TrickBot, 모바일 앱 통해 온라인 뱅킹 이중 인증 우회해

TrickBot Bypasses Online Banking 2FA Protection via Mobile App

TrickBot 그룹이 거래 인증 번호를 훔친 후 이중 인증(2FA)를 우회하기 위해 개발한 악성 안드로이드 애플리케이션을 사용하는 것으로 나타났습니다.

IBM X-Force 연구원들은 이 안드로이드 앱을 TrickMo라 명명했습니다. 이 앱은 활발히 업데이트 되고 있으며, 온라인 뱅킹 세션 내 웹 인젝션을 통해 독일 피해자들의 감염된 데스크탑을 통해 푸시되고 있습니다.

TrickBot 운영자들은 TrickMo가 피해자의 안드로이드 기기에 설치된 후 OTP, 모바일 TAN, pushTAN 인증 코드 등 광범위한 거래 인증 번호(TAN)에 인터셉트 하도록 설계했습니다.

2019년 9월 처음 발견돼

TrickMo는 CERT-Bund 보안 연구원들에게 처음 발견되었습니다. 이 연구원들은 TrickBot에 감염된 윈도우 컴퓨터는 피해자의 온라인 뱅킹 모바일 기기의 전화 번호와 타입을 물을 것이라 밝혔습니다. 이는 가짜 보안 앱을 설치하라는 메시지를 표시하기 위함입니다.

TrickBot 운영자들은 현재 악성 앱을 독일 타깃에만 푸시하고 있습니다. 또한 이 악성 앱은 'Avast Security Control' 앱 또는 'Deutsche Bank Security Control' 유틸리티로 위장합니다.

일단 앱이 전화 기기에 설치되면, 피해자의 은행에서 보낸 mTAN이 포함된 텍스트 메시지를 TrickBot 운영자에게 전달합니다. 운영자는 추후 이를 사기 거래에 이용할 수 있습니다.

<Avast Security Control 설치 화면>

<이미지 출처: https://twitter.com/LukasStefanko/status/1242478343754309632/photo/1>

IBM X-Force는 TrickMo의 기능을 분석한 보고서를 발표하며 이 악성코드는 사용자가 자신을 언인스톨할 수 없도록 하며, 자신을 기본 SMS 앱으로 설정하고, 실행 중인 앱을 모니터링하고, 스크린에 표시되는 텍스트를 수집한다고 밝혔습니다.

“TrickMo 모바일 악성코드 분석 결과, TrickMo는 최신 OTP 방식과 특히 독일에서 많이 사용되는 TAN 코드를 무력화하도록 설계되었습니다.”

“안드로이드 OS는 권한 및 행동을 거절할지, 승인할지를 묻는 많은 대화창을 표시합니다. 사용자는 스크린 내 버튼을 탭 해야합니다.

“TrickMo는 접근성 서비스를 통해 이러한 스크린을 식별 및 제어하여 사용자가 반응하기도 전에 제 멋대로 선택해 버립니다.”

이로써 안드로이드 트로이목마가 주인에게 전송한 SMS 메시지를 삭제할 수 있기 때문에 피해자는 은행에서 이중 인증 코드가 포함된 텍스트 메시지를 수신했는지 알 수 없습니다.

다양한 ‘기능’

이 악성코드는 재부팅 후 스크린이 켜지거나 SMS를 수신했을 때 자기 자신이 재시작 될 수 있도록 android.intent.action.SCREEN_ON 및 android.provider.Telephony.SMS_DELIVER 브로드캐스트를 기다리는 리시버를 등록하여 감염된 안드로이드 기기에서 지속성을 얻을 수 있습니다.

TrickMo는 분석을 방해하기 위해 심하게 난독 처리되어 있으며, 2020년 1월에는 악성코드가 루팅된 기기나 에뮬레이터에서 실행 중인지 확인하는 코드가 업데이트 되었습니다.

IBM X-Force 연구원들은 TrickMo의 다양한 기능 중 추가 되는 부분을 아래와 같이 강조했습니다.

개인 기기 정보 탈취

SMS 메시지 인터셉팅

OTP, mTAN, PushTAN 탈취를 위한 타깃 애플리케이션 기록

전화 기기 잠금

기기의 사진 탈취

자가 파괴 및 제거

TrickBot – 지속적으로 업데이트되는 뱅킹 악성코드

TrickBot은 모듈형 뱅킹 악성코드로 2017년 10월 처음 발견된 이래로 새로운 기능과 모듈을 지속적으로 업그레이드 합니다.

처음 발견 당시에는 민감 데이터를 수집 및 유출하는 뱅킹 트로이목마 기능만을 했지만, 지금은 유명 악성 코드 드롭퍼로 진화하여 시스템을 위험한 악성 코드에 감염시킬 수 있습니다.

TrickBot은 다단계 공격의 일환으로 다른 악성코드를 전파하기도 합니다. 그 중 하나는 Ryuk 랜섬웨어로, 유용한 데이터 수집 및 탈취가 이미 완료된 상태에서 사용하는 것으로 보입니다.

이 악성코드는 기업 네트워크 전체에 전파될 수 있기 때문에 특히 위험하며, 도메인 컨트롤러에 대한 관리자 접근 권한을 얻을 경우 다른 네트워크의 크리덴셜을 얻어내기 위해 활성 디렉토리 데이터베이스를 훔쳐낼 수 있습니다.

현재 알약M에서는 해당 악성앱에 대해 Trojan.Android.Banker로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/trickbot-bypasses-online-banking-2fa-protection-via-mobile-app/

https://securityintelligence.com/posts/trickbot-pushing-a-2fa-bypass-app-to-bank-customers-in-germany/