상세 컨텐츠

본문 제목

안드로이드 크리덴셜 탈취 악성코드인 Oscorp, UBEL로 다시 돌아와

국내외 보안동향

by 알약4 2021. 7. 29. 09:00

본문

 

 

UBEL is the New Oscorp — Android Credential Stealing Malware Active in the Wild

 

안드로이드의 접근성 서비스를 악용하여 유럽의 뱅킹 애플리케이션에서 사용자의 자격 증명을 훔치는 것으로 알려진 한 안드로이드 악성코드가 20215월 시작된 새로운 캠페인에서 완전히 새로운 봇넷으로 탈바꿈한 것으로 나타났습니다.

 

지난 1월 말, 이탈리아의 CERT-AGID는 무고한 피해자의 자금을 훔칠 목적으로 여러 금융 기관 타깃을 공격하기 위해 개발된 모바일 악성코드인 Oscorp에 대한 자세한 정보를 공개했습니다.

 

해당 악성코드는 SMS 메시지를 가로채고, 전화를 걸고, 중요 데이터를 훔치기 위해 유사한 로그인 화면을 제작해 모바일 애플리케이션 150개 이상에 오버레이 공격을 실행하는 등의 기능을 포함하고 있습니다.

 

이 악성코드는 악성 SMS 메시지를 통해 유포되며, 은행 운영자로 위장해 타깃을 속이고, WebRTC 프로토콜을 통해 감염된 기기에 접근해 무단으로 피해자의 자금을 송금합니다. 공격은 종종 실시간으로 이루어집니다.

 

이후 새로운 활동이 알려지지는 않았지만, Oscorp는 잠시 활동을 중단한 후 UBEL로 알려진 안드로이드 봇넷의 형태로 다시 복귀한 것으로 보입니다.

 

 

<이미지 출처 : https://www.cleafy.com/cleafy-labs/ubel-oscorp-evolution>

 

 

이탈리아의 사이버 보안 회사인 Cleafy는 지난 화요일 이 악성코드의 진화를 차트로 나타냈습니다.

 

“일부 관련 샘플을 분석한 결과, Oscorp와 UBEL이 동일한 악성 코드베이스를 사용하는 것으로 추측되는 여러 지표를 발견했습니다. 해당 소스코드는 여러 공격자들 사이에 공유되는 것처럼 보이기 때문에, 동일한 프로젝트이거나 다른 협력 파트너가 단순히 리브랜딩한 것일 수 있습니다.”

 

언더그라운드 포럼에서 980 달러에 광고되는 UBEL은 이전 버전과 마찬가지로 SMS 메시지를 읽고 보내고, 오디오를 녹음하고, 애플리케이션을 설치/제거하고, 시스템 부팅 후 자기 자신을 자동으로 실행하는 권한을 요청하며, 안드로이드의 접근성 서비스를 악용해 로그인 자격 증명, 이중 인증 코드와 같은 민감 정보를 수집해 원격 서버로 전송합니다.

 

이 악성코드가 기기에 다운로드되면, 정상 서비스로 자신을 설정하고 타깃에 자신의 존재를 숨기려 시도하며 기기에 더욱 오랜 시간 동안 상주하려 시도합니다.

 

 

<이미지 출처 : https://www.cleafy.com/cleafy-labs/ubel-oscorp-evolution>

 

 

흥미롭게도, WebRTC를 사용하여 해킹된 안드로이드 휴대기기와 실시간으로 상호작용할 경우 사기 행위를 위해 새 기기를 등록하고 계정을 탈취할 필요가 없습니다.

 

공격자가 이 기능을 사용하는 주요 목표는 새 기기 등록을 방지해 의심스러운것으로 분류될 가능성을 크게 줄이는 것입니다.”

 

Oscorp가 노리는 은행 및 기타 앱이 사용되는 주요 위치는 스페인, 폴란드, 독일, 터키, 미국, 이탈리아, 일본, 호주, 프랑스 및 인도 등입니다.

 

현재 이스트시큐리티 알약M에서는 해당 악성코드 샘플을 'Trojan.Android.Agent', 'Trojan.Android.Banker'로 탐지 중입니다.  

 

 

 

 

 

출처:

https://thehackernews.com/2021/07/ubel-is-new-oscorp-android-credential.html

https://www.cleafy.com/cleafy-labs/ubel-oscorp-evolution

관련글 더보기

댓글 영역