드를 개발했기 때문에 MysteryBot도 동일한 방식으로 배포될 가능성이 있습니다.


연구원들은 악성코드의 감염을 피하기 위해 플레이 스토어 밖에서 앱을 설치하지 말고, 앱에 접근성 서비스 권한을 부여하지 말 것을 조언했습니다.


현재 알약 M에서는 해당 악성앱에 대해 Trojan.Android.Banker로 탐지중에 있습니다. 






출처 : 

https://www.bleepingcomputer.com/news/security/new-mysterybot-android-malware-packs-a-banking-trojan-keylogger-and-ransomware/

https://www.threatfabric.com/blogs/mysterybot__a_new_android_banking_trojan_ready_for_android_7_and_8.html

관련글 더보기

댓글 영역