새로운 안드로이드 뱅킹 트로이목마인 SOVA 발견

 

 

SOVA: New Android Banking Trojan Emerges With Growing Capabilities

 

미국과 스페인의 은행 애플리케이션, 가상 화폐 지갑, 쇼핑 앱을 노리는 새로운 안드로이드 트로이목마가 발견되었습니다. 공격자는 해당 악성코드를 통해 기기에서 은행 자격 증명을 포함한 개인 식별 정보를 훔치고 사기 공격에 노출시킬 수 있는 것으로 나타났습니다.

 

S.O.V.A.(러시아어로 ‘올빼미’를 뜻하는 단어에서 유래)라 명명된 이 뱅킹 트로이목마는 웹 오버레이 공격을 통해 크리덴셜과 세션 쿠키를 훔치고, 키 입력을 기록하고, 알림을 숨기고, 수정된 가상화폐 지갑 주소를 삽입하기 위해 클립보드를 조작하는 등 다양한 기능을 포함하고 있습니다. 또한 향후에는 VNC를 통한 기기 내 사기 행각, DDoS 공격 실행, 랜섬웨어 배포, 이중 인증 코드 인터셉트 등 새로운 기능을 추가할 예정입니다.

 

이 악성코드는 2021년 8월 초 암스테르담의 사이버 보안 회사인 ThreatFabric의 연구원이 발견했습니다.

 

일반적으로 오버레이 공격은 다른 프로그램 위에 창을 표시하는 악성코드를 사용하여 사용자의 기밀 정보를 훔치는데 사용됩니다. 반면 범죄자가 유효한 세션 쿠키를 훔칠 경우 크리덴셜이 없더라도 로그인이 가능해 사용자의 계정을 탈취할 수 있습니다.

 

 

<이미지 출처 : https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html>

 

 

ThreatFabric은 보고서를 통해 아래와 같이 밝혔습니다.

 

“향후 개발에 추가될 두 번째 기능 세트는 매우 수준이 높아 S.O.V.A를 자동화된 악성코드와 봇넷 기능을 통합한 가장 진보된 봇 중 하나로 만들 것입니다.”

 

악성코드는 아직까지 개발 초기 단계인 것으로 보이지만, 개발자들은 해킹 포럼에서 그들의 제품을 광고해 왔으며 다양한 기기에서 봇 기능을 테스트하기 위한 테스터를 모집하고 있습니다. 또한 이들은 “Cerberus/Anubis를 재배포하는 것이 아닌 처음부터 직접 개발한 봇이다”라고 광고했습니다.

 

 

<이미지 출처 : https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html>

 

 

현재 이스트시큐리티 알약M에서는 해당 안드로이드 악성코드 샘플을 'Trojan.Android.Banker', 'Trojan.Android.InfoStealer'로 탐지 중입니다. 

  

 

 

  

 

출처:

https://thehackernews.com/2021/09/sova-new-android-banking-trojan-emerges.html

https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html