상세 컨텐츠

본문 제목

가상화폐 채굴 앱으로 위장한 새로운 MaliBot 안드로이드 뱅킹 악성코드 발견

국내외 보안동향

by 알약4 2022. 6. 17. 14:00

본문

New MaliBot Android banking malware spreads as a crypto miner

 

이탈리아와 스페인의 사용자를 노린 가상화폐 채굴 앱이나 크롬 웹 브라우저로 위장한 새로운 안드로이드 뱅킹 악성코드인 MaliBot이 발견되었습니다.

 

MaliBot은 전자 뱅킹 서비스 크리덴셜, 암호화 지갑 패스워드, 개인 정보 등과 같은 금융 관련 정보를 훔치는 데 집중하며, 알림에서 2단계 인증 코드를 빼낼 수도 있습니다.

 

F5 Labs의 보고서에 따르면, 이들은 현재 다수의 배포 채널을 사용하고 있으며 이는 FluBot 운영이 갑작스럽게 중단된 후 빈자리를 채우기 위한 것으로 추측됩니다.

 

가짜 가상화폐 채굴 앱

 

Malibot의 명령 및 제어 서버는 러시아에 위치하며, 해당 IP 2020 6월부터 진행된 여러 악성코드 배포 캠페인과 관련되어 있습니다.

 

MaliBot은 피해자가 수동으로 다운로드해 설치하는 APK 형태의 가상화폐 애플리케이션을 홍보하는 웹사이트를 통해 확산됩니다.

 

해당 파일을 푸시하는 사이트는 구글 플레이 스토어에서 백만 번 이상 다운로드된 TheCryptoApp과 같은 실제 프로젝트의 복사본입니다.

 

해당 악성코드는 또 다른 캠페인에서 Mining X라는 앱으로 확산되고 있으며, 피해자가 QR 코드를 스캔하여 악성 APK 파일을 다운로드하도록 속입니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-malibot-android-banking-malware-spreads-as-a-crypto-miner/>

<MaliBot을 푸시하는 Mining X 웹 사이트>

 

 

MaliBot 운영자는 또한 C2에서 고른 전화번호 목록에 스미싱 메시지를 보내 페이로드를 배포합니다. 이러한 메시지는 "SMS 보내기" 권한을 악용 가능한 해킹된기기에서 전송됩니다.

 

MaliBot의 기능

 

MaliBot은 설치 시 접근성 및 런쳐 권한을 얻어 장치에 대한 추가 권한을 자체적으로 부여하는 강력한 안드로이드 트로이 목마입니다.

 

이는 알림, SMS 및 통화를 가로채고, 스크린샷을 캡처하고, 부팅 활동을 등록하고, VNC 시스템을 통해 운영자가 기기를 원격으로 제어할 수 있도록 합니다.

 

운영자는 VNC를 통해 화면 탐색, 스크롤, 스크린샷 촬영, 콘텐츠 복사 및 붙여넣기, 스와이프, 길게 누르기 등을 수행할 수 있습니다.

 

이들은 MFA 보호를 우회하기 위해 Accessibility API를 악용해 의심스러운 로그인 시도에 대한 경고가 표시될 경우 확인을 누르며, C2OTP를 보내고 이를 자동으로 입력합니다.

 

 

<이미지 출처 : https://www.f5.com/labs/articles/threat-intelligence/f5-labs-investigates-malibot>

<MFA 코드를 검색하는 코드>

 

 

또한 이 악성코드는 사용자의 구글 인증기에서 MFA 코드를 훔칠 수도 있습니다.

 

대부분의 뱅킹 트로이 목마와 마찬가지로, MaliBot 또한 설치된 앱 목록을 검색하여 C2에서 오버레이/인젝션을 가져올 수 있는 은행 앱이 설치되었는지 확인합니다. 피해자가 정식 앱을 열면 가짜 로그인 화면이 UI 위에 오버레이됩니다.

 

 

<이미지 출처 : https://www.f5.com/labs/articles/threat-intelligence/f5-labs-investigates-malibot>

<C2에 오버레이 목록을 전송한 후 주입할 내용 수신>

 

 

연구원들은 Mailbot의 코드에서 에뮬레이트 환경의 탐지 등 분석을 회피하는 데 사용할 수 있는 구현 중인 기능을 발견했습니다.

 

이는 개발이 매우 활발히 이루어지고 있다는 것을 의미하며, 새로운 버전의 MaliBot이 곧 출시될 것으로 예상할 수 있습니다.

 

현재 MaliBot은 이탈리아 및 스페인 은행을 노리는 오버레이 화면을 로드하지만, 추후 범위를 확장할 수 있습니다.

 

 

<이미지 출처 : https://www.f5.com/labs/articles/threat-intelligence/f5-labs-investigates-malibot>

<MaliBot에서 사용하는 스페인 은행 오버레이>

 

 

MaliBot을 배포하는 웹사이트는 현재도 온라인 상태이기 때문에, 악성코드는 여전히 활발히 배포되고 있을 것으로 추측됩니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-malibot-android-banking-malware-spreads-as-a-crypto-miner/

https://www.f5.com/labs/articles/threat-intelligence/f5-labs-investigates-malibot

관련글 더보기

댓글 영역