새로운 서비스형 안드로이드 뱅킹 악성코드 Cerberus 등장

Cerberus: A New Android 'Banking Malware For Rent' Emerges

Anubis, Red Alert 2.0, GM bot, Exobot과 같은 안드로이드 트로이목마가 서비스형 악성코드(MaaS) 서비스를 종료한 후, 안드로이드 봇 서비스와 유사한 기능을 가진 새로운 플레이어가 나타났습니다.

켈베로스(Cerberus)라 명명된 이 새로운 원격 접속 트로이목마는 원격 공격자가 감염된 안드로이드 기기 전체를 제어하도록 허용하고 오버레이 공격, SMS 제어, 연락처 수집 등과 같은 뱅킹 트로이목마 기능을 포함하고 있습니다.

<이미지 출처: https://thehackernews.com/2019/08/cerberus-android-banking-trojan.html>

이 악성코드의 제작자에 따르면, Cerberus는 현존하는 어떠한 뱅킹 트로이목마의 코드도 재사용하지 않았다고 밝혔습니다.

또한 그는 악성코드 대여 서비스를 제공하기 전, 최소 2년간 개인적으로 해당 트로이목마를 사용했다고 주장했습니다. 

켈베로스(Cerberus)의 대여 금액은 1개월에 2,000달러, 6개월에 7,000달러, 12개월에 12,000 달러입니다.

Cerberus 뱅킹 트로이목마의 기능

Cerberus 트로이목마의 샘플을 분석한 연구원들에 따르면, 이 악성코드는 아래와 같이 일반적인 기능들을 포함하고 있습니다.

- 스크린샷 촬영

- 오디오 녹음

- 키로그 기록

- SMS 전송/수신/삭제

- 연락처 목록 탈취

- 착신 전환

- 기기 정보 수집

- 기기 위치 추적

- 계정 크리덴셜 탈취

- Play Protect 비활성화

- 추가 앱 및 페이로드 다운로드

- 감염된 기기에서 앱 제거

- 알림 푸시

- 기기의 화면 잠금

Cerberus는 가장 먼저 App drawer(앱 화면 사용)에서 자신의 아이콘을 숨기고 플래시 플레이어 서비스로 위장한 후 안드로이드의 접근성 권한을 요청합니다.

권한이 부여되면, 이 악성코드는 자동으로 해킹된 기기를 C&C 서버에 등록하여 공격자나 악성코드 서비스 구매자가 원격으로 해당 기기를 제어할 수 있도록 합니다.

사용자의 신용 카드 번호, 다른 온라인 계정의 뱅킹 크리덴셜 및 패스워드를 훔치기 위해 Cerberus는 공격자들이 원격 대시보드를 통해 스크린 오버레이 공격을 실행할 수 있도록 해줍니다.

※ 오버레이(overlay) 공격이란?

오버레이 공격은 악성 앱 위에 가짜 앱을 실행시키는 것으로 사용자가 화면에 나타난 가짜 앱을 클릭하면 실제로는 그 밑에 악성 앱이 실행되어 각종 악성 행위를 수행할 수 있다.

관련글 바로가기:

▶ MysteryBot 안드로이드 악성코드, 뱅킹 트로이목마, 키로거, 랜섬웨어 포함 해 (2018.06.18)

▶ 90개국의 저가형 안드로이드 기기 141대에서 선 탑재 된 Cosiloon 악성코드 발견! (2018.05.28)

▶ 사이버 범죄자들, 안드로이드 뱅킹 악성코드를 배포하기 위해 라우터 DNS 하이잭 해 (2018.04.17)

▶ BankBot 플레이스토어에 돌아와 (2017.11.22)

이 트로이목마는 정식 모바일 뱅킹 앱 위에 오버레이 스크린을 표시하여 안드로이드 사용자가 가짜 로그인 화면에 모바일 뱅킹 정보를 입력하도록 속입니다.

이 봇은 탈취한 접근성 서비스 권한을 포그라운드(foreground)에서 실행되는 애플리케이션의 패키지명을 확인하고 피싱 오버레이 창을 표시할지 여부를 결정하는데 사용합니다.

 

<이미지 출처: https://www.threatfabric.com/blogs/cerberus-a-new-banking-trojan-from-the-underworld.html>

연구원들에 따르면, Cerberus는 총 30개의 고유한 타깃을 노린 오버레이 공격 템플릿을 갖추고 있었습니다. 여기에는 아래 분야의 앱들이 포함됩니다.

- 프랑스 뱅킹 앱 7개

- 미국 뱅킹 앱 7개

- 일본 뱅킹 앱 1개

- 뱅킹 앱이 아닌 다른 앱 15개

Cerberus, 모션 기반 회피 기술 사용해

Cerberus는 안티 바이러스 솔루션의 탐지 및 분석을 피하기 위해 기기의 가속도계 센서를 사용하여 피해자의 움직임을 측정하는 등 흥미로운 기술을 사용했습니다.

사용자가 움직이면, 안드로이드 기기는 일정량의 모션 센서 데이터를 생성합니다. 

이 악성코드는 기기의 모션 센서를 통해 사용자의 걸음 수를 모니터링하여 앱이 실제 안드로이드 기기에서 실행되는지 확인합니다.

트로이목마는 이 간단한 방법으로 동적 분석 환경(샌드박스) 및 악성코드 분석가의 테스트 기기에서 실행 및 분석되는 것을 예방합니다.

사용자의 기기에 센서 데이터가 없을 경우, 악성코드는 모션 센서가 없는 에뮬레이터로 간주하고 악성 코드를 실행하지 않습니다.

이 방법은 기존의 안드로이드 뱅킹 트로이목마인 'Anubis'에서 이미 사용했던 기술입니다.

Cerberus는 타깃 기기에 자동으로 설치하기 위한 취약점 악용하지 않으나 대신 사회공학적 기법을 통해 악성코드를 설치합니다.

따라서 모바일 기기에 파일을 다운로드하거나 사이드로딩(Sideloading)을 하기 전에 주의를 기울여 주실 것을 추천 드립니다.

※ 사이드로딩(Sideloading)이란?

두 로컬 장치, 특히 컴퓨터와 휴대 전화, 스마트폰과 같은 모바일 장치 간에 USB를 케이블로 연결해 파일을 전송하는 것

현재 알약M에서는 해당 악성코드에 대해 Trojan.Android.Banker으로 탐지 중에 있습니다.

출처:

https://thehackernews.com/2019/08/cerberus-android-banking-trojan.html

https://www.threatfabric.com/blogs/cerberus-a-new-banking-trojan-from-the-underworld.html