Photo: Trend Micro
Google이 Play Store를 멀웨어로부터 차단하기 위해 많은 노력을 기울였음에도 불구하고, 뒤에 가려진 앱은 어떻게 해서든 자사의 악성 소프트웨어 방지 보호를 속이고 안드로이드 사용자를 맬웨어에 감염시키기 시작했습니다.
최근에 Trend Micro 맬웨어 연구팀의 보안 연구원들이 구글 플레이 스토어에서 이러한 안드로이드 앱 2개를 발견하여 이미 은행 맬웨어와 함께 다운로드한 수천 명의 안드로이드 사용자를 감염시켰습니다.
문제의 앱은 통화 변환기라는 Currency Converter 앱과 BatterySaverMobi라는 배터리 절약 앱으로 가장하며, 감염된 Android 기기의 동작 감지기를 사용하여 Anubis라는 위험한 뱅킹 트로이 목마를 설치하기 전에 이를 모니터링합니다.
가짜 별 5개 리뷰를 많이 사용하는 악성 Android 앱은 연구자가 이러한 악성 앱을 탐지하기 위해 에뮬레이터(센서를 덜 사용하는 것)를 실행할 때 감지를 피하기 위해 전통적인 탈피 기법 대신 이 새로운기술을 사용합니다.
“사용자가 이동할 때 기기는 보통 일정량의 동작 센서 데이터를 생성합니다. 맬웨어 개발자는 멀웨어를 검사하기 위한 샌드박스가 동작 센서가 없는 에뮬레이터라고 가정하고 있으므로 이러한 유형의 데이터를 생성하지 않습니다.”라고 목요일 블로그 게시물에서 설명합니다.
“이러한 경우 개발자는 센서 데이터를 확인하기만 하면 샌드박스 환경에서 앱이 실행 중인지 여부를 확인할 수 있습니다.”
다운로드가 완료되면 악성 앱은 감염된 장치의 동작 센서를 사용하여 사용자 또는 장치가 움직이는지 여부를 탐지합니다. 장치와 사용자 모두 계속 있으면 악성 코드가 실행되지 않습니다.
이 앱은 센서 데이터를 감지하는 즉시 악성 코드를 실행하고 가짜 시스템 업데이트를 통해 악성 Anubis 페이로드 APK를 다운로드 및 설치하도록 사용자를 속여 “안정적인 Android 버전으로 위장합니다.”
동작 탐지만이 아닙니다…더 있습니다.
사용자가 가짜 시스템 업데이트를 승인하면 내장 멀웨어 드로퍼는 Twitter 및 Telegram을 비롯한 합법적인 서비스에 대한 요청과 응답을 사용하여 필요한 명령 및 제어(C&C) 서버에 연결하고 감염된 장치로 Anubis banking 트로이 목마를 다운로드합니다.
“앱 개발자가 악성 서버를 숨기는 방법 중 하나는 이를 Telegram 및 Twitter 웹 페이지 요청으로 인코딩하는 것입니다. 은행 멀웨어 드로퍼는 실행 중인 장치를 신뢰한 후 텔레그램이나 트위터를 요청할 것입니다.”라고 연구원이 설명합니다.
“다음에는 C&C 서버에 등록하고 HTTP POST 요청을 통해 명령을 확인합니다. 서버가 APK 명령으로 앱에 응답하고 다운로드 URL을 첨부하면 Anubis 페이로드가 백그라운드에서 삭제됩니다.”
손상되면 Anubis banking Trojan은 기본 제공 키 로거를 사용하거나 모든 은행 앱에 자격 증명을 삽입할 때 사용자 화면의 스크린샷을 찍어서 사용자의 베이킹 계정 자격 증명을 획득합니다.
일반적으로 뱅킹 트로이 목마는 은행 계좌 로그인 페이지 맨 위에 있는 가짜 오버레이 화면을 시작하여 은행 자격 증명을 도용합니다.
Trend Micro 연구원들에 따르면, Anubis의 최신 버전은 93개 국가에 배포되었고 은행 계좌 세부 정보를 추출하기 위해 최소 377종의 금융 앱을 사용하는 사용자를 대상으로 합니다.
또한 은행 트로이 목마는 연락처 목록 및 위치에 대한 액세스 권한을 확보하고, 연락처로 스팸 메시지를 보내고, 장치에서 전화 번호를 보내고, 오디오를 녹음하고, 외부 스토리지를 변경할 수 있습니다.
Google은 Play Store에서 두 개의 악성 앱을 제거했습니다. 끊임없이 문제가 발생하더라도 이러한 악성 프로그램으로부터 사용자를 보호하는 가장 좋은 방법은 Google의 공식 Play 스토어에서조차 애플리케이션을 다운로드할 때 항상 주의해야 합니다.
가장 중요한 것은 어떤 앱이 관리 권한을 부여하는지 주의해야 합니다. 이는 기기를 완전히 제어할 수 있는 강력한 권한입니다.
'Tech' 카테고리의 다른 글
| 윈도우 10 PC 저장 공간을 최적화하는 5가지 방법 (0) | 2020.11.17 |
|---|---|
| 중국 해커가 iPhone X에서 Remote iOS 12 Jailbreak용 PoC를 게시합니다. (0) | 2020.11.17 |
| 랜섬웨어로부터 백업을 보호하는 방법 (0) | 2020.11.17 |
| 블록체인이 만드는 비밀번호 없는 세상 (1) | 2020.11.17 |
| 구글은 안드로이드의 크롬브라우저를 공개후에 3년동안 부분적으로 패치하다 (0) | 2020.11.17 |