포스팅 내용

국내외 보안동향

뱅킹, 소셜 및 기타 모바일 앱에 발생하는 BlackRock 악성코드

BlackRock Malware Goes After Banking, Social and Other Mobile Apps


BlackRock이라고 불리는 새로운 안드로이드 뱅킹 트로이목마가 337개의 앱 목록에서 비금융 목적으로 사용했던 자격 증명과 신용카드 정보를 탈취하는 것이 발견되었습니다.


이 악성코드는 ThreatFabric 분석가들에 의해 5월에 발견되었으며, LokiBot의 알려진 변종인 Xerxes 뱅킹 악성코드의 유출된 소스 코드에서 유래되었습니다. 


다른 뱅킹 트로이목마와 달리 소셜, 커뮤니케이션, 네트워킹, 데이트 플랫폼에 중점을 두고 비금융 안드로이드 앱을 타깃으로 한다는 특이점을 가지고 있습니다.



<이미지 출처: https://www.threatfabric.com/blogs/blackrock_the_trojan_that_wanted_to_get_them_all.html>



BlackRock은 구글 업데이트로 위장해 접근 서비스(Accessibility Service) 권한을 요청하고 피해자가 해당 권한을 부여하면 자신에게 추가 권한을 부여합니다.


이러한 추가 허가는 봇이 피해자와 더 이상 상호작용할 필요 없이 완전한 기능을 발휘하기 위해 필요합니다.


그런 다음 운영자는 원격으로 악성코드를 제어하여 오버레이 공격을 개시하고 키로깅, 피해자의 연락처 목록 스팸 처리, 악성코드를 기본 SMS 관리자로 설정, C2 서버에 시스템 알림 전송, 백신 사용 차단 등 다수의 명령을 내립니다. 


BlackRock의 운영자들은 Xerxes의 코드에서 불필요한 기능이 남아있지 않도록 확실히 함으로써 감염된 안드로이드 기기에서 로그인과 금융 정보 탈취에 도움이 되지 않았던 기능들을 제거했습니다.


악성코드는 또한 Android 작업 프로파일을 사용하여 관리자 권한을 요구하지 않고 손상된 장치를 제어하는 대신 관리자 권한을 가진 자체 관리 프로파일을 생성합니다.



<BlackRock 오버레이 공격>

<이미지 출처: https://www.threatfabric.com/blogs/blackrock_the_trojan_that_wanted_to_get_them_all.html>



BlackRock의 226개 앱 자격증 도용 대상 목록에는 마이크로소프트 아웃룩, 지메일, 구글 플레이 서비스, 우버, 아마존, 넷플릭스, 캐시 앱을 비롯해 코인베이스, 비트페이, 바이낸스, 코인베이스 등 복수의 암호화폐 지갑 앱과 산탄데르, 바클레이스, RBS, 로이즈, 패어즈, 웰스 등의 은행 앱들이 포함돼 있습니다.


신용카드 도용 명단에는 텔레그램, 왓츠앱, 트위터, 스카이프, 인스타그램, 페이스북, 플레이스토어, 유튜브, VK, 레드딧, 틱톡, 틴더, 그라인드르 등 111개 앱이 포함돼 있었습니다.


전문가들은 모바일 뱅킹 트로이목마에 대한 변화로 뱅킹 악성코드와 스파이웨어의 경계가 얇아지면서 은행 악성코드는 더 많은 조직과 그 인프라에 위협이 될 것이라며 몇 년 전 윈도우 뱅킹 악성코드에서 관찰한 유기적인 변화라고 말했습니다.


현재 알약M에서는 해당 악성코드 샘플에 대해 'Trojan.Android.Banker'으로 탐지 중에 있습니다.





출처:

https://hotforsecurity.bitdefender.com/blog/blackrock-malware-goes-after-banking-social-and-other-mobile-apps-23750.html

https://www.bleepingcomputer.com/news/security/new-android-malware-steals-your-dating-and-social-accounts/

https://www.zdnet.com/article/new-blackrock-android-malware-can-steal-passwords-and-card-data-from-337-applications/ 

https://www.threatfabric.com/blogs/blackrock_the_trojan_that_wanted_to_get_them_all.html

티스토리 방명록 작성
name password homepage