Anubis의 코드를 차용한 새로운 Ginp 안드로이드 악성코드 변종 발견

The latest variant of the new Ginp Android Trojan borrows code from Anubis

ThreatFabric의 보안 연구원들이 크리덴셜과 신용 카드 정보를 훔치는 안드로이드 뱅킹 악성코드인 Ginp를 발견했습니다.

Ginp는 지난 10월 카스퍼스키에서 처음으로 발견했습니다. 연구원들은 이 악성코드가 당시 스페인과 영국을 노리고 있었으며 최소 6월부터 활동해왔다고 추측했습니다. 이 악성코드는 이미 5번의 주요 업데이트가 완료되었으며, 최신 업데이트에서는 Anubis 뱅킹 악성코드의 코드 일부분을 차용한 것으로 나타났습니다.

“Ginp의 특이점은 이 악성코드가 처음부터 자체적으로 개발했으며 정기적인 업데이트를 통해 확장되었다는 점입니다. 최신 업데이트는 악명 높은 Anubis 뱅킹 악성코드의 코드를 일부 포함하고 있었습니다. 또한 오리지널 타깃 리스트는 매우 제한적이라 스페인의 은행을 직접적으로 공격하고 있는 것으로 보입니다.”

“은행에 인젝션된 오버레이 스크린은 피해자의 로그인 크리덴셜을 훔친 후 신용카드 정보를 훔치기 위한 2단계로 구성됩니다.”

이 악성코드의 초기 버전은 2019년 6월 “Google Play Verificator” 앱으로 위장된 채 발견되었으며 피해자의 SMS 메시지를 훔칠 목적으로 개발되었습니다. 8월에는 뱅킹 관련 기능을 구현해 가짜 “Adobe Flash Player” 앱으로 위장시켜 악성코드를 확산시켰습니다. 

이 악성코드는 오버레이 공격을 위해 접근성 서비스를 악용하며 기본 SMS 앱으로 설정됩니다. 

오버레이 공격의 목적은 신용카드 정보를 수집하는 것이며 구글 플레이와 페이스북, 왓츠앱, 크롬, 스카이프, 인스타그램, 트위터를 포함한 소셜 및 유틸리티 앱을 노립니다. 

그다음 버전은 스냅챗과 바이버 애플리케이션 또한 공격합니다. 

전문가들은 실제 공격에서 발견된 세 번째 버전이 올해 초 유출된 Anubis 악성코드의 코드를 포함하는 것을 발견했습니다. 이 변종의 타깃 리스트에서는 소셜 앱이 삭제되었으며 은행에만 집중하고 있는 것으로 나타났습니다. 

“이 앱은 스페인 은행과 관련된 앱들만 노리고 있었습니다. 타깃 목록에서는 이전에 다른 안드로이드 뱅킹 안드로이드 목마가 공격하지 않은 앱들도 발견되었습니다. 타깃 앱들은 모두 24개였으며 Caixa bank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank, Santander 7개 은행의 앱이었습니다.” 

지난달 발견된 이 악성코드의 최신 버전은 사용되지 않는 것으로 보이는 사소한 변경사항만이 구현되었습니다. 메시지 전송, 전화 걸기 등 앱에 기기 관리자 권한을 부여하는 기능 또한 구현되었습니다. 

“악성코드가 기기에서 처음 시작되면 사용자로부터 숨기 위해 앱 목록에서 아이콘을 숨깁니다. 두 번째 단계는 피해자에게 접근성 서비스 권한을 묻는 것입니다.” 

사용자가 접근성 서비스 권한을 부여할 경우 Ginp는 자기 자신에게 사용자의 조작이나 확인 없이도 메시지 전송, 전화 걸기가 가능하도록 추가 권한을 부여합니다. 이후 C&C 서버로부터 명령을 기다립니다.

Ginp는 아래 기능을 구현하여 오랜 기간 동안 탐지되지 않은 채 활동할 수 있었습니다.

오버레이: 동적 오버레이 (C&C로부터 얻은 로컬 오버레이)

SMS 수집: SMS 리스팅

SMS 수집: SMS 포워딩

연락처 수집

앱 목록 리스팅

오버레이: 타깃 리스트 업데이트

SMS: 전송

전화: 착신 전환

C2 탄력성: 보조 C2 리스트 보유

자가 보호: 앱 아이콘 숨김

자가 보호: 삭제 방지 기능

자가 보호: 에뮬레이션 감지 기능

Ginp는 접근성 서비스를 통해 현재 전면에서 실행 중인 애플리케이션을 알아내어 타깃 리스트 내 패키지명과 비교한 후 관련된 오버레이 화면을 표시합니다. 

봇은 C2로 패키지명을 보내 웹뷰 기반 오버레이에 로드되는 HTML 페이지를 제공합니다. 

전문가들은 Ginp가 다음 달에도 새로운 기능을 개발해 지속적으로 진화할 것이라 추측했습니다. 또한 공격자가 다른 국가에도 공격을 확장시킬 것으로 예상했습니다. 

“Ginp는 피해자가 개인 정보를 제공하도록 속이는 기본적인 기능을 제공하는 단순하지만 효과적인 악성코드입니다. 지난 5개월 동안 공격자는 악성코드를 처음부터 직접 개발할 수 있었으며 키로깅, 백 커넥트 프락시, RAT와 같은 추가 기능을 통해 지속적으로 진화할 것으로 추측됩니다.” 

“Ginp는 스페인 은행만을 집중적으로 노리는 것이 아니라, 타깃 은행과 관련된 다양한 앱들을 노립니다. 오버레이 되는 화면은 정식 은행 앱과 거의 동일합니다. 이로써 공격자가 스페인어와 스페인 뱅킹 애플리케이션에 매우 익숙한 것으로 추측할 수 있습니다.”

출처:

https://securityaffairs.co/wordpress/94533/cyber-crime/ginp-android-trojan-anubis.html

https://www.threatfabric.com/blogs/ginp_a_malware_patchwork_borrowing_from_anubis.html