상세 컨텐츠

본문 제목

구글 플레이의 안드로이드 앱 9개, AlienBot과 MRAT 악성코드 배포해

국내외 보안동향

by 알약4 2021. 3. 10. 09:29

본문

 

 

9 Android Apps On Google Play Caught Distributing AlienBot Banker and MRAT Malware

 

사이버보안 연구원들이 안드로이드 앱 9개에 포함되어 있는 새로운 악성코드 드롭퍼를 발견했습니다. 이 악성 앱은 구글 플레이스토어를 통해 배포되며 피해자의 금융 계정에 침투하고 기기를 완전히 제어할 수 있도록 하는 기능을 포함한 2단계 악성코드를 배포합니다.

 

Check Point 연구원인 Aviran Hazum, Bohdan Melnykov, Israel Wernik는 블로그 포스팅을 통해 아래와 같이 밝혔습니다.

 

“Clast82라 명명된 이 드롭퍼는 구글 플레이 프로텍트 탐지를 피하고, 비 악성 페이로드로부터 드롭된 페이로드를 AlienBot과 MRAT으로 변경합니다.”

 

이 캠페인에 사용된 앱에는 VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary, QRecorder가 포함됩니다. 이 앱들은 128일 구글에 제보된 후, 29일 플레이 스토어에서 제거되었습니다.

 

악성코드 제작자들은 앱 스토어의 탐지 메커니즘을 우회하기 위해 여러 방법을 사용했습니다. 암호화를 통해 분석 엔진으로부터 문자열을 숨기거나, 합법적인 앱의 악성 버전을 만들거나, 사용자가 앱을 다운로드하도록 유인하기 위해 가짜 리뷰를 등록하는 등 새로운 기술을 지속적으로 개발해 플랫폼을 보호하려는 구글의 시도에 반격했습니다.

 

이 외 버전 관리와 같은 기술도 사용하는 것으로 알려졌습니다. 이들은 처음에는 플레이스토어에 정상적인 앱을 업로드하여 사용자와 신뢰를 쌓은 다음 앱 업데이트를 통해 추후 악성코드를 몰래 추가하고, 구글의 탐지를 피하기 위해 악성 기능을 트리거할 때 시간차를 둡니다.

 

 

<이미지 출처 : https://thehackernews.com/2021/03/9-android-apps-on-google-play-caught.html>

 

 

 

Clast82C2 통신용 플랫폼으로 Firebase를 사용하고, 악성 페이로드를 다운로드하기 위해 GitHub을 사용하고, 정식 오픈소스 안드로이드 애플리케이션을 사용하여 드롭퍼 기능을 삽입합니다.

 

 

<이미지 출처 : https://thehackernews.com/2021/03/9-android-apps-on-google-play-caught.html>

 

 

또한 연구원들은 아래와 같이 밝혔습니다.

 

공격자는 각 애플리케이션에 대해 새로운 구글 플레이 개발자 계정, GitHub 저장소 계정을 생성해 공격자가 각 악성 애플리케이션에 감염된 기기에 서로 다른 페이로드를 배포할 수 있도록 했습니다.”

 

예를 들면, 악성 Cake VPN 앱은 이름이 Syed Ashraf UllahDhaka 기반 개발자가 생성한 오픈소스 버전을 기반으로 하는 것으로 나타났습니다. 앱이 실행되면 이는 Firebase 실시간 데이터베이스를 이용하여 GitHub으로부터 페이로드 경로를 받아옵니다. 이후 타깃 기기에 해당 페이로드를 설치합니다.

 

알 수 없는 출처에서 앱을 설치하는 옵션이 꺼져있을 경우, Clast82는 매 5초마다 사용자에게 권한을 활성화할 것을 요구하는 가짜 구글 플레이 서비스창을 반복적으로 띄우고, 이를 이용하여 안드로이드 뱅킹 서비스형 악성코드인 AlienBot을 설치합니다. 이는 금융 앱으로부터 이중 인증 코드와 크리덴셜을 훔치는 기능을 포함하고 있습니다.

 

 

<이미지 출처 : https://blog.checkpoint.com/2021/03/09/dangerous-malware-dropper-found-in-9-utility-apps-on-googles-play-store/>

 

 

연구원은 이에 대해 아래와 같이 언급했습니다.

 

“Clast82 해커는 창의적인 방법을 사용하여 구글 플레이의 보안을 우회할 수 있었습니다.”

 

공격자는 GitHub이나 FireBase 계정과 같은 타사 리소스를 간단하게 조작함으로써 구글 플레이 스토어의 보안을 우회할 리소스를 활용하는 것이 가능했습니다. 피해자들은 공식 안드로이드 마켓에서 무해한 유틸리티 앱을 다운로드하고 있다고 생각했지만, 실제로는 금융 계정을 노리는 위험한 트로이목마를 다운로드하고 있었던 것입니다.”

 

현재 이스트시큐리티 알약M에서는 해당 안드로이드 악성코드 샘플을 'Trojan.Android.Banker', 'Trojan.Android.Agent' 등으로 탐지 중입니다.  

 

 

 

 

 

출처:

https://thehackernews.com/2021/03/9-android-apps-on-google-play-caught.html

https://blog.checkpoint.com/2021/03/09/dangerous-malware-dropper-found-in-9-utility-apps-on-googles-play-store/

https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/

 

관련글 더보기

댓글 영역