SharkBot — A New Android Trojan Stealing Banking and Cryptocurrency Accounts
지난 월요일 사이버 보안 연구원들이 안드로이드 기기의 접근성 기능을 악용하여 이탈리아, 영국, 미국의 뱅킹 및 가상화폐 서비스의 크리덴셜을 훔치는 새로운 트로이 목마를 공개했습니다.
Cleafy가 "SharkBot"이라 명명한 이 악성코드는 최소 2021년 10월 말부터 이탈리아와 영국의 알려지지 않은 국제 은행 22곳, 미국의 가상화폐 앱 5개를 포함하여 타깃 총 27개를 공격하도록 설계되었습니다. 이는 아직까지 개발 초기 단계에 있으며, 알려진 악성코드 패밀리와 겹치는 부분이 없는 것으로 나타났습니다.
연구원들은 보고서에서 아래와 같이 밝혔습니다.
"SharkBot의 주요 목표는 다단계 인증 메커니즘(예: SCA)을 우회하는 자동 송금 시스템(ATS) 기술을 사용하여 해킹된 장치에서 자금 이체를 실행하는 것입니다.”
"SharkBot이 피해자의 기기에 성공적으로 설치되면, 공격자는 크리덴셜, 개인 정보, 현재 잔액 확인 등과 같은 접근성 서비스를 악용해 민감한 뱅킹 정보를 얻을 수 있을 뿐 아니라 감염된 기기에서 제스처를 수행할 수도 있습니다."
미디어 플레이어, 라이브 TV, 데이터 복구 앱으로 가장하는 SharkBot은 다른 유사한 악성코드인 TeaBot, UBEL과 마찬가지로 중요한 정보를 훔칠 수 있도록 사용자에게 반복적으로 광범위한 권한을 부여할 것을 요구하는 악성 팝업을 표시합니다.
다른 점은 ATS 공격을 수행하기 위해 접근성 설정을 악용한다는 점입니다. 운영자는 이 공격을 통해 "합법적인 모바일 뱅킹 앱 내 필드를 자동으로 채우고 해킹된 기기에서 공격자가 제어하는 불법 자금 네트워크로 자금 이체를 시작할 수 있습니다."
이들은 사기 행위를 위해 효과적으로 새 장치를 등록하지 않아도 되도록 하며, 동시에 뱅킹 애플리케이션이 사용하는 2단계 인증 메커니즘을 우회합니다.
또한 이 악성코드는 로그인 크리덴셜과 신용 카드 정보를 훔치기 위한 오버레이 공격, SMS를 통해 전송되는 합법적인 뱅킹 통신 가로채기, 키로깅 활성화, 해킹된 기기 원격 제어 등 안드로이드 뱅킹 트로이 목마에서 찾아볼 수 있는 모든 기능을 포함하고 있었습니다.
또한 SharkBot은 에뮬레이터 검사 실행, 원격 서버와의 명령 및 제어 통신 암호화, 설치 후 홈 화면에서 앱 아이콘 숨기기 등 분석 및 탐지를 피하기 위한 여러 기능을 포함하고 있습니다. 공식 구글 플레이 스토어에서는 악성코드 샘플이 발견되지 않았기 때문에 악성 앱이 사이드로딩되었거나 사회 공학적 수법을 통해 사용자의 기기에 설치된 것으로 추측됩니다.
연구원들은 실제 공격에서 SharkBot이 발견된 것에 대해 "모바일 악성코드가 어떻게 지난 몇 년 동안 여러 은행과 금융 서비스에서 도입한 행동 탐지 대응책을 우회하여 사기 행위를 수행하는 새로운 방법을 빠르게 찾아냈는지 보여준다”고 밝혔습니다.
출처:
https://thehackernews.com/2021/11/sharkbot-new-android-trojan-stealing.html
미얀마 노리는 해커들, 악성 활동 숨기기 위해 도메인 프론팅 사용해 (0) | 2021.11.18 |
---|---|
GitHub, NPM 패키지 매니저 내 주요 취약점 2개 수정 (0) | 2021.11.17 |
북한과 연결된 Lazarus 그룹, IDA Pro 트로이목마로 사이버 보안 전문가들 노려 (0) | 2021.11.16 |
Hadoop Yarn RPC 무단 접근 취약점 주의! (0) | 2021.11.16 |
Emotet 악성코드, TrickBot을 통해 봇넷 재구축 하도록 돌아와 (0) | 2021.11.16 |
댓글 영역