상세 컨텐츠

본문 제목

유럽을 노리는 새로운 안드로이드 뱅킹 트로이목마, 구글 플레이 스토어에서 확산돼

국내외 보안동향

by 알약4 2022. 2. 22. 09:00

본문

New Android Banking Trojan Spreading via Google Play Store Targets Europeans

 

유럽 은행 56곳을 노리는 5만회 이상 설치된 새로운 안드로이드 뱅킹 트로이 목마가 공식 플레이 스토어를 통해 배포되어 기기에서 민감 정보를 수집하는 것으로 나타났습니다.

 

네덜란드 보안 회사인 ThreatFabric Xenomorph라 명명한 이 악성코드는 현재 개발 단계이며, Alien이라는 다른 뱅킹 트로이 목마와 유사한 부분이 있지만 기능은 근본적으로 다르다고 밝혔습니다.

 

ThreatFabric의 설립자이자 CEO Han Sahin은 아래와 같이 설명했습니다.

 

"Xenomorph는 현재 개발 중임에도 불구하고 이미 효과적인 오버레이를 자랑하며, 공식 앱 스토어에서 활발히 배포되고 있습니다."

 

"또한 향후 ATS와 같은 고급 기능을 사용할 수 있는 접근성 서비스를 악용하는 매우 구체화된 모듈 엔진이 특징입니다."

 

알림 스니핑 및 인증자 기반 2FA 탈취 기능을 갖춘 원격 액세스 트로이 목마(RAT) Alien은 지난 20208월 악명 높은 Cerberus 악성코드가 활동을 멈춘 직후에 나타났습니다. 그 후 20219, ERMAC를 비롯한 Cerberus의 다른 파생이 실제 공격에서 발견되었습니다.

 

XenomorphAlien, ERMAC와 같이 "Fast Cleaner"와 같은 생산성 앱으로 위장해 주의가 부족한 피해자가 악성코드를 설치하도록 속여 구글 플레이 스토어의 보안 장치를 우회하는 또 다른 안드로이드 뱅킹 트로이목마입니다.

 

 

<이미지 출처 : https://www.threatfabric.com/blogs/xenomorph-a-newly-hatched-banking-trojan.html>

 

 

10,000회 이상 설치된 헬스 트레이닝 드로퍼 앱인 GymDrop이 지난 11 Alien 뱅킹 트로이 목마 페이로드를 배포하고 있었던 것으로 나타났습니다.

 

모바일 앱 시장 정보 회사인 Sensor Tower의 데이터에 따르면, Fast Cleaner의 패키지 명은 "vizeeva.fast.cleaner"이고, 앱 스토어에서 계속해서 다운로드가 가능하며 포르투갈과 스페인에서 가장 인기가 많았습니다. 이는 20221월 말 플레이스토어에 처음으로 등장했습니다.

 

또한 사용자들은 해당 앱의 리뷰를 통해 "이 앱에는 악성코드가 있음", "지속적으로 업데이트를 요구함”, "기기에 악성코드를 설치하고 자체 보호 시스템이 있어 삭제가 불가능함이라 경고했습니다.

 

또한 Xenomorph는 피해자가 악성코드에 접근성 서비스 권한을 부여하도록 속여 오버레이 공격을 수행할 권한을 얻는 오랜 테스트를 거친 전술을 사용했습니다.

 

이 악성코드는 스페인, 포르투갈, 이탈리아, 벨기에의 타깃 앱 상단에 악성 오버레이 화면을 삽입해 크리덴셜 및 기타 개인 정보를 탈취합니다.

 

또한 SMS를 통해 수신된 2단계 인증 토큰을 추출하고 설치된 앱 목록을 가져오는 알림 차단 기능을 갖추고 있으며, 결과는 C2 서버로 전송됩니다.

 

"Xenomorph로 미루어 볼 때 공격자들이 공식 시장에 랜딩 애플리케이션을 침투시키는데 집중하고 있음을 알 수 있습니다.

 

"현대의 뱅킹 악성코드는 매우 빠른 속도로 진화하고 있으며, 공격자들은 ​​향후 업데이트를 지원하기 위해 보다 정교한 개발 방식을 채택하기 시작했습니다."

 

 

 

 

출처:

https://thehackernews.com/2022/02/xenomorph-android-banking.html

https://www.threatfabric.com/blogs/xenomorph-a-newly-hatched-banking-trojan.html

관련글 더보기

댓글 영역