TeaBot 악성코드, 구글 플레이 스토어에 잠입해 미국 사용자들 노려

TeaBot malware slips back into Google Play Store to target US users

 

TeaBot 뱅킹 트로이 목마가 또 다시 구글 플레이 스토어에서 발견되었습니다. 이는 QR 코드 앱으로 위장해 이미 기기 1만대 이상을 감염시킨 것으로 나타났습니다.

 

제작자들은 이미 지난 1월 이러한 전략을 사용한 전적이 있으며, 구글은 이를 퇴출시켰지만 악성코드 제작자는 또 다시 안드로이드 공식 앱 스토어에 침투할 방법을 찾은 것으로 보입니다.

 

온라인 사기 관리 및 예방 회사인 Cleafy에서 발행한 보고서에 따르면, 해당 애플리케이션은 드롭퍼의 역할을 합니다. 앱 자체에는 악성코드가 없으며 최소한의 권한을 요청하기 때문에 구글에서 이상한 점을 발견하기 어려웠던 것으로 보입니다.

 

또한 해당 트로이 목마 앱은 홍보된 기능을 포함하고 있기 때문에 사용자 리뷰는 긍정적인 편입니다.

 

 

<이미지 출처 : https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe>

<플레이 스토어 내 TeaBot 로더 앱>

 

 

TeaBot 페이로드 가져오기

 

지난 2월, 연구원들은 TeaBot이 합법적인 QR 코드 스캔 유틸리티인 'QR Code & Barcode - Scanner'라는 앱으로 위장한 것을 발견했습니다.

 

앱은 설치 시 팝업 메시지를 띄워 업데이트를 요청하지만, 플레이 스토어 가이드라인에 따른 표준 절차와는 달리 외부 소스에서 업데이트를 가져옵니다.

 

Cleafy는 다운로드 출처를 추적한 결과 동일한 사용자(feleanicusor)가 소유한 GitHub 저장소 2곳에서 2022년 2월 17일 업로드된 여러 TeaBot 샘플을 발견했습니다.

 

 

<이미지 출처 : https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe>

<TeaBot 로딩 및 감염 과정>

 

 

피해자가 신뢰할 수 없는 출처로부터 받은 업데이트 설치를 수락하면, TeaBot은 'QR Code Scanner: Add-On'이라는 이름의 새로운 앱으로 기기에 로드됩니다.

 

새 앱은 자동으로 실행되고, 아래 기능을 수행하기 위해 사용자에게 접근성 서비스 사용 권한을 요구합니다.

 

- 기기의 화면을 보고 로그인 크리덴셜, 2FA 코드, SMS 콘텐츠 등을 노출하는 스크린샷 캡쳐

- 사용자 상호 작용 없이 백그라운드에서 추가 권한 자동 부여 등 작업 수행

 

 

<이미지 출처 : https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe>

<접근성 서비스 악용>

 

 

Google은 접근성 서비스에 대한 보안을 높일 수 있도록 Android 12의 API를 변경했지만, 이는 아직까지 뱅킹 트로이 목마가 가장 흔히 악용하는 권한입니다. 또한 대부분의 안드로이드 휴대 기기는 여전히 ​​OS 버전 11 또는 이전 버전을 실행하고 있습니다.

 

타깃 범위 확장돼

 

 

Bitdefender가 2021년 1월 플레이 스토어에서 발견해 분석한 TeaBot은 당시 피해자의 위치가 미국일 경우 앱을 종료했습니다.

 

하지만 이제 TeaBot은 미국 내 사용자를 적극적으로 노리고 있으며 러시아어, 슬로바키아어, 중국어도 추가해 악성코드로 전 세계 피해자를 노리고 있는 것으로 나타났습니다.

 

 

<이미지 출처 : https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe>

<TeaBot의 코드에 추가된 새로운 언어>

 

 

TeaBot의 운영자는 소규모 시장에서 "테스트" 기간을 거쳤고, 이제 그들의 툴이 대규모 작업을 수행할 준비가 되었다고 생각한 것으로 보입니다.

 

 

<이미지 출처 : https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe>

<TeaBot 피해자 히트맵>

 

 

이 악성코드의 2021년 초 샘플과 비교했을 때, 현재 버전은 더욱 강력한 문자열 난독화 기능을 제공하며 은행, 보험, 암호화 지갑, 암호화 교환 애플리케이션을 500%로 더욱 집중적으로 노립니다.

 

사용자들은 플레이 스토어에서만 앱을 다운로드 할 경우에도 이 뱅킹 트로이목마를 예방하기 위해서 최소한의 앱 만을 설치할 것을 권장합니다.

 

또한 기기에 새 앱을 설치할 때마다 며칠간 배터리 소모와 네트워크 트래픽 양을 모니터링하여 의심스러운 패턴을 찾아내는 것이 중요합니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/teabot-malware-slips-back-into-google-play-store-to-target-us-users/

https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe