상세 컨텐츠

본문 제목

가짜 구글 플레이 스토어에서 배포되는 안드로이드 뱅킹 트로이목마 발견

국내외 보안동향

by 알약4 2021. 12. 27. 14:00

본문

 

Android banking trojan spreads via fake Google Play Store page

 

전 세계적으로 5,500만 고객을 보유한 브라질의 대규모 금융 서비스 제공업체인 Itaú Unibanco를 노리는 안드로이드 뱅킹 트로이 목마가 다소 특이한 수법을 사용하여 확산되고 있는 것으로 나타났습니다.

 

공격자는 방문자가 신뢰할 수 있는 서비스를 통해 앱을 설치하고 있다고 생각하도록 속이기 위해 안드로이드의 공식 구글 플레이 앱 스토어와 매우 유사한 페이지를 생성했습니다.

 

 

<이미지 출처 : https://blog.cyble.com/2021/12/23/malicious-app-targets-major-brazilian-bank-itau-unibanco/>

<악성 APK를 드롭하는 가짜 플레이 스토어 페이지>

 

 

이 악성코드는 Itaú Unibanco의 공식 뱅킹 앱으로 가장해 합법적인 앱과 동일한 아이콘을 사용하는 것이 특징입니다.

 

사용자가 "설치" 버튼을 클릭하면 악성 APK를 다운로드할 수 있습니다. 구글의 플레이 스토어 앱은 스토어 인터페이스를 통해 설치되며, 절대 사용자에게 프로그램을 수동으로 다운로드 및 설치하도록 요구하지 않습니다.

 

 

<이미지 출처 : https://blog.cyble.com/2021/12/23/malicious-app-targets-major-brazilian-bank-itau-unibanco/>

<APK 정보>

 

  

실제 앱 하이재킹해

 

Cyble의 연구원들이 악성코드를 분석한 결과, 이는 실행 시 실제 플레이 스토어에서 진짜 Itaú 앱을 열려고 시도하는 것으로 나타났습니다.

 

이에 성공할 경우, 실제 앱의 사용자의 입력 필드를 변경하여 사기 거래를 수행합니다.

 

 

<이미지 출처 : https://blog.cyble.com/2021/12/23/malicious-app-targets-major-brazilian-bank-itau-unibanco/>

 

<트랜잭션 수행 위해 사용자 입력 필드 변경>

 

 

이 앱은 설치 시 위험한 권한을 요청하지 않기 때문에, AV 툴에서 의심스럽거나 위험한 것으로 탐지되지 않습니다.

 

대신 모바일 맬웨어가 모든 안드로이드 시스템 내 보안을 우회하는 데 필요한 접근성 서비스를 활용하려 시도합니다.

 

Security Research Labs의 최근 보고서에 따르면, 현재 안드로이드 악성코드는 접근성 기능을 수 없이 악용하고 있으며 구글은 아직까지 이 취약점을 막지 못하고 있습니다.

 

따라서 사용자가 악용 징후를 감지해 악성코드가 기기를 공격할 수 있는 기회를 갖기 전 차단하는 것은 매우 중요합니다.

 

 

<이미지 출처 : https://blog.cyble.com/2021/12/23/malicious-app-targets-major-brazilian-bank-itau-unibanco/>

<작업에 대한 권한을 요청하는 악성코드>

 

 

이러한 징후는 앱이 제스처를 수행하고, 창 콘텐츠를 검색하고, 사용자 작업을 관찰할 수 있는 권한을 요청하는 형태로 나타납니다.

 

악성 APK를 배포하는 데 사용된 웹사이트는 현재 신고를 받아 오프라인 상태로 전환되었지만, 공격자는 다른 도메인을 사용하여 다시 돌아올 수 있습니다.

 

실제 뱅킹 앱 사용이 중요해

 

모바일 전자금융의 편리함을 즐기고 싶다면, 반드시 은행 공식 홈페이지나 구글 플레이 스토어에서 앱을 설치하시기 바랍니다.

 

또한 앱의 업데이트가 출시되는 즉시 적용하고 평판 높은 안티 바이러스 툴을 사용하시기 바랍니다.

 

계정 보안을 위해 강력한 암호를 사용하고 앱에서 다단계 인증을 활성화하시기 바랍니다.

 

스토어 외부에서 APK를 설치해야 하는 경우 설치 중, 설치 후에 요청되는 권한을 주의 깊게 살펴보시기 바랍니다.

 

마지막으로 안드로이드 기기에서 구글 플레이 프로텍트가 활성화되어 있는지 정기적으로 확인하시기 바랍니다.

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/android-banking-trojan-spreads-via-fake-google-play-store-page/

https://blog.cyble.com/2021/12/23/malicious-app-targets-major-brazilian-bank-itau-unibanco/ (IOC)

관련글 더보기

댓글 영역