Exobot 안드로이드 뱅킹 트로이목마의 소스코드, 온라인에 유출 돼

Source Code for Exobot Android Banking Trojan Leaked Online

최신 안드로이드 뱅킹 트로이목마의 소스코드가 온라인에 유출 되었으며, 악성 코드 커뮤니티에서 급속도로 퍼져나가고 있습니다. 이에 연구원들은 새로운 악성코드 캠페인이 곧 발생할 것을 우려하고 있습니다.

이 악성코드의 이름은 Exobot이며, 2016년 말에 처음 발견 된 안드로이드 뱅킹 트로이목마입니다. 이 악성코드의 제작자들은 올해 1월 이 소스코드를 판매용으로 내놓았습니다.

운영이 거듭됨에 따라, 악성코드 제작자들은 이 악성코드를 월간/주간 서비스 형태로 판매했습니다. 이러한 형태는 MaaS(Malware-as-a-Service) 또는 CaaS(Cybercrime-as-a-Service)라 부릅니다.

악성코드의 제작자가 전체 코드를 판매하는 경우는 보통 다른 소스코드 개발에 매진하거나 해당 소스코드를 더 이상 발전시키고 싶지 않음을 의미합니다. 소스코드 유출은 보통 많은 사람들이 소스코드를 구매한 후 일어납니다.

Exobot의 소스코드, 5월에 유출 돼

Bleeping Computer는 익명의 개인으로부터 이 소스코드의 사본을 받았습니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/source-code-for-exobot-android-banking-trojan-leaked-online/>

이 코드는 원 제작자가 개발을 포기하기 전 만들어진 Exobot의 마지막 버전인 2.5버전인 것으로 나타났습니다. 이 버전은 “Trump Edition”으로도 알려져 있습니다.

원 제작자로부터 이 소스코드를 구매한 한 사용자는 지난 5월 커뮤니티에 이 코드를 공개하기로 결정한 것으로 보입니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/source-code-for-exobot-android-banking-trojan-leaked-online/>

그 이후, Exobot의 소스코드는 꽤 많은 언더그라운드 해킹 포럼에서 배포 되고 있음을 발견했습니다.

보안 연구원들, Exobot 캠페인이 급증할 것 우려해

보안 연구원들은 이 코드가 확산 됨으로 인해 악성코드 캠페인이 급증할 것으로 우려된다고 밝혔습니다.

실제로 2016년 12월 BankBot 안드로이드 뱅킹 트로이목마의 소스코드가 유출 된 후, 2017년에는 대규모 악성코드 캠페인이 발생했습니다.

BankBot 코드가 공개됨에 따라, 초보 공격자들이 안드로이드 악성코드 업계에 발을 들이는데 필요한 재정적 비용 및 진입 장벽을 낮출 수 있었습니다. Exobot도 비슷한 절차를 밟았기 때문에, 보안 연구원들은 이와 유사하게 Exobot 캠페인이 급증할 것으로 우려해 대비하고 있습니다.

매우 강력한 Exobot

ThreatFabric의 보안 연구원인 Cengiz Han Sahin은 Exobot이 꽤 강력한 뱅킹 트로이목마이며, 심지어 최신 안드로이드 버전을 사용하는 스마트폰까지 감염시킬 수 있다고 밝혔습니다. 이는 매우 적은 수의 트로이목마만이 가능한 일입니다.

“이 트로이목마는 어떠한 권한이 없이도 현재 떠있는 앱의 패키지명을 얻을 수 있습니다. 약간의 버그가 있지만, 대부분 작동합니다.”

“흥미로운 부분은, 안드로이드 권한이 필요하지 않다는 것입니다. 다른 안드로이드 뱅킹 트로이목마들은 이를 위해 접근성(Accessibility)이나 사용 통계(Use Stats) 권한을 사용하기 때문에 사용자 조작도 필요합니다.”

Exobot의 소스코드는 쉽게 접근이 가능해졌으며 꽤 강력합니다. 따라서 수 개월 내에 안드로이드 악성코드 개발자들이 그들의 캠페인을 BankBot에서 Exobot으로 “무료 업그레이드”할 것으로 추측 됩니다.

출처 :

https://www.bleepingcomputer.com/news/security/source-code-for-exobot-android-banking-trojan-leaked-online/