5.5M회 설치된 Play 스토어에서 발견된 90개 이상의 안드로이드 뱅킹 악성 앱

Zscaler ThreatLabz의 보안 연구원들은 지난 몇 달 동안 Google Play 스토어에서 550만 회 이상 다운로드된 90개 이상의 안드로이드 악성 앱을 식별하고 분석했습니다.

이러한 악성 앱은 악성코드와 애드웨어를 배포하며, 최근 활동이 급증한 Anatsa 뱅킹 트로이 목마를 포함합니다.

클라우드 보안 회사에 따르면, Anatsa(일명 “Teabot”)는 Google Play 스토어에서 ‘PDF Reader & File Manager’라는 PDF 리더 앱과 ‘QR Reader & File Manager’라는 QR 코드 리더 앱을 통해 배포된 알려진 안드로이드 뱅킹 악성코드입니다. Zscaler의 분석 당시, 이 두 앱은 이미 70,000회의 설치를 기록했습니다.

Anatsa 뱅킹 악성코드는 드로퍼 기법을 사용하여 초기 애플리케이션이 설치 시 사용자에게 깨끗하게 보이도록 합니다.

악성코드는 원격 페이로드를 명령 및 제어(C2) 서버에서 가져와 추가 악성 활동을 수행합니다.

설치가 완료되면, 다양한 모호한 전술을 사용하여 전 세계 금융 애플리케이션에서 민감한 뱅킹 자격 증명과 재무 정보를 유출합니다.

“이는 오버레이 및 접근성 기술을 사용하여 데이터를 은밀하게 가로채고 수집함으로써 달성됩니다.”라고 Zscaler의 Himanshu Sharma와 Gajanana Khond는 블로그 게시물에서 작성했습니다.

이를 달성하기 위해 Anatsa 악성코드는 로드된 Dalvik Executable(DEX) 파일에서 코드를 호출하기 위해 리플렉션을 사용합니다. 이 파일에는 결국 Android Runtime에 의해 실행되는 코드가 포함되어 있습니다.

다음 단계 페이로드가 다운로드된 후, Anatsa는 분석 환경 및 악성코드 샌드박스를 찾기 위해 장치 환경 및 장치 유형에 대한 일련의 검사를 수행합니다.

성공적으로 검증되면, 원격 서버에서 세 번째 단계 및 최종 페이로드를 다운로드합니다.

Anatsa 악성코드는 APK에 압축되지 않은 원시 매니페스트 데이터를 주입하고, 분석을 방해하기 위해 매니페스트 파일의 압축 매개변수를 손상시킵니다.

APK가 로드된 후, 악성코드는 SMS 및 접근성 옵션을 포함한 다양한 권한을 요청하고, 자산 파일 내에 최종 DEX 페이로드를 숨깁니다.

또한, 페이로드는 코드 내에 내장된 정적 키를 사용하여 런타임 중 DEX 파일을 복호화합니다.

악성코드가 장치를 성공적으로 감염시키면, C2 서버와 통신을 시작하고 피해자의 장치를 스캔하여 설치된 뱅킹 앱이 있는지 확인합니다.

대상 앱이 발견되면, 악성코드는 이 정보를 C2 서버에 전달합니다.

이에 따라 C2 서버는 뱅킹 앱을 위한 가짜 로그인 페이지를 제공합니다.

피해자가 가짜 로그인 페이지에 속아 뱅킹 자격 증명을 입력하면, 정보는 C2 서버로 전송되며, 해커는 이를 사용하여 뱅킹 앱에 로그인하고 돈을 훔칠 수 있습니다.

Anatsa 뒤의 위협 행위자들은 주로 유럽의 650개 이상의 금융 기관의 애플리케이션을 타겟으로 하여 데이터를 유출했습니다. 그러나 Zscaler는 이 악성코드가 미국과 영국의 뱅킹 앱도 “적극적으로 타겟팅”하고 있으며, 위협 행위자들이 독일, 스페인, 핀란드, 한국 및 싱가포르의 뱅킹 앱으로 타겟을 확장하고 있다고 보고합니다.

“Anatsa 뱅킹 트로이 목마를 배포하는 위협 행위자들이 수행한 최근 캠페인은 Google Play 스토어에서 이러한 악성 애플리케이션을 다운로드한 여러 지리적 지역의 안드로이드 사용자들이 직면한 위험을 강조합니다.”라고 연구원들은 결론지었습니다.

Zscaler는 악성코드에 감염된 90개 이상의 앱의 신원을 공개하지 않았지만, 두 개의 Anatsa 드로퍼 앱은 Google Play 스토어에서 제거되었습니다.

한편, 드로퍼 앱을 다운로드한 경우 즉시 Android 기기에서 삭제하는 것이 권장됩니다.