SharkBot 뱅킹 트로이목마, 구글 플레이 스토어에서 또 다시 발견돼

SharkBot Banking Trojan Resurfaces On Google Play Store Hidden Behind 7 New Apps

 

구글 플레이 스토어에서 발견된 악성 안드로이드 앱 최대 7개가 바이러스 백신 솔루션으로 위장해 뱅킹 트로이목마인 SharkBot을 배포하고 있는 것으로 나타났습니다.

 

Check Point의 연구원인 Alex Shamshur와 Raman Ladutska는 보고서를 통해 아래와 같이 밝혔습니다.

 

"SharkBot은 크리덴셜과 뱅킹 관련 정보를 훔칩니다."

 

"이 멀웨어는 지오펜싱 기능과 회피 기술을 구현하기 때문에 다른 악성코드 사이에서 눈에 띕니다.”

 

이 악성코드는 중국, 인도, 루마니아, 러시아, 우크라이나, 벨로루시 사용자를 무시하도록 설계되었습니다. 해당 악성 앱은 제거되기 전 15,000번 이상 설치된 것으로 알려져 있으며, 대부분의 피해자는 이탈리아와 영국에 위치합니다.

 

 

<이미지 출처: https://research.checkpoint.com/2022/google-is-on-guard-sharks-shall-not-pass/>

 

 

SharkBot은 안드로이드의 접근성 서비스 권한을 활용하여 합법적인 뱅킹 앱 위에 가짜 오버레이 창을 표시합니다. 따라서 사용자가 가짜 크리덴셜 입력 양식에 사용자 이름과 암호를 입력하면 캡처된 데이터가 악성 서버로 전송됩니다.

 

SharkBot의 주목할만한 새로운 기능 중 하나는 Facebook Messenger 및 WhatsApp의 알림에 자동으로 응답하여 안티바이러스 앱에 대한 피싱 링크를 배포해 웜과 유사한 방식으로 악성코드를 전파하는 것입니다. 유사한 기능이 올 2월 초 FluBot에도 추가되었습니다.

 

Check Point Software의 사이버 보안, 연구 및 혁신 관리자인 Alexander Chailytko는 아래와 같이 설명했습니다.

 

"주목할만한 점은 공격자가 악성 링크가 포함된 메시지를 피해자에게 푸시해 확산된다는 것입니다."

 

"공격자가 사용자에게 답변을 요구하는 푸시 메시지를 사용하는 것은 꽤 이례적인 확산 수법입니다."

 

이 악성코드는 정확한 위치 정보, 이메일 및 전화번호, 주변 기기, 비밀번호를 포함한 사용자 데이터를 은밀하게 수집하는 침입 SDK가 발견된 후 구글이 3월 25일 플레이 스토어에서 앱 11개를 제거하는 조치를 취하면서 발견되었습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/04/sharkbot-banking-trojan-resurfaces-on.html

https://research.checkpoint.com/2022/google-is-on-guard-sharks-shall-not-pass/