안드로이드 악성코드, 가짜 크롬 업데이트 프롬프트로 은행 계좌 해킹

보안 연구원들은 사용자의 민감한 정보를 훔치고 공격자가 감염된 장치를 원격으로 제어할 수 있는 새로운 안드로이드 은행 트로이 목마를 발견했습니다.

“Brokewell은 데이터 도용 및 원격 제어 기능이 내장된 전형적인 현대 은행 악성코드입니다.”라고 네덜란드 보안 회사 ThreatFabric이 목요일에 발표한 분석에서 말했습니다.

ThreatFabric에 따르면, Brokewell은 모바일 뱅킹을 통해 이용 가능한 모든 자산에 대한 원격 접근을 공격자에게 제공하여 은행 산업에 상당한 위협을 가합니다. 이 악성코드는 사이버 범죄자들이 피해자를 유인하여 악성코드를 다운로드하고 설치하도록 하는 데 일반적으로 사용하는 가짜 구글 크롬 웹 브라우저 “업데이트” 페이지를 조사하는 동안 연구원들에 의해 발견되었습니다.

이전 캠페인을 살펴보면, 연구원들은 Brokewell이 인기 있는 “지금 구매하고 나중에 지불하기” 금융 서비스와 오스트리아의 디지털 인증 애플리케이션을 목표로 사용되었다고 발견했습니다.

이 악성코드는 매일 거의 새로운 명령이 추가되어 장치에서 발생하는 모든 이벤트를 캡처하는 활성 개발 상태에 있다고 전해집니다. 여기에는 키 입력, 화면에 표시된 정보, 텍스트 입력 및 피해자가 실행한 앱이 포함됩니다.

다운로드가 완료되면, Brokewell은 사용자 자격 증명을 캡처하기 위해 대상 애플리케이션 위에 오버레이 화면을 생성합니다. 또한 자신의 WebView를 실행하여 브라우저 쿠키를 훔칠 수 있으며, onPageFinished 메서드를 재정의하고 사용자가 로그인 프로세스를 완료한 후 세션 쿠키를 덤프합니다.

“Brokewell은 ‘접근성 로깅’ 기능이 장착되어 있어 장치에서 발생하는 모든 이벤트를 캡처합니다: 터치, 스와이프, 표시된 정보, 텍스트 입력 및 열린 애플리케이션. 모든 작업은 기록되어 명령 및 제어 서버로 전송되어 손상된 장치에서 표시되거나 입력된 모든 기밀 데이터를 효과적으로 훔칩니다.”라고 ThreatFabric 연구원들이 지적합니다.

“이 경우 모든 애플리케이션이 데이터 손상 위험에 처해 있다는 점을 강조하는 것이 중요합니다: Brokewell은 모든 이벤트를 기록하여 장치에 설치된 모든 애플리케이션에 위협을 가합니다. 이 악성코드는 또한 다양한 ‘스파이웨어’ 기능을 지원합니다: 장치에 대한 정보, 통화 기록, 지리 위치를 수집하고 오디오를 녹음할 수 있습니다.”

자격 증명을 훔친 후, 공격자는 원격 제어 기능을 사용하여 장치 인수 공격을 시작할 수 있습니다. 또한 제어된 장치에서 특정 요소에 대한 터치, 스와이프 및 클릭과 같은 다양한 명령을 실행할 수 있는 범위를 제공합니다.

ThreatFabric은 Brokewell의 명령 및 제어(C2) 포인트로 사용된 서버 중 하나가 “Baron Samedit”라는 위협 행위자가 만든 “Brokewell Cyber Labs”라는 저장소를 호스팅하는 데에도 사용되었다고 발견했습니다.

이 저장소는 접근성 서비스의 악용을 방지하기 위해 구글이 안드로이드 13 및 이후에 도입한 제한을 우회하도록 설계된 동일한 개발자의 또 다른 도구인 “Brokewell Android Loader”의 소스 코드를 포함하고 있었습니다.

ThreatFabric에 따르면, Baron Samedit는 최소 2년 동안 활동해 왔으며, 다른 사이버 범죄자들에게 여러 서비스에서 도난당한 계정을 확인할 수 있는 도구를 제공하고 있으며, 이는 여전히 악성코드 서비스 운영을 지원하도록 개선될 수 있습니다.

“우리는 이 악성코드 계열의 추가 진화를 예상합니다. 이미 악성코드에 대한 거의 매일 업데이트를 관찰했습니다. Brokewell은 지하 채널에서 임대 서비스로 홍보될 가능성이 높으며, 이는 다른 사이버 범죄자들의 관심을 끌고 다양한 지역을 목표로 하는 새로운 캠페인을 촉발할 것입니다.”라고 연구원들이 결론지었습니다.

따라서 새로 발견된 Brokewell과 같은 악성코드 계열로 인한 잠재적 사기를 효과적으로 식별하고 방지하는 유일한 방법은 장치, 행동 및 고객별 신원 위험을 포함한 지표 조합을 기반으로 한 포괄적이고 다층적인 사기 탐지 솔루션을 사용하는 것입니다.

안드로이드 악성코드 감염으로부터 자신을 보호하기 위해서는 앱을 사이드로드하거나 문자 메시지에서 짧은 URL을 열지 않는 것이 좋으며, 설치하는 앱에 대한 권한을 부여할 때 매우 주의해야 합니다. 또한 구글 플레이 스토어 외부에서 안드로이드 전화에 앱이나 앱 업데이트를 다운로드하지 마십시오.

또한, 안드로이드 장치에서 구글 플레이 프로텍트를 항상 활성화하여 현재 앱과 다운로드하는 새로운 앱을 악성코드에 대해 스캔하도록 하십시오. 추가 보안을 위해 추가 안드로이드 안티바이러스 소프트웨어를 설치하는 것도 고려할 수 있습니다.

구글은 Securityweek에 구글 플레이 서비스가 활성화된 안드로이드 장치에서 기본적으로 활성화된 구글 플레이 프로텍트가 이 악성코드의 알려진 버전으로부터 사용자를 자동으로 보호한다고 확인했습니다.

또한, 이러한 앱이 플레이 외부의 출처에서 제공되더라도 악성 행동을 보이는 앱에 대해 사용자에게 경고하거나 차단합니다.