상세 컨텐츠

본문 제목

ERMAC 안드로이드 뱅킹 트로이목마, 378개 앱에서 금융 데이터 훔쳐

국내외 보안동향

by 알약4 2021. 9. 28. 14:00

본문

 

 

New Android Malware Steals Financial Data from 378 Banking and Wallet Apps

 

최신 연구에 따르면 BlackRock 모바일 악성코드의 운영자가 ERMAC라는 새로운 안드로이드 뱅킹 트로이목마로 다시 활동을 시작해 폴란드 지역을 노리고 있는 것으로 나타났습니다. 이 트로이목마는 악명 높은 Cerberus 악성코드를 기반으로 제작됐습니다.

 

ThreatFabric CEO Cengiz Han Sahin은 이메일을 통해 "이 새로운 트로이목마는 이미 활발한 캠페인을 통해 배포 중이며 오버레이가 있는 은행 및 지갑 앱 378건을 노린다"고 밝혔습니다. ERMAC을 사용한 첫 번째 캠페인은 지난 8월 말 시작되었으며 구글 크롬 앱으로 위장했습니다.

 

이후 공격은 은행, 미디어 플레이어, 배달 서비스, 정부 앱, McAfee와 같은 바이러스 백신 솔루션 등 다양한 앱을 포함하도록 확장되었습니다.

 

악명 높은 뱅킹 트로이목마인 Cerberus를 기반으로 한 이 악성코드는 지난달 8 17 DukeEugene이라는 공격자가 게시한 포럼 게시물에서 발견되었습니다. 그는 한 달에 3천 달러에 좁은 범위의 사람들에게 다양한 기능을 갖춘 새로운 안드로이드 봇넷을 임대한다고 광고했습니다.

 

DukeEugene 2020 7월에 밝혀진 BlackRock 캠페인의 운영자로도 알려져 있습니다. 다양한 데이터 도난 기능을 갖춘 인포스틸러와 키로거는 20195월 작성자가 소스코드를 공개한 다른 뱅킹 변종인 Xerxes을 기반으로 합니다.

 

 

<이미지 출처 : https://www.threatfabric.com/blogs/ermac-another-cerberus-reborn.html>

 

 

또한 ThreatFabricERMAC이 나타난 이후 새로운 BlackRock 샘플이 중단됨을 강조하며 "DukeEugene이 공격에 기존 에 사용하던 BlackRock 대신 ERMAC을 사용하기 시작했을 가능성이 높다고 밝혔습니다.

 

새롭게 발견된 변종은 Cerberus와 많은 점이 유사한 것 이외에도 난독화 기술, Blowfish 암호화 체계를 사용하여 C&C 서버와 통신하는 것으로 유명합니다.

 

 

<이미지 출처 : https://www.threatfabric.com/blogs/ermac-another-cerberus-reborn.html>

 

 

ERMAC은 기타 뱅킹 악성코드와 마찬가지로 연락처 정보, 문자 메시지를 훔치고, 임의 앱을 오픈하고, 로그인 자격 증명을 훔치기 위해 금융 앱 다수에 오버레이 공격을 실행하도록 설계되었습니다. 또한 악성 소프트웨어가 특정 응용 프로그램의 캐시를 지우고 기기에 저장된 계정을 도용할 수 있는 새로운 기능을 개발했습니다.

 

"ERMAC의 이야기는 악성코드 소스코드 유출이 어떻게 해당 악성코드 패밀리의 증발을 늦출 뿐 아니라 위협 환경에 새로운 위협/행위자를 가져올 수 있는지 다시 한 번 보여줍니다. 이는 RAT과 같은 몇 가지 강력한 기능이 부족하지만 전 세계 모바일 뱅킹 사용자와 금융 기관에 여전히 위협이 되고 있습니다."

 

 

 

 

출처:

https://thehackernews.com/2021/09/new-android-malware-steals-financial.html

https://www.threatfabric.com/blogs/ermac-another-cerberus-reborn.html

관련글 더보기

댓글 영역