Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향업그레이드된 BrazKing Android 멀웨어
작성일 2021-11-24 조회 40

 

 

 

브라질의 은행 앱들이 이중 인증(2FA) 코드를 훔치고 금융 사기 공격을 수행할 수 있는 보다 Android RAT(원격 액세스 트로이 목마)의 표적이 되고 있다.

 

IBM X-Force는 이 뱅킹 악성코드에 BrazKing이라는 이름을 붙였다.

 

해당 악성코드의 이전 버전은 Check Point Research에서 PixStealer라고 불렀으며 ThreatFabric에 따르면 모바일 RAT는 2018년 11월경에 처음 나타났다.

 

IBM X-Force는 "실시간으로 C2(명령 및 제어) 서버에서 가짜 오버레이 화면을 가져오기 위해 핵심 오버레이 메커니즘을 이용하여 멀웨어를 이전보다 더 민첩하게 만드는 작업을 하고 있는 것으로 나타났습니다."라고 말했다.

 

연구원 Shahar Tavor는 "이 멀웨어는 공격자가 키 입력을 기록하고, 암호를 추출하고, 인수하고, 거래를 시작하고, 다른 거래 승인 세부 정보를 가져와 완료하도록 허용합니다."라고 말했다.

 

잠재적 피해자에게 장치의 보안 문제에 대해 경고하는 HTTPS 웹 사이트 링크가 포함된 메시지와 함께 시작되는 감염 루틴은 운영 체제를 최신 버전으로 업데이트하라는 옵션을 표시한다.

 

그러나 공격이 성공하려면 사용자가 알 수 없는 출처의 앱을 설치하는 설정을 활성화하는 것이 필수적이다.

 

BrazKing은 이전 버전과 마찬가지로 접근성 권한을 남용하여 뱅킹 앱에 대한 오버레이 공격을 수행하지만 하드코딩된 URL에서 가짜 화면을 검색하여 합법적인 앱 위에 표시하는 대신 이제 프로세스가 서버 측에서 수행되므로 멀웨어 자체를 변경하지 않고도 대상 앱 목록을 수정할 수 있다.

 

 

[그림1. 감염 루틴]

 

 

"어떤 앱이 사용중인는지 감지하는 것은 서버 측에서 이루어지며, 멀웨어는 정기적으로 화면 콘텐츠를 C2로 보냅니다. 그러면 멀웨어의 자동 명령이 아니라 C2 서버에서 자격 증명 획득이 활성화됩니다."라고 Tavor는 말했다.

 

BrazKing과 같은 뱅킹 트로이 목마는 설치 후 피해자의 단 한 번의 허락(예: Android의 접근성 서비스 활성화)만 있으면 악성 기능을 완전히 사용할 수 있다는 점에서 특히 주의해야한다.

 

필요한 권한으로 무장한 멀웨어는 SMS 메시지 읽기, 키 입력 캡처, 연락처 목록 액세스를 포함하여 감염된 시스템에서 정보를 수집할 수 있게된다.

 

또한 악성코드는 일단 설치되면 탐지 및 제거를 피하기 위해 여러 단계를 거쳐 스스로를 보호한다.

 

BrazKing은 사용자가 바이러스 백신 솔루션을 시작하거나 앱의 제거 화면을 열 때를 모니터링하고, 그렇다면 조치를 취하기 전에 신속하게 홈 화면으로 돌아가도록 설계되었다.

 

Tavor는 "사용자가 장치를 초기화하려고 시도하면 BrazKing은 사람보다 빠르게 '뒤로' 및 '홈' 버튼을 탭하여 맬웨어를 제거하는 것을 방지합니다."라고 설명했다.

 

멀웨어의 궁극적인 목표는 공격자가 기기에서 실행 중인 앱과 상호 작용하고, 사용자가 특정 시점에 보고 있는 앱을 감시하고, 뱅킹 앱에 입력된 키 입력을 기록하고, 사기성 오버레이 화면을 표시하는 것이다.

 

이를 통해 결제 카드의 PIN 번호 및 2FA 코드를 획득할 수 있고 최종적으로 승인되지 않은 거래를 수행할 수 있다.

 

Tavor는 "온라인 뱅킹이 모바일로 전환하는 추세와 함께 지하 사이버 범죄 영역의 공백을 모바일 뱅킹 악성코드로 채우는 추세이다."라고 결론지었다.

 

 

 

 

출처

https://thehackernews.com/2021/11/more-stealthier-version-of-brazking.html

첨부파일 첨부파일이 없습니다.
태그 BrazKing