2024-03-29 06:55 (금)
뱅킹 악성코드 Svpeng, 키로깅 기능 추가…23개국 사용자 공격
상태바
뱅킹 악성코드 Svpeng, 키로깅 기능 추가…23개국 사용자 공격
  • 길민권 기자
  • 승인 2017.08.02 22:34
이 기사를 공유합니다

안드로이드 악성코드, 키로깅 기능 추가 위해 ‘Accessibility 서비스’ 악용

ATM-3.jpg
최근 보안연구원들은 지난달 중순 ‘Svpeng’라는 안드로이드 뱅킹 악성코드의 변종을 발견했으며, 여기에는 Accessibility Service를 악용하는 새로운 키로거 기능이 포함되어 있는 것을 확인했다.

이스트시큐리티 측에 따르면 “Svpeng의 새로운 버전에서는 키로거 추가를 위해 안드로이드의 Accessibility 서비스를 악용했다. 이는 사용자들에 스마트폰 기기와 상호작용 할 수 있는 대체 방법을 제공해주는 안드로이드의 기능”이라며 “이러한 기능 추가를 통해 Svpeng 악성코드는 다른 앱에 입력된 테스트들 및 모든 키 입력들을 기록할 수 있을 뿐만 아니라 많은 권한을 획득해 사용자들이 언인스톨 하지 못하도록 한다”고 설명했다.

작년 8월, Svpeng 뱅킹 트로이목마는 구글 애드센스 광고를 악용해 단 2개월 만에 전 세계 31만8천대가 넘는 안드로이드 기기들을 감염시킨 바 있다.

그리고 한달 전, 연구원들은 안드로이드의 Accessibility 서비스를 악용하는 또 다른 공격인 Cloak and Dagger를 발견했다. 이는 해커가 은밀히 감염 된 기기의 전체 제어 권한을 얻어 개인 데이터를 훔칠 수 있도록 허용했다.

Svpeng의 새로운 변종은 아직까지 널리 배포 되지는 않았지만, 단 1주일만에 러시아, 독일, 터키, 폴란드, 프랑스를 포함한 23개국의 사용자들을 공격했다. 감염된 사용자의 대부분이 러시아에 있지만, 이 Svpeng 변종 악성앱은 러시아 사용자의 기기에서는 아무런 악성행동을 하지 않았다.

분석결과에 따르면, 이 악성앱은 기기를 감염시킨 후 기기의 언어를 확인한다. 만약 언어가 러시아어라면, 악성앱은 더 이상 악성 행동을 하지 않는다. 이로써 이 트로이목마의 배후에 있는 범죄자들이 러시아인이며 법을 어기지 않기 위해 자국민을 해킹하지 않는 것이라고 추정하고 있다.

한편 연구원은 지난 7월 발견 된 Svpeng의 최신 변종이 가짜 플래시 플레이어로 위장한 악성 웹사이트를 통해 배포되고 있다고 밝혔다.

이 악성앱이 일단 설치되면 설치된 환경의 언어를 확인한다. 만약 러시아어가 아니라면, 기기에 Accessibility 서비스 접근 권한을 요청한다. 이로써 감염된 기기를 여러가지 위험한 공격에 노출 시키게 된다.

Accessibility 서비스에 접근 권한을 갖게 되면, 이 악성앱는 자기 자신에 기기의 어드민 권한을 부여하고 정식 앱의 위에 오버레이 스크린을 표시하며 전화 걸기, SMS 전송 및 수신, 연락처 접근 등과 같은 여러 동적 권한들을 부여한다.

더불어 이 트로이목마는 관리자 권한을 이용해 사용자가 자신으로부터 기기 관리자 권한을 빼앗아 가려는 시도를 모두 차단하기 때문에 이 악성앱을 삭제할 수 없다.

또한 Svpeng은 Accessibility 서비스를 이용해 기기의 다른 앱들에 대한 내부 작업에 대한 권한을 얻어 사용자가 다른 앱들에 입력한 텍스트를 훔치고 사용자가 키보드 버튼을 누를 때 마다 스크린샷을 찍고 다른 데이터들을 훔치는 등의 악성행위를 한다.

연구원은 “주로 은행 앱들을 포함한 일부 앱들은 해당 앱이 맨 윗층에서 표시 될 때 스크린 샷을 찍는 것을 허용하지 않는다. 이런 경우에도 트로이목마는 데이터를 훔칠 수 있는 방법이 있다. 공격하려는 앱 위에 피싱 창을 표시하는 것”이라며 “어떤 앱이 최 상위에 있는지 알아내기 위해 Accessibility 서비스를 사용한다는 점도 흥미롭다”고 밝혔다.

훔친 모든 정보는 공격자의 C&C 서버로 전송 된다. 연구원은 이 악성코드의 C&C 서버로부터 암호화 된 설정 파일을 가로채는데 성공했다고 밝혔다.

그는 이 파일을 해독해 Svpeng이 타깃으로 하는 일부 웹사이트, 페이팔(PayPal) 및 이베이(eBay) 모바일 앱 피싱 페이지의 URL, 영국, 독일, 터키, 호주, 프랑스, 폴란드, 싱가폴의 뱅킹 앱들의 링크들을 알아낼 수 있었다.

이 파일을 분석 결과 URL 뿐만 아니라 악성코드가 C&C 서버로부터 SMS 전송, 연락처 등 정보 수집, 설치 된 앱 및 전화 기록, 악성 링크 오픈, 기기의 모든 SMS 수집, 수신 되는 SMS 훔치기 등 다양한 명령을 받는 다는 사실을 알아낼 수 있었다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “Svpeng 악성앱이 사용하는 악성기술들은 최신 버전의 안드로이드 기기에서 동작하기 때문에 완전히 감염을 예방할 수 있는 방법은 없다”며 “다만 악성앱에 감염되지 않게 하기 위해 아래 보안 수칙들을 꼭 지키도록 노력해야 한다”고 강조했다. 

△구글 플레이 스토어나 애플 앱스토어와 같은 신뢰할 수 있는 출처만 사용하기
△앱을 설치하기 전 앱이 요구하는 권한 확인하기
△알 수 없거나 안전하지 않은 와이파이 핫스팟 피하기
△사용하지 않을 경우 와이파이 옵션을 꺼 두기
△SMS, MMS나 이메일로 받은 링크 클릭하지 않기
△우수한 바이러스 백신 앱 사용하고 최신 상태로 유지하기

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★