보안정보

MRATAlienBot Banker

Google Play에서 9개의 AlienBot Banker 및 MRAT 배포

침해사고분석팀 2021.03.10

사이버 보안 연구원들은 Google Play 스토어를 통해 배포되는 9개의 Android 앱에 포함된 새로운 악성 코드 Dropper를 발견했다. 이 앱은 피해자의 금융 계정에 대한 침입 액세스 권한을 확보하고 기기를 완전히 제어할 수 있는 2단계 악성 코드를 배포한다.

 

Check Point 연구원 Aviran Hazum, Bohdan Melnykov, Israel Wernik는 "Clast82로 불리는 이 Dropper는 구글 플레이 프로텍트 검출을 피하고 평가 기간을 성공적으로 완료하며, 비악성 페이로드에서 떨어진 lienBot Banker와 MRAT로 변경한다"고 말했다.

 

캠페인에 사용된 앱으로는 Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary, QRecorder가 있다. 조사 결과가 1월 28일 Google에 보고된 후 불량 앱은 2월 9일 Play 스토어에서 삭제되었다.

 

악성코드 개발자는 앱 스토어 검사 메커니즘을 우회하기 위해 다양한 방법을 사용했다. 암호화를 사용하여 분석 엔진에서 문자열을 숨기거나, 합법적인 앱의 악성 버전을 생성하거나, 사용자가 앱을 다운로드하도록 유인하기 위해 가짜 리뷰를 만드는 등 개발자은 새로운 기술을 지속적으로 개발하여 플랫폼을 보호하려는 Google의 시도에 반격을 가했다.

 

인기 있는 방법은 버전 관리(Versioning)와 같은 것으로, 사용자 간의 신뢰를 쌓기 위해 앱의 클린 버전을 플레이 스토어에 업로드한 다음 앱 업데이트를 통해 이후 단계에서 원치 않는 코드를 몰래 추가하고, 구글의 탐지를 회피하기 위해 악성 기능을 트리거 하는 시간 기반 지연을 통합하는 것이다.

 

[그림 1. Google Play 스토어 Cake VPN & QRecorderNew]

 

Clast82는 Firebase를 C2 통신 플랫폼으로 활용하고 GitHub를 사용하여 악의적인 페이로드를 다운로드하며, 합법적이고 알려진 오픈 소스 안드로이드 애플리케이션을 활용하여 Dropper 기능을 삽입한다는 점에서 다르지 않다.

 

[그림 2. Firebase C2에서 보낸 'Enabled' 구성]

 

연구진은 "애플리케이션별로 깃허브 저장소와 함께 구글 플레이스토어 개발자 사용자를 만들어 각 악성 애플리케이션에 감염된 기기에 서로 다른 페이로드를 배포할 수 있게 했다"고 지적했다.

 

예를 들어, 악성 케이크 VPN 앱은 Dhaka 기반 개발자가 Syed Ashraf Ulla라는 이름으로 만든 오픈 소스 버전의 이름을 기반으로 하는 것으로 밝혀졌다. 그러나 앱이 시작되면 Firebase 실시간 데이터베이스를 활용하여 GitHub에서 페이로드 경로를 검색한 후 대상 장치에 설치된다.

 

알 수 없는 출처의 앱 설치 옵션이 꺼진 경우 Clast82는 가짜 '구글 플레이 서비스' 프롬프트를 통해 사용자에게 5초마다 반복적으로 권한을 부여하고, 이를 이용해 자격 증명을 도용할 수 있는 안드로이드 뱅킹 MaaS(Malware as a Service)와 2단계 인증 기능을 갖춘 AlienBot을 설치한다.

 

[그림 3. Dropper]

 

지난달, 천만 개가 넘는 설치를 기록한 인기 있는 바코드 스캐너 앱은 소유권이 변경된 후 한 번의 업데이트로 불량 상태가 되었다. 이와 유사한 개발에서, 추가 기능이 원격 서버에서 임의 코드를 실행하기 위해 악용될 수 있는 기능을 은밀하게 추가했다는 보고가 있은 후 The Great Suspender라는 이름의 크롬 확장이 비활성화되었다.

 

Hazum은 "Clast82 뒤에 있는 해커는 창조적이지만 우려되는 방법론을 사용하여 구글 플레이의 보호를 우회할 수 있었다"고 말했다. "해커는 GitHub 계정 또는 FireBase 계정과 같이 쉽게 사용할 수 있는 타사 리소스를 간단하게 조작하여 즉시 사용 가능한 리소스를 활용하여 Google Play 스토어의 보호를 우회할 수 있다. 피해자는 다음 사이트에서 무해한 유틸리티 앱을 다운로드하고 있다고 생각하지만, 공식적인 안드로이드 시장이었지만 그들이 실제로 얻은 것은 금융계좌로 바로 들어오는 위험한 트로이목마였다."

 

출처

https://thehackernews.com/2021/03/9-android-apps-on-google-play-caught.html
목록