상세 컨텐츠

본문 제목

안드로이드 악성코드인 Escobar, 구글 인증기 MFA 코드 훔쳐

국내외 보안동향

by 알약4 2022. 3. 14. 09:00

본문

Android malware Escobar steals your Google Authenticator MFA codes

 

안드로이드 뱅킹 트로이 목마인 AberebotGoogle 인증기의 다단계 인증 코드를 훔치는 등 새로운 기능을 탑재한 후 'Escobar'라는 이름으로 다시 활동을 재개했습니다.

 

최신 Aberebot 버전은 VNC를 통해 감염된 Android 장치를 제어하고, 오디오를 녹음하고, 사진을 촬용하고, 크레덴셜 탈취를 위해 타깃 앱 세트를 확장하는 등 새로운 기능을 포함하고 있습니다.

 

트로이 목마의 주된 목적은 공격자가 피해자의 은행 계좌를 탈취하고 사용 가능한 잔액을 인출하고 승인받지 않은 거래를 수행하는데 충분한 정보를 훔치는 것입니다.

 

Escobar로 브랜드 변경해

 

BleepingComputer KELA의 사이버 인텔리전스 DARKBEAST 플랫폼을 통해 지난 2022 2월 러시아어를 사용하는 해킹 포럼에서 Aberebot 개발자가 새 버전을 홍보한 포럼 게시물인 'Escobar Bot Android Banking Trojan'을 발견했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/android-malware-escobar-steals-your-google-authenticator-mfa-codes/>

<다크넷 포럼 내 판매자 게시물>

 

 

악성코드 제작자는 고객 최대 5명에게 월 3천달러에 악성코드 베타 버전 제공하고 있으며, 공격자는 3일 간 봇을 무료로 테스트 가능합니다.

 

공격자는 개발이 완료된 후에는 해당 악성코드의 가격을 5천달러로 인상할 계획이라 밝혔습니다.

 

MalwareHunterTeam 2022 3 3일 처음으로 McAfee 앱으로 가장한 의심스러운 APK를 발견하고, 해당 앱이 안티바이러스 엔진 대다수를 회피했다고 경고했습니다.

 

 

<이미지 출처 : https://twitter.com/malwrhunterteam/status/1499390775775293454>

 

 

이는 Aberebot 트로이 목마의 새로운 'Escobar' 변종에 대한 분석을 진행한 Cyble의 연구원이 발견했습니다.

 

해당 분석가에 따르면 Aberebot2021년 여름 처음 실제 공격에 사용되었으며 새로운 버전이 등장한 것은 해당 악성코드가 활발히 개발되고 있다는 것을 의미합니다.

 

기존 기능 및 새로운 기능

 

대부분의 뱅킹 트로이 목마와 마찬가지로, Escobar는 전자 뱅킹 앱과 웹 사이트와의 사용자 상호 작용에 인터셉트해 피해자의 크리덴셜을 훔칠 목적으로 오버레이 로그인 양식을 표시합니다.

 

이 악성코드는 오버레이 삽입이 차단되더라도, 모든 안드로이드 버전에 적용되는 여러 강력한 기능을 포함합니다.

 

제작자는 최신 버전에서 타깃 은행 및 금융 기관을 18개국의 190개 기업으로 확장했습니다.

 

해당 악성코드는 25개의 권한을 요청하며, 이 중 15개는 악의적인 목적으로 사용됩니다. 접근성, 오디오 녹음, SMS 읽기, 저장소 읽기/쓰기, 계정 목록 가져오기, 키 잠금 비활성화, 전화 걸기, 정확한 기기 위치 액세스 등과 같은 권한이 여기에 포함됩니다.

 

SMS 통화 기록, 키 로그, 알림 및 Google 인증기 코드를 포함한 악성코드가 수집하는 모든 정보는 C2 서버에 업로드됩니다.

 

 

<이미지 출처 : https://blog.cyble.com/2022/03/10/aberebot-returns-as-escobar/>

<Google OTP 코드를 추출하는 코드>

 

 

이로써 공격자는 전자 뱅킹 계정을 해킹할 때 이중 인증을 우회할 수 있게 됩니다.

 

2FA 코드는 SMS를 통해 수신하거나 Google의 인증기와 같은 HMAC 소프트웨어 기반 툴에 저장 및 순환됩니다. 후자는 SIM 스왑 공격에 취약하지 않기 때문에 더욱 안전하지만, 사용자 공간에 침투하는 악성코드는 방어할 수 없습니다.

 

공격자가 원격 제어 기능이 있는 플랫폼 간 화면 공유 유틸리티인 VNC 뷰어를 사용할 경우, 기기가 사용 중이 아닐 때 원하는 모든 작업을 수행할 수 있는 새로운 강력한 무기를 얻을 수 있습니다.

 

 

<이미지 출처 : https://blog.cyble.com/2022/03/10/aberebot-returns-as-escobar/>

<Aberebot VNC 뷰어 코드>

 

 

이외에도 Aberebot은 오디오 클립을 녹음하거나 스크린샷을 찍고, 모두 공격자의 ​​C2로 추출할 수 있습니다. 지원되는 명령 목록 전체는 아래와 같습니다.

 

 

<이미지 출처 : https://blog.cyble.com/2022/03/10/aberebot-returns-as-escobar/>

<Aberebot 명령 표>

 

 

새로운 Escobar 악성코드는 사이버 범죄 커뮤니티에서 상대적으로 높은 가격으로 판매되고 있기 때문에 얼마나 인기 있을지는 아직까지 알 수 없습니다. 하지만 이는 수 많은 사람을 매료시킬 만큼 강력합니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/android-malware-escobar-steals-your-google-authenticator-mfa-codes/

https://twitter.com/malwrhunterteam/status/1499390775775293454 (IOC)

https://blog.cyble.com/2022/03/10/aberebot-returns-as-escobar/ (IOC)

관련글 더보기

댓글 영역