구글 서비스 프레임워크로 위장한 새로운 안드로이드 은행 자격 증명 도둑 RAT

안드로이드 악성코드는 점차적으로 PC 악성코드와 유사해지고 있습니다. 보안 회사 FireEye는 “구글 서비스 프레임워크”로 위장하고 안드로이드 사용자의 은행 자격 증명을 도둑질하는 새로운 안드로이드 악성코드를 확인했습니다. 이 RAT(원격 접근 도구) 악성코드의 독특한 점은 구글 서비스 프레임워크를 사용하여 실제로 안드로이드 스마트폰과 태블릿에서 실행 중인 안티바이러스 앱을 종료시킨다는 것입니다.

FireEye는 이 HijackRAT 은행 자격 증명 도둑의 발견이 개발자로부터 향후 더 많은 안드로이드 중심의 은행 위협의 신호일 수 있다고 말합니다. FireEye는 블로그 게시물에서 다음과 같이 언급했습니다,

“과거에는 개인 정보 유출, 은행 자격 증명 도둑질 또는 원격 접근을 별도로 실행하는 안드로이드 악성코드를 보았지만, 이 샘플은 모든 활동을 하나의 앱으로 결합하여 안드로이드 악성코드를 새로운 수준으로 끌어올립니다. 또한, 해커가 은행 탈취를 수행하기 위한 프레임워크를 설계했으며 이 목표를 향해 적극적으로 개발하고 있다는 것을 발견했습니다. 우리는 가까운 미래에 프레임워크가 완성되면 은행 탈취 악성코드가 대량으로 등장할 것이라고 의심합니다. 현재 공격자는 여덟 개의 한국 은행을 인식하고 있지만, 해커는 단 30분의 작업으로 새로운 은행으로 빠르게 확장할 수 있습니다.”

FireEye는 이 악성코드를 여덟 개의 한국 은행 앱과 함께 테스트했으며, 악성코드가 장치에 설치되면 명령 및 제어 서버가 기존 은행 앱을 교체하라는 명령을 보낸다는 것을 발견했습니다. 안드로이드 은행 앱은 구글 플레이에서 제공되는 안티바이러스 앱인 ‘com.ahnlab.v3mobileplus’의 설치를 요구합니다. FireEye는 HijackRaT가 설치된 후 안티바이러스 애플리케이션을 종료하고 은행 앱을 교체했다는 것을 알게 되었습니다. 이러한 행동은 RAT가 설치 후 AV 앱이나 사용자가 사용하는 은행 앱이 진짜라고 생각하는 안드로이드 사용자로부터 탐지를 피할 수 있게 해줍니다.

• 이 RAT의 작동 방식을 설명하면서 블로그는 다음과 같이 말합니다,

“이 새로운 RAT(원격 접근 도구) 악성코드의 패키지 이름은 “com.ll”이며 기본 안드로이드 아이콘으로 “구글 서비스 프레임워크”로 나타납니다. 안드로이드 사용자는 ‘설정’에서 관리 권한을 비활성화하지 않는 한 앱을 제거할 수 없습니다. 지금까지 이 샘플의 바이러스 토탈 점수는 54개의 AV 공급자 중 5개의 긍정적인 탐지에 불과합니다. 이러한 새로운 악성코드는 해커가 사용하는 CNC 서버가 매우 빠르게 변경되기 때문에 신속하게 공개됩니다.”

악성코드의 작동 방식은 FireEye 블로그에서 자세히 분석되어 있지만, 우리는 그 작동 방식을 간단히 설명하려고 합니다. 악성코드 페이로드가 포함된 앱이 설치되면 구글 서비스 아이콘이 홈 화면에 나타납니다. 안드로이드 사용자가 해당 아이콘을 클릭하면 다른 안드로이드 앱과 마찬가지로 관리 권한을 요청하는 새 화면이 나타납니다. 사용자가 수락하고 악성코드에 권한을 부여하면, 제거 옵션이 비활성화되고 “GS”라는 새로운 서비스가 시작됩니다. 그러나 이는 악성코드를 위한 위장일 뿐이며, 사용자가 GS 아이콘을 클릭하면 장치에서 “앱이 설치되지 않았습니다”라는 메시지가 표시되고 홈 화면에서 제거됩니다. 이제 HijackRAT가 작동 중이며 사용자가 온라인 상태일 경우 몇 분 내에 앱이 홍콩에 위치한 명령 및 제어 서버와 연결되고 그로부터 작업 목록을 수신합니다. FireEye는 IP 주소를 홍콩으로 추적했지만 악성코드의 저자/소유자는 확인하지 못했으며, 악성코드의 사용자 인터페이스를 기반으로 할 때, 이 악성코드는 아마도 한국인이 작성했으며 현재 한국 사용자만을 대상으로 하고 있다고 믿고 있습니다.

“해커의 IP인지 RAT에 의해 제어되는 피해자의 IP인지 알 수 없지만, URL은 장치 ID와 CNC 서버에 의해 생성된 UUID를 따릅니다.”

이 악성코드가 수행해야 하는 작업은 명령 및 제어 서버에서 ‘업데이트’라는 이름과 은행 이름의 약어로 된 앱을 다운로드하고 동시에 원래 은행 앱을 제거하는 것입니다. 원격 접근 도구에서 ‘업데이트’ 명령이 전송되면, 명령 및 제어 서버에서 유사한 앱인 ‘update.apk’가 다운로드되어 안드로이드 장치에 설치됩니다. 이 악성코드는 또한 안드로이드 장치 소유자의 모든 사용자 세부 정보를 C & C 서버로 전송합니다. 이러한 세부 정보에는 전화번호, 장치 ID, MAC 주소 및 스마트폰이나 태블릿에서 사용할 수 있는 연락처 목록이 포함됩니다.

• “이 앱의 작동 방식의 독특한 특성, 즉 여러 수준의 개인 정보를 수집하고 은행 앱을 가장할 수 있는 능력을 고려할 때, 보다 강력한 모바일 뱅킹 위협이 다가오고 있을 수 있습니다.”

은행 자격 증명을 도둑질하는 악성코드의 증가는 놀라운 일이 아니지만, 악성코드가 C & C 서버와 연결하기 위해 페이로드를 실행하는 방식의 독창성과 정교함은 구글, 보안 분석가 및 안드로이드 커뮤니티에 대한 걱정스러운 신호입니다.