Home > 전체기사
이벤트봇, 출시 얼마 남지 않은 듯한 안드로이드 멀웨어
  |  입력 : 2020-05-04 10:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
300개의 금융 앱 노리는 안드로이드 멀웨어...기존 멀웨어들과 전혀 다른 코드
개발자의 실험이 진행되고 있는 중으로 보여...완성되면 다크웹에 출시될 듯


[보안뉴스 문가용 기자] 미국과 유럽에서 널리 사용되는 금융 애플리케이션 300개를 노리는 안드로이드 멀웨어를 보안 업체 사이버리즌(Cybereason)이 발견했다. 이 멀웨어에는 이벤트봇(EventBot)이라는 이름이 붙었고, 기존 안드로이드 멀웨어와 완전히 다른 코드를 가지고 있어 최근 새롭게 개발된 것으로 보인다고 한다.

[이미지 = iclickart]


이벤트봇은 사용자 정보와 기계 정보, 각종 애플리케이션에 저장된 정보를 훔치기 위해 안드로이드 접근성 기능을 악용하도록 만들어졌다. 금융 소프트웨어와 문자 메시지가 이벤트봇의 주요 표적이다. “그렇지만 여러 사업 기밀을 훔쳐낼 가능성도 존재합니다. 모바일 장비가 사업 운영에 적극 활용되기 때문입니다. 공격자들이 이벤트봇을 살짝 수정하면 금융 정보가 아니라 사업 기밀이 위험해질 수 있습니다.”

설치 시 이벤트봇은 여러 가지 권한을 요구한다.
1) 여러 앱들이 실행될 때, 제일 위에 나타날 수 있는 권한
2) 외부 스토리지를 읽을 수 있는 권한
3) 패키지 설치 권한
4) 오픈 네트워크 소켓에 접근할 수 있는 권한
5) 문자 메시지를 받을 수 있는 권한
6) 부팅 직후 자동으로 시작할 수 있는 권한
7) 접근성 서비스에 접근할 수 있는 권한

이벤트봇은 공격 시 외부에서 환경설정 파일을 다운로드 받기도 하는데, 여기에는 185개의 뱅킹 앱들이 공격 대상으로 지정되어 있다. 이탈리아, 영국, 독일, 프랑스, 스페인, 미국, 루마니아, 아일랜드, 인도, 오스트리아, 스위스, 호주, 폴란드에서 사용되는 앱들이다. 그 외에 페이팔 비즈니스, 레볼루트, 바클레이즈, 유니크레딧, 캐피탈원, HSBC, 코인베이스 등 111개의 글로벌 애플리케이션도 포함되어 있다.

이벤트봇은 설치가 완료된 후 기계로부터 시스템 정보, 설치된 앱 정보 등을 수집해 C&C 서버로 전송한다. 이 때 정보들은 암호화 된 상태다. 문자 메시지 역시 확인 후 C&C 서버로 전송할 수 있는데, 이 덕분에 문자 기반 이중 인증 장치를 훼파할 수도 있다.

이벤트봇에는 parseCommand라는 함수가 존재한다. 환경설정 파일, 웹인젝트, C&C 주소 등을 업데이트 할 수 있게 해주는 기능을 가지고 있다. 이를 통해 이벤트봇은 핵심 모듈도 업데이트 할 수 있고, 업데이트한 모듈을 다이내믹 로딩 기술을 통해 설치한다. 이벤트봇 최신 버전에는 장비의 PIN 코드가 변경되는 것을 모니터링 하는 기능도 있는 것으로 나타났다.

사이버리즌은 바이러스토탈(VirusTotal)에 여러 개의 이벤트봇 샘플이 한 사용자로부터 업로드 된 것을 발견하기도 했다. 이벤트봇을 만든 자나, 이벤트봇을 탐지한 자가 샘플들을 업로드한 것으로 보인다.

아직까지 이벤트봇이 실제 공격에 활용된 사례는 발견되지 않았다. 배후 세력 또한 아직까지 전혀 알 수 없는 상태다. “현재로서는 개발이 진행되고 있는 상황으로 보입니다. 하지만 조만간 완성이 될 것이고, 그렇다면 다크웹에서 유통될 것으로 예상합니다. 다크웹에서 산업화가 이뤄짐에 따라 이런 식의 멀웨어 개발 및 유통 절차가 자주 눈에 띕니다. 개발, 실험, 업그레이드, 그런 후 공식 출시의 순서로 멀웨어들이 나타납니다.”

3줄 요약
1. 미국과 유럽의 금융 앱 노리는 안드로이드 멀웨어 발견됨.
2. 현재까지는 개발 중에 있는 다양한 버전의 샘플들이 발견된 것이 전부임.
3. 하지만 다크웹에 공식 출시되면, 여러 금융 정보와 기밀들이 위험해질 수 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)