포스팅 내용

국내외 보안동향

Cerberus 뱅킹 트로이 목마 소스코드, 무료로 공개돼

Cerberus banking Trojan source code released for free to cyberattackers

 

Cerberus 뱅킹 트로이목마의 소스코드가 경매 실패 후 언더그라운드 해킹 포럼에 무료로 공개되었습니다.

 

지난 수요일 개최된 카스퍼스키 NEXT 2020에서 사이버보안 연구원인 Dmitry Galov는 유출된 코드는 Cerberus v2라는 이름으로 배포되었으며 스마트폰 사용자 및 뱅킹 부문 전체를 거대한 위험에 빠트린다고 설명했습니다.

 

Cerberus는 구글 안드로이드 OS용으로 설계된 모바일 뱅킹 트로이목마입니다.

 

20197월부터 배포된 것으로 보이는 이 원격 액세스 트로이목마(RAT)는 감시, 통신 가로채기, 기기 기능 조작 및 뱅킹, SNS 앱 위에 오버레이 화면을 생성하여 은행 자격 증명을 포함한 데이터 훔치는 등의 공격을 실행할 수 있습니다.

 

이 악성코드는 OTP나 이중 인증 코드가 포함된 텍스트 메시지를 읽을 수 있는 기능을 포함하고 있습니다. 따라서 일반적인 이중 인증(2FA) 방식을 우회할 수 있습니다. 구글의 인증기를 통해 생성된 OTP 또한 탈취 가능할 것으로 추측됩니다.

 

7월 초, Avast의 연구원들은 구글 플레이스토어에서 정식 환율 계산기 앱으로 위장한 Cerberus를 발견했습니다. 해당 애플리케이션이 승인을 받기 위해 구글에 제출되었을 때는 기능이 무해하고 합법적인 것으로 추측됩니다. 하지만 사용자 수가 점점 늘어나자 업데이트 패키지를 통해 피해자 기기에 트로이목마를 배포한 것으로 보입니다.

 

7월 말, Hudson RockCerberus가 경매에 붙여진 것을 발견했습니다. 해당 광고는 악성코드의 관리자가 게시했으며, 팀이 해체되어 새로운 관리자가 필요하다고 밝혔습니다.

 

그는 해당 악성코드 APK 소스코드, 클라이언트 목록, 서버, 관리자 패널용 코드의 최저 가격을 $50,000으로 설정했습니다. 경매인은 Cerberus가 매월 $10,000의 수익을 올렸다고 밝혔습니다.

 

하지만, 해당 악성코드를 구매하고자 나서는 이는 아무도 없었던 것으로 보입니다.

 

이에 대해 카스퍼스키는 아래와 같이 언급했습니다.

 

러시아어를 구사하는 Cerberus 개발자들은 올 4월 해당 프로젝트에 대한 새로운 비전을 제시했지만, 개발 팀이 해체되어 7월 말 소스코드를 경매에 붙인 것으로 보입니다.”

이유는 확실하지 않지만, 제작자는 그의 프로젝트 소스코드를 인기있는 러시아어 언더그라운드 포럼의 프리미엄 사용자에게 공개하기로 결정했습니다.”

 

카스퍼스키는 또한 언더그라운드 포럼에 Cerberus 소스코드가 공개된 후 유럽과 러시아 전역에 모바일 앱 감염이 즉각적으로 증가했다고 밝혔습니다.

 

Galov는 이에 대해 이전 클라이언트는 러시아의 모바일 기기 사용자를 공격하지 않을 것을 권장했지만, 코드가 무료로 공개되자 마자 공격 환경은 바뀌었다고 설명했습니다.

 

Cerberus가 서비스형 악성코드 (MaaS)로 제공되었을 당시 서비스 이용료는 1개월 $4,000, 1$12,000이었습니다.

 

이제 개발자는 프로젝트에서 손을 떼고 소스코드를 무료로 공개했습니다. 따라서 많은 공격자들이 Cerberus를 이용할 것이며, 해당 코드의 변형이 더 많이 발견될 것으로 추측됩니다.


현재 알약M에서는 해당 악성코드 샘플에 대해 'Trojan.Android.Dropper, Trojan.Android.Banker' 등으로 탐지 중에 있습니다.

 

 

 

 

 

출처:

https://www.zdnet.com/article/cerberus-banking-trojan-source-code-released-for-free-to-cyberattackers/


티스토리 방명록 작성
name password homepage