30만 대 이상의 안드로이드 기기가 악성 은행 트로이 목마에 감염됨

300,000명 이상의 Google Play 스토어 사용자가 안드로이드 은행 트로이 목마에 감염되었다고 모바일 보안 회사인 ThreatFabric의 새로운 보고서에서 밝혔습니다.

지난달, ThreatFabric의 보안 연구원들은 Google Play 스토어에서 은행 트로이 목마를 배포하는 네 가지 서로 다른 악성코드 드로퍼 캠페인을 발견했습니다. 이들은 주로 Anatsa, Alien, Hydra, Ermac의 네 가지 악성코드 계열의 일부로, 2021년 8월부터 11월 사이에 배포되었으며 300,000회 이상 다운로드되었습니다.

이 악성 안드로이드 앱들은 QR 스캐너, QR 스캐너 2021, PDF 문서 스캐너, PDF 문서 스캐너 무료, 이중 인증기, 보호 가드, QR 생성기 스캐너, 마스터 스캐너 라이브, 크립토 트래커, 체육관 및 피트니스 트레이너로 위장했습니다.

다양한 악성코드 계열의 배포 기술에 대한 연구 중에, ThreatFabric 분석가들은 Google Play에 위치한 수많은 드로퍼를 발견했으며, 이는 특히 은행 트로이 목마 Anatsa를 배포하도록 설계되었습니다.

Anatsa는 2021년 1월 ThreatFabric에 의해 발견되었습니다. 이는 RAT 및 반자동 ATS 기능을 갖춘 상당히 진보된 안드로이드 은행 트로이 목마입니다. 또한 자격 증명을 훔치기 위해 고전적인 오버레이 공격을 수행하고, 접근성 로깅(사용자의 화면에 표시되는 모든 것을 캡처) 및 키로깅을 수행할 수 있습니다.

첫 번째 드로퍼는 문서 스캔 앱으로 위장하여 2021년 6월에 발견되었습니다. 총 6개의 Anatsa 드로퍼가 2021년 6월 이후 Google Play에 게시된 것을 ThreatFabric 분석가들이 확인할 수 있었습니다.

이 앱들은 QR 코드 스캐너, PDF 스캐너 및 암호화폐 앱으로 위장했습니다. 하나의 드로퍼 앱은 50,000회 이상 설치되었으며, 모든 드로퍼의 설치 총합은 100,000회 이상에 달했습니다.

“이 뒤에 있는 행위자들은 그들의 앱이 합법적이고 유용해 보이도록 신경을 썼습니다. 앱에 대한 긍정적인 리뷰가 많이 있습니다. 설치 수와 리뷰의 존재는 안드로이드 사용자들이 앱을 설치하도록 설득할 수 있습니다. 게다가 이 앱들은 실제로 주장된 기능을 가지고 있으며, 설치 후 정상적으로 작동하여 피해자에게 합법성을 더욱 확신시킵니다.”라고 연구자들은 언급했습니다.

또한 Alien(95,000+) 및 Hydra/Ermac(15,000+) 악성코드 계열의 드로퍼 설치도 있었습니다. Alien은 이중 인증 프로세스에서조차 중요한 정보를 훔칠 수 있는 반면, 나머지 두 개는 사용자의 은행 정보를 훔치기 위해 장치에 대한 접근을 공격자에게 제공합니다.

드로퍼 앱은 매우 작은 악성 발자국을 가지고 있으며, 이는 Google Play에서 시행하는 권한 제한의 (직접적인) 결과입니다.

좋은 예는 2021년 11월 13일 Google이 도입한 수정으로, 이는 이전 드로퍼 캠페인에서 사용자 동의 없이 앱을 자동으로 설치하고 실행하는 데 악용된 접근성 서비스의 사용을 제한합니다.

“Google의 이러한 단속은 행위자들이 드로퍼 앱의 발자국을 상당히 줄이는 방법을 찾도록 강요했습니다. 개선된 악성코드 코드 노력 외에도 Google Play 배포 캠페인은 이전 캠페인보다 더 정교해졌습니다.”라고 ThreatFabric 연구자들은 보고서에서 설명했습니다.

“예를 들어, Google Play에서 더 긴 기간 동안 신중하게 계획된 작은 악성 코드 업데이트를 도입하고, 드로퍼 앱의 테마에 완전히 맞는 드로퍼 C2 백엔드를 갖추는 것입니다(예: 운동 중심 앱을 위한 작동하는 피트니스 웹사이트).”

이 드로퍼 앱의 뒤에 있는 행위자들은 Google 및 안티바이러스 공급업체에 의해 더 어렵게 탐지되도록 하기 위해 감염된 장치에서 특정 지역을 목표로 하거나 나중 날짜에 더 많은 탐지를 피하기 위해 은행 트로이 목마의 설치를 수동으로 활성화합니다. 이로 인해 자동 탐지가 모든 조직에 의해 채택하기 훨씬 더 어려운 전략이 됩니다.

결과적으로 거의 모든 트로이 목마는 한 시점에서 VirusTotal에서 0/62 FUD 점수를 기록하여 최소한의 발자국을 가진 드로퍼 앱을 탐지하는 어려움을 확인했습니다.

“단 4개월 만에 Google Play를 통해 4개의 대규모 안드로이드 계열이 퍼져 300,000회 이상의 감염이 여러 드로퍼 앱을 통해 발생했습니다. 새로운 드로퍼 캠페인에서 눈에 띄는 추세는 행위자들이 Google Play에서 악성 발자국을 줄인 로더에 집중하고 있어 자동화 및 기계 학습 기술로 이들을 탐지하는 데 상당한 어려움을 증가시키고 있다는 것입니다.”라고 보고서는 결론지었습니다.

“작은 악성 발자국은 앱 권한과 관련된 개인 정보 사용에 대한 제한을 두기 위한 새로운 Google Play 제한(현재 및 계획된)의 결과입니다.”

악성 앱이 발견된 후, ThreatFabric은 모든 앱을 Google에 보고했으며, 현재 Google 대변인이 ZDNet에 확인한 바와 같이 Play 스토어에서 제거되었습니다.

“안드로이드 은행 악성코드 생태계는 빠르게 진화하고 있습니다. 현재 우리가 관찰하고 있는 이러한 수치는 범죄자들이 모바일 환경으로 초점을 천천히 그러나 불가피하게 전환하고 있다는 결과입니다. 이를 염두에 두고, Google Play 스토어는 악성코드를 제공하기 위해 가장 매력적인 플랫폼입니다.”라고 ThreatFabric의 모바일 악성코드 전문가인 Dario Durando가 ZDNet에 말했습니다.

“좋은 규칙은 항상 업데이트를 확인하고 접근성 서비스 권한을 부여하기 전에 매우 조심하는 것입니다. 이는 악성 페이로드가 ‘업데이트’ 설치 후 요청할 것입니다. 추가 소프트웨어 설치를 요청하는 애플리케이션에 주의하십시오.”라고 Durando는 감염을 피하기 위해 사용자에게 권장했습니다.