뱅킹 비밀번호, 개인정보 데이터, 키 입력을 훔치는 새로운 안드로이드 악성코드 발견

New Android Malware Steals Banking Passwords, Private Data and Keystrokes

안드로이드의 접근성 기능을 악용하여 금융 관련 애플리케이션에서 민감 정보를 추출하고, 사용자의 SMS 메시지를 읽고, SMS 기반 이중 인증 코드를 하이잭하는 새로운 모바일 뱅킹 악성코드가 발견되었습니다.

Cybereason 연구원들이 “EventBot”이라 명명한 이 악성코드는 뱅킹, 송금 서비스와 Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise, Coinbase 등과 같은 가상 화폐 지갑을 포함한 금융 앱 200개를 노리고 있었습니다.

 

 

<이미지 출처: https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born>

이 새로운 악성코드는 지속적으로 개선되고 있으며, 중요한 운영 체제 기능을 악용하며 금융 애플리케이션을 노리기 때문에 차세대 거물 악성코드로 크게 성장할 가능성이 높습니다.

이 캠페인은 2020년 3월 처음 발견되었으며, 악성 APK 스토어와 수상한 웹사이트에서 어도비 플래시, 마이크로소프트 워드 등과 같은 합법적인 응용프로그램으로 위장하여 그들의 악의적인 의도를 숨겼습니다. 

이 프로그램이 설치될 경우 접근성 설정 접근 권한, 외부 스토리지 읽기, SMS 메시지 송수신, 백그라운드 실행, 시스템 부트 이후 자기 자신 실행 등 기기의 여러 권한을 요구합니다.

<이미지 출처: https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born>

접근 권한이 부여되면, EventBot은 키로거의 역할을 하며 설치된 다른 애플리케이션의 알림과 열린 창의 내용을 받아올 수 있습니다.

그리고 안드로이드의 접근성 서비스를 악용하여 잠금 스크린 비밀번호를 훔치고, 수집한 모든 데이터를 암호화하여 공격자가 제어하는 서버로 전송합니다.

이 뱅킹 트로이목마는 SMS 메시지를 파싱하여 SMS 기반 이중 인증을 우회할 수 있어 공격자가 손쉽게 피해자의 가상 화폐 지갑에 접근하고 은행 계좌로부터 돈을 훔칠 수 있습니다.

공격자가 모바일 기기에 대한 접근 권한을 얻게 되면 업무에 심각한 영향을 받을 수 있습니다. 

특히 해당 엔드유저가 전화 기기를 통해 민감 기업 정보를 다루거나 기업의 금융 정보에 접근 권한이 있을 경우 피해는 더욱 심각할 것입니다.

EventBot의 악성 앱들은 구글 플레이 스토어에 등록되지는 않았습니다. 

따라서 항상 공식 앱스토어를 이용하고, 소프트웨어를 최신 버전으로 유지하며 구글 플레이 프로텍트를 활성화하여 악성코드로부터 기기를 보호하시기 바랍니다.

현재 알약M에서는 해당 악성코드 샘플에 대하여 Trojan.Android.Banker로 탐지 중입니다.

출처:

https://thehackernews.com/2020/04/android-banking-keylogger.html

https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born