새로운 안드로이드 트로이안 변종, 은행 사용자 타겟

Cleafy 위협 인텔리전스 팀의 사이버 보안 연구원들은 거의 1년 동안 탐지를 피한 후 안드로이드 기기로 돌아온 Medusa 은행 트로이안의 새로운 변종을 발견했습니다.

프랑스, 이탈리아, 미국, 캐나다, 스페인, 영국, 터키의 사용자들을 타겟으로 하는 새로운 캠페인에서 발견되었습니다.

2020년에 발견된 Medusa(또는 TangleBot으로 알려짐)는 원격 접근 트로이안(RAT) 기능을 가진 정교한 악성코드 패밀리입니다.

이제 키로깅, 화면 제어 및 SMS 메시지를 읽고 쓸 수 있는 능력 등 중요한 변화와 함께 다시 나타났습니다.

이러한 기능은 위협 행위자(TAs)가 가장 위험한 형태의 은행 사기 중 하나인 온디바이스 사기(ODF)를 수행할 수 있게 합니다.

Cleafy의 위협 인텔리전스 팀은 2024년 5월 말 사기 캠페인을 모니터링하는 동안 Medusa 은행 트로이안의 새로운 변종을 발견했습니다.

그들은 “4K Sports”라는 이전에 알려지지 않은 앱의 설치가 급증하는 것을 관찰했으며, 이 앱은 알려진 악성코드 패밀리와 완벽하게 일치하지 않는 특성을 보였습니다.

최근 발견된 바에 따르면 새로운 Medusa 샘플과 이전에 알려진 샘플 간에 경량 권한 세트 및 전체 화면 오버레이 표시와 원격 애플리케이션 제거와 같은 새로운 기능을 포함한 몇 가지 불일치가 있습니다.

처음에는 터키 금융 기관을 타겟으로 했던 Medusa는 2022년까지 범위를 빠르게 확장하여 북미와 유럽에서 주요 캠페인을 시작했습니다. 그 RAT 기능은 위협 행위자가 VNC를 사용하여 실시간 화면 공유 및 접근성 서비스를 통해 손상된 장치를 완전히 제어할 수 있게 합니다.

이로 인해 계정 탈취(ATO) 및 자동 이체 시스템(ATS) 사기와 같은 위험한 공격이 용이해집니다.

“이 RAT(원격 접근 트로이안)는 TAs가 상호 작용을 위해 VNC를 활용하여 손상된 장치를 완전히 제어할 수 있게 합니다. 이러한 기능은 TAs가 온디바이스 사기(ODF)를 수행할 수 있게 합니다.”라고 사이버 보안 회사 Cleafy의 연구원들이 지난주 발표한 분석에서 말했습니다.

“ODF는 피해자의 장치에서 송금이 시작되므로 가장 위험한 유형의 은행 사기 중 하나입니다. 이는 계정 탈취(ATO) 또는 자동 이체 시스템(ATS)과 같은 수동 또는 자동 접근 방식에 맞게 조정될 수 있습니다.”

Cleafy는 여러 제휴사가 운영하는 다섯 개의 서로 다른 봇넷을 확인했으며, 각 봇넷은 지리적 타겟팅 및 사용된 미끼와 관련하여 별도의 특성을 보여줍니다. 터키와 스페인 외에도 새로운 타겟에는 이제 프랑스와 이탈리아도 포함됩니다.

연구원들은 또한 탐지된 캠페인 간의 배포 전략에서 명백한 변화가 관찰되었으며, 위협 행위자들이 가짜 업데이트 절차를 통해 악성코드를 배포하기 위해 “드로퍼”를 실험하고 있음을 알게 되었습니다.

이 악성코드는 위협 행위자의 인프라와의 웹 보안 소켓 연결을 통해 기능을 조정하며, 텔레그램, 트위터 및 ICQ와 같은 공개 소셜 미디어 프로필에서 명령 및 제어(C2) 서버 URL을 동적으로 가져와 혼란을 증가시킵니다.

이 동적 검색은 단속 시도에 대한 저항력을 높이고 이러한 소셜 미디어 플랫폼에서 추가적인 중복성을 위해 백업 채널을 사용합니다.

최신 Medusa 변종은 필요한 권한을 최소화하고 탐지를 피하는 경량 접근 방식으로의 전략적 전환을 보여줍니다.

“권한 감소, 지리적 다양화 및 정교한 배포 방법의 조합은 Medusa의 진화하는 본질을 강조합니다. TAs가 전술을 정교화함에 따라 사이버 보안 전문가와 사기 방지 분석가는 이러한 새로운 위협에 대응하기 위해 방어를 조정하고 경계를 유지해야 합니다.”라고 연구원들이 결론지었습니다.