Home > 전체기사
새 버전으로 나타난 ‘뱅크봇’, 계좌이체까지 가능
  |  입력 : 2017-11-28 14:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
올해 초부터 나타난 모바일 뱅킹 트로이목마, 새 버전 나와
외부 소스에서 페이로드 다운로드 받는 수법으로 탐지 우회


[보안뉴스 오다인 기자] 모바일 뱅킹 트로이목마 ‘뱅크봇(BankBot)’의 새 버전이 구글 플레이에 등장했다. 이번 뱅크봇은 외부 소스에서 페이로드를 다운로드 받는 방식으로 탐지를 피한 것으로 나타났다. 보안 업체 어베스트(Avast), 스파이랩스(SfyLabs), 이셋(ESET) 연구진이 발표했다.

[이미지=iclickart]


뱅크봇은 설치되고 나면 이용자의 기기에 깔려있는 원래 뱅킹 애플리케이션이 시작될 때까지 기다리는데, 해당 애플리케이션이 시작되면 이를 모방한 버전을 덮어씌운다. 이용자들이 가짜 애플리케이션에 로그인하면 뱅크봇은 뱅킹 크리덴셜을 훔쳐갈뿐더러, 문자 송수신도 가로채는 것으로 밝혀졌다.

이셋의 멀웨어 연구자인 루카스 스테판코(Lukas Stefanko)는 뱅크봇이 모바일 트랙잭션 인증번호(TAN: Transaction Authentication Number)도 훔친다고 덧붙이면서, “공격자들이 뱅크봇을 이용해 피해자의 은행 계좌이체도 할 수 있다”고 경고했다. 은행은 이중인증 시 문자에 의존하는 경우가 많다.

공격의 경로
스테판코에 따르면, 이번 뱅크봇 제작자들은 진짜 페이로드가 제거된 가짜 애플리케이션을 제출함으로써 구글 플레이의 보안 검사 프로세스를 우회하는 데 성공했다.

피해자들은 트로이목마화된 손전등 애플리케이션을 다운로드 받았는데, 이 애플리케이션에는 실제 손전등 기능이 있긴 했지만 다운로드된 후에 백그라운드의 악성 링크로부터 페이로드가 투하됐다.

이 페이로드는 투하된 시점부터 2시간 정도 대기한 뒤 피해자에게 뱅크봇을 설치하라고 요구했다. 스테판코는 이런 수법으로 사이버 범죄자들이 애플리케이션에 대한 관리자 권한을 얻을 수 있었다고 설명했다.

어베스트의 모바일 보안 팀장인 니콜라오스 크리사이도스(Nikolaos Chrysaidos)는 이용자가 웰스 파고(Wells Fargo), 체이스(Chase) 등 뱅크봇의 공격 대상 명단에 있는 금융 기관 애플리케이션 중 하나를 실행하면, 원래 화면을 흉내 낸 가짜 화면이 맨 위에 나타난다고 말했다. 크리사이도스는 가짜 화면이 진짜 뱅킹 애플리케이션의 인터페이스와 완전히 동일하진 않았다는 사실을 고려해볼 때 이용자에 따라 가짜 화면을 탐지해낸 사람도 있었을지도 모르지만, 대부분 별다른 차이점을 느끼진 못했을 것이라고 지적했다.

보안 연구자들은 뱅크봇이 페이로드를 유연하게 다룬다는 점에서 매우 독특한 멀웨어라고 본다.

크리사이도스는 “공격자들이 동일한 페이로드 전달 메커니즘을 사용해서 멀웨어든, 스파이웨어든, 뱅킹 트로이목마든 그 무엇이나 감염 기기에 투하할 수 있다”고 말했다. 그는 “정보보호최고책임자(CISO)라면 자사의 안드로이드 기기들을 대상으로 백신 솔루션을 써보는 등 최소한의 선제적인 조치들을 취해야 한다”고 권고했다.

보안 연구자들은 뱅크봇 제작자들이 우크라이나, 벨라루스, 러시아 등지에 거주하고 있을 것으로 추정한다. 이 지역들에 대한 공격 활동은 전혀 나타나지 않았기 때문이다. 보고서는 공격자들이 각 지역 사법당국의 이목을 끌지 않도록 주의하고 있는 것으로 보인다고 서술했다.

구글은 이달 17일 뱅크봇의 새 버전이 나타났다는 사실을 고지 받은 뒤, 당일 바로 구글 플레이에서 제거했다. 현재까지 보고된 모든 뱅크봇 변종들은 구글 플레이에서 제거됐지만, 뱅크봇 공격자들은 아직까지 활동 중인 것으로 추정된다. 즉, 보다 새로운 버전의 뱅크봇이 조만간 나타날 가능성이 높다는 뜻이다.

오래된 것과 새로운 것
스테판코에 따르면, 뱅크봇은 이셋에 의해 올해 초 처음 발견됐으며 9월에 다른 버전으로 재등장했다.

9월 버전에서의 드로퍼는 가장 최신 버전의 드로퍼보다 훨씬 더 정교하다고 평가된다. 9월에 나타난 악성 페이로드는 구글의 접근성 서비스(Accessibility Service)를 이용해 알려지지 않은 소스로부터 애플리케이션을 설치하는 것을 가능케 했다. 그러나 이후 구글이 접근성 서비스 기능을 시각 장애인만 이용할 수 있도록 제한하면서 이 드로퍼의 실효성이 떨어지게 됐다.

“공격자들은 접근성 서비스 기능을 제거하면서 멀웨어가 탐지되지 않도록 좀 더 은밀하게 만들어야 했습니다. 접근성 서비스를 활용하게 될 경우, 매우 빠르게 의심을 살 수 있었기 때문이죠.” 크리사이도스는 “멀웨어가 탐지를 피하도록 제작된 만큼, 그 영향력이 줄어든 것도 사실”이라고 지적했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향