Google Play 스토어에서 Android 뱅킹 악성코드를 통한 300,000명 이상 사용자 감염(21.12.01)

Google Play 스토어에서 Android 뱅킹 악성코드를 통한 300,000개 기기이상 감염(21.12.01)

 

 

 

1.개요

 

온라인 은행 자격 증명을 훔치는 Android 뱅킹 트로이 목마를 배포하는 맬웨어 캠페인은 Google Play 스토어를 통해 푸시된 악성 앱을 통해 거의 300,000개의 기기를 감염시켰습니다. 감염된 장치에 전달된 Android 뱅킹 트로인 목마는 사용자가 온라인 뱅킹이나 암호화폐 앱에 로그인 시도시 사용자 자격증명을 이용하여 특정 앱 권한 사용을 사용하도록 유도합니다. 공격자가 훔친 자격 증명은 공격자의 서버로 다시 전송되어 다른 위협 행위자에게 판매되거나 피해자 계정에서 암호화폐와 돈을 훔치는 데 사용됩니다.

탐지하기 더 어렵게 만들기 위해 이러한 드로퍼 앱 배후의 행위자는 세계의 특정 지역에서 더 많은 희생자를 원할 경우 감염된 장치에 뱅킹 트로이 목마 설치를 수동으로 활성화하기만 합니다. 이로 인해 자동화된 감지는 조직에서 채택하기 훨씬 더 어려운 전략이 됩니다.

 

Anatsa 캠페인

Google Play에서 특히 은행 트로이 목마 Anatsa를 배포하도록 설계된 수많은 드롭퍼를 발견했습니다. Anatsa는 RAT 및 semi-ATS 기능을 갖춘 다소 발전된 Android 뱅킹 트로이 목마입니다. 또한 자격 증명, 접근성 로깅(사용자 화면에 표시된 모든 것을 캡처) 및 키로깅을 훔치기 위해 고전적인 오버레이 공격을 수행할 수 있습니다.

PDF스캔앱과 QR코드 스캔앱으로 가장한 드로퍼 앱

 

해당 악성 앱은 QR 코드 스캐너, PDF 스캐너 및 암호화폐 앱으로 가장했습니다. 하나의 드로퍼 앱은 50,000번 이상 설치되었으며, 모든 드로퍼의 설치를 합하면 100,000개 이상 설치되었습니다.

 

Google Play에서 설치 시작 시 사용자는 앱을 계속 사용하기 위해 앱을 강제로 업데이트해야 하는데, 이 때 Anatsa 페이로드는 C2 서버에서 다운로드되어 피해자의 장치에 설치됩니다. 공격자는 앱을 합법적이고 유용하게 보이게 만들어 긍정적인 리뷰, 설치 횟수와 같은 신뢰성을 높여 Android 사용자가 앱을 설치하도록 유도합니다. 

 

모든 Anatsa 드로퍼는 코드 면에서 비슷해 보입니다. 앱을 시작하면 "업데이트"가 설치되었는지 확인하는 서비스가 시작됩니다. 드로퍼는 장치 ID, 장치 이름, 로케일, 국가, Android SDK 버전을 포함하여 장치에 대한 정보를 보내는 C2에 요청합니다.

C2 통신 요청 및 응답패킷

C2 백엔드는 디바이스 정보를 기반으로 Anatsa 페이로드 제공 여부를 결정합니다. C2 응답에 따라 드롭퍼는 ​​Anatsa를 다운로드할지 여부를 결정합니다.

"업데이트"를 성공적으로 다운로드하면 알 수 없는 출처의 앱을 설치할 수 있는 권한을 묻는 메시지가 표시됩니다. 앱이 제대로 작동하려면 업데이트가 필요하다고 이전에 확신한 사용자가 권한을 부여합니다. 설치가 완료된 후 Anatsa는 장치에서 실행되고 즉시 피해자에게 접근성 서비스 권한을 부여하도록 요청합니다. 접근성 서비스를 활성화한 후 Anatsa는 장치를 완전히 제어하고 피해자를 대신하여 작업을 수행할 수 있습니다. 동시에 드로퍼 앱도 합법적인 앱으로 실행되고 작동합니다.

 

 

Hydar와 Ermac 캠페인(Brunhilda)

Brunhilda 위협 행위자 그룹이 삭제한 여러 맬웨어 인스턴스를 식별했으며 이전 캠페인과 마찬가지로 트로이 목마 앱으로 구성되었습니다. Brunhilda가 QR 코드 생성기 앱으로 가장하는 것으로 나타났습니다. Brunhilda는 gRPC 프로토콜을 사용하여 C2에 등록 요청을 보냅니다. 등록에 성공하고 장치에 대한 자세한 정보를 전달한 후 드로퍼는 C2에서 페이로드 패키지를 다운로드하고 설치하라는 지시를 받습니다.

Brunhilda 드로퍼 설치 요청 및 응답

 

 

Alien 캠페인(Gymdrop)

"Gymdrop"이라고 부르는 이 드롭퍼는 ​​공격자가 피해자와 탐지 시스템에 자신의 앱이 합법적임을 확신시키려는 또 다른 예입니다. 앱 웹사이트는 얼핏 보기에 합법적으로 보이도록 설계되었습니다. 그러나 페이지에 'Lorem Ipsum' 자리 표시자 텍스트가 포함되어 있어도 유용한 정보가 없는 체육관 웹 사이트의 템플릿일 뿐입니다.

 

Gymdrop 드롭퍼 앱

개발자 웹사이트는 Gymdrop의 C2 역할도 합니다. 이전에 관찰된 것처럼 이 드로퍼는 피해자에게 가짜 업데이트를 설치하도록 설득하려고 했습니다. 페이로드가 앱에 따라 새로운 운동 운동 패키지로 제시되어 사용자가 "확인"을 클릭하면 드로퍼가 필요한 권한을 요청하는 방식으로 수행됩니다.

 

새로운 운동 패키지 사용자 확인을 유도한 공격 수행

 

드로퍼가 C2에서 구성을 가져온 후, 구성 파일에는 페이로드를 다운로드할 수 있는 링크가 포함됩니다. 또한 구성에는 장치 모델을 기반으로 하는 필터 규칙이 포함되어 있습니다. 필터링되는 모델과 드로퍼의 코드를 기반으로 하여 에뮬레이터 또는 연구 환경에서 페이로드를 다운로드하는 것을 피하기 위해 수행됩니다.

 

 

모든 조건이 충족되면 페이로드가 다운로드되어 설치됩니다. 이 드로퍼는 또한 접근성 서비스 권한을 요청하지 않으며, 사용자가 이 권한을 부여하도록 유도하기 위해 새로운 운동 운동을 설치하겠다는 약속으로 꾸민 패키지 설치 권한을 요청합니다. 설치되면 페이로드가 시작됩니다. 해당 드롭퍼가 Alien 뱅킹 트로이 목마를 배포하는 데 사용되는 것으로 나타났습니다.

 

GymDrop 드롭퍼를 이용한 Alien 트로이 목마 설치

 

불과 4개월 만에 4개의 대규모 Android 제품군이 Google Play를 통해 확산되어 여러 드로퍼 앱을 통해 300,000건 이상의 감염이 발생했습니다. 새로운 드로퍼 캠페인에서 공격자가 Google Play에서 악성 흔적이 적은 로더에 집중하고 있어 자동화 및 머신 러닝 기술로 탐지하는 데 어려움이 상당히 증가한다는 것입니다. 접근성 서비스와 같은 권한은 이전 캠페인에서 Google Play의 드로퍼 앱을 통해 Android 뱅킹 트로이 목마 설치 프로세스를 자동화하기 위해 악용된 핵심 전술 중 하나였습니다.

이러한 권한의 사용을 제한함으로써 행위자는 설치 권한을 요청하는 보다 전통적인 앱 설치 방법을 선택해야 하며, 합법적인 앱과 더 많이 섞이는 부작용이 있었습니다. 공격자가 테스트 환경이 아닌 피해자의 장치에만 페이로드를 설치하도록 하는 메커니즘을 사용하여 제한을 설정했습니나. 이를 달성하기 위해 범죄자는 위치 확인에서 증분 악성 업데이트에 이르기까지 시간 기반 난독화 및 서버 측 에뮬레이션 검사를 통과하는 다양한 기술을 사용합니다.

 

 

 

2.공격 침해지표(IoC) 및 대응

 

Anatsa 드롭퍼 샘플

App name	Package name	SHA-256
QR Scanner 2021	com.qr.code.generate	2db34aa26b1ca5b3619a0cf26d166ae9e85a98babf1bc41f784389ccc6f54afb
QR Scanner	com.qr.barqr.scangen	d4e9a95719e4b4748dba1338fdc5e4c7622b029bbcd9aac8a1caec30b5508db4
PDF Document Scanner - Scan to PDF	com.xaviermuches.docscannerpro2	2080061fe7f219fa0ed6e4c765a12a5bc2075d18482fa8cf27f7a090deca54c5
PDF Document Scanner	com.docscanverifier.mobile	974eb933d687a9dd3539b97821a6a777a8e5b4d65e1f32092d5ae30991d4b544
PDF Document Scanner Free	com.doscanner.mobile	16c3123574523a3f1fb24bbe6748e957afff21bef0e05cdb3b3e601a753b8f9d
CryptoTracker	cryptolistapp.app.com.cryptotracker	1aafe8407e52dc4a27ea800577d0eae3d389cb61af54e0d69b89639115d5273c

 

Anatsa 드롭퍼 C2 URL

hxxp://195.201.70.88/api/update

hxxp://178.63.27.179/api/update

hxxp://91.242.229.85/api/update

hxxp://195.201.70.89/api/update

 

Brunhilda 드롭퍼 샘플

App name	Package name	SHA-256
Two Factor Authenticator	com.flowdivision	a3bd136f14cc38d6647020b2632bc35f21fc643c0d3741caaf92f48df0fc6997
Protection Guard	com.protectionguard.app	d3dc4e22611ed20d700b6dd292ffddbc595c42453f18879f2ae4693a4d4d925a
QR CreatorScanner	com.ready.qrscanner.mix	ed537f8686824595cb3ae45f0e659437b3ae96c0a04203482d80a3e51dd915ab
Master Scanner Live	com.multifuction.combine.qr	7aa60296b771bdf6f2b52ad62ffd2176dc66cb38b4e6d2b658496a6754650ad4

 

Brunhilda 드롭퍼 C2 URL

hxxps://protectionguardapp[.]club

hxxps://readyqrscanner[.]club

hxxps://flowdivison[.]club

hxxps://multifuctionscanner[.]club

 

Gymdrop 드롭퍼 샘플

App name	Package name	SHA-256
Gym and Fitness Trainer	com.gym.trainer.games	30ee6f4ea71958c2b8d3c98a73408979f8179159acccc01b6fd53ccb20579b6b
Gym and Fitness Trainer	com.gym.trainer.games	b3c408eafe73cad0bb989135169a8314aae656357501683678eff9be9bcc618f

 

Gymdrop 드롭퍼 C2 URL

hxxps://onlinefitnessanalysis[.]com/

 

Malware Family	App name	Package name	SHA-256
Alien.A	Master Scanner Live	leaf.leave.exchang	74407e40e1c01e73087442bcdf3a0802121c4263ab67122674d9d09b3edf856e
Alien.A	Gym and Fitness Trainer	gesture.enlist.say	e8cbcc34af3bd352767b7a9270dd684a50da2e68976a3712675526a7398550a0
Anatsa.A	PDF AI : TEXT RECOGNIZER	com.uykxx.noazg	d42e0d3db3662e809af3198da67fdbd46d5c2a1052b5945401e4cdd06c197714
Hydra.C	QR CreatorScanner	com.cinnamon.equal	9ab66c1b7db44abaa53850a3d6a9af36c8ad603dab6900caba592497f632349f
Ermac.A	QR CreatorScanner	com.tag.right	fd7e7e23db5f645db9ed47a5d36e7cf57ca2dbdf46a37484eafa1e04f657bf02

 

Virustotal 조회결과

 

해당 침해지표의 악성 해시값에 대해 Virustotal 조회 결과 국내 백신사에서 대부분 미탐지되어 해당 관련 악성코드 분석 요청 진행하였습니다.

 

 

분석결과, 미탐지된 악성 해시값에 대하여 신규 악성탐지 추가하여 대응중에 있습니다.

악성탐지 신규추가

 

 

3.출처

https://threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html

Deceive the Heavens to Cross the sea — ThreatFabric