상세 컨텐츠

본문 제목

신용카드 및 은행 계좌 정보를 피싱하고, 랜섬을 위해 기기를 암호화하는 안드로이드 악성코드 “Xbot” 등장

국내외 보안동향

by 알약(Alyac) 2016. 2. 22. 16:35

본문

신용카드 및 은행 계좌 정보를 피싱하고, 랜섬을 위해 기기를 암호화하는 안드로이드 악성코드 “Xbot” 등장

New Android Trojan “Xbot” Phishes Credit Cards and Bank Accounts, Encrypts Devices for Ransom


랜섬웨어 기능이 포함된 안드로이드 악성코드 Xbot이 발견되었습니다. 이 악성코드는 아직 개발중이며, 정기적으로 업데이트 되고 있습니다. 


이 악성코드는 구글 플레이의 지불 인터페이스와 7개 은행앱의 로그인 페이지를 복제한 피싱 페이지를 하여 사용자의 금융정보와 신용카드 정보를 훔피려고 시도하며, 원격으로 감염된 안드로이드 기기를 잠글 수도 있으며, SD카드 등 외부 저장장치의 사용자 데이터를 암호화 하고 $100 페이팔 캐시 카드를 요구합니다. 뿐만 아니라 모든 SMS 및 연락처 정보를 탈취하며, 특정 SMS 메세지에 인터셉트 할 수 있으며 은행에서 온 SMS 메세지를 파싱 하는 기능도 있습니다. 


아직까지 이 악성코드가 많은 국가에 유포된 것으로 보이지는 않습니다. 


이 악성코드는 주로 러시아와 호주 사용자들을 노린 것으로 추정되는데, 리패키징된 7개 앱 들 중에서 6개 앱들이 호주에서 인기있는 은행 앱들이었기 때문입니다. 


하지만 Xbot은 유연한 구조로 이루어져 있기 때문에, 더 많은 안드로이드 앱들을 타겟으로 추가할 수 있게 설계되었으며, 현재도 제작자가 끊임없이 악성코드를 업데이트 하고 있기 때문에, 빠른 시일내에 전 세계의 안드로이드 사용자들을 위협할 가능성이 높습니다. 


Xbot 악성코드는 "액티비티 하이재킹" 기술을 사용합니다. 


구글은 안드로이드 버전 5.0 이후 이 공격을 최소화 시키기 위한 매커니즘을 도입했지만, Xbot이 사용하는 다른 공격 기술들은 여전히 모든 버전의 안드로이드 OS에서 동작합니다. Xbot은 2014년 처음 발견된 안드로이드 악성코드인 Aulrin을 계승한 것으로 보이며, 유포 방법은 아직 명확히 알아내지 못한 상황입니다. 


Xbot이 안드로이드 기기에 설치되면, C&C 서버와의 통신을 시작합니다. 서버로부터 특정 명령어를 내려 받으면, 구글 플레이 및 특정 호주 뱅킹 앱 사용자들을 노리는 피싱 공격을 시작합니다. 


C&C 서버에서 내려오는 명령어들에 따라 다른 동작을 합니다. 


만약 "cc_notify"라는 명령이 하달되면 구글 플레이 로고와 "결제 수단 추가"라는 메세지를 영어나 러시아로 표시되어 있는 가짜 시스템 알림을 띄우는데, 이는 공식 구글 플레이 앱이 서비스에 가입은 되었지만 신용카드 정보는 제공하지 않은 사용자들을 대상으로 보여주는 실제 팝업을 모방한 것입니다. 하지만 Xbot은 이미 구글 플레이 앱에 신용카드 정보를 제공한 사용자들에게도 해당 팝업을 띄웁니다. 


사용자가 이 팝업을 클릭하면 Xbot은 C2 서버에 연결하여 피싱 페이지를 다운로드 받은 후 WebView를 통하여 이를 표시합니다. 


해당 페이지는 신용카드 정보를 요청하는 구글 플레이의 실제 페이지와 동일하게 제작되었으며, 동작 절차 역시 정식 페이지와 매우 유사하게 만들어졌습니다. 사용자가 피싱 페이지에 입력하는 모든 정보들은 공격자 서버로 업로드 됩니다. 공격자가 요구하는 정보는 다음과 같습니다. 


신용카드 정보

만료일

CVV 번호

카드 소유주 명

카드 소유주 주소

카드 소유주 전화 번호

VBV(Verified by Visa) 또는 McSec(MasterCard SecureCode) 번호



"cc_dialog"라는 명령이 하달되면 가짜 알림 단계를 건너 뛰고 가짜 구글 플레이 웹페이지가 바로 표시됩니다. 


"enable_inject"인 경우, Xbot은 안드로이드의 getRunningTasks() API를 이용하여 현재 실행 중인 앱들을 모니터링 합니다. 만약 현재 실행 중인 앱이 구글 플레이나 특정 호주 은행 앱일 경우, 즉시 실행되고 있는 앱 화면 최상단에 팝업창을 띄웁니다. 


현재 알약에서는 해당 악성코드에 대해 Trojan.Android.XBot로 탐지하고 있습니다.


출처 : 

http://researchcenter.paloaltonetworks.com/2016/02/new-android-trojan-xbot-phishes-credit-cards-and-bank-accounts-encrypts-devices-for-ransom/


관련글 더보기

댓글 영역