갓파더 안드로이드 악성코드, 은행 웹사이트 및 암호화폐 거래소 데이터 탈취

Threat Fabric의 IB 분석가 그룹이 400개 이상의 은행 웹사이트와 암호화폐 거래소의 자격 증명을 탈취하려고 시도하는 갓파더라는 안드로이드 악성코드를 발견했습니다.

연구자들은 갓파더가 아누비스의 대체품이 될 수 있다고 믿고 있습니다. 아누비스는 널리 사용되었던 은행 트로이 목마 안드로이드 악성코드였지만, 결국 최신 안드로이드 방어를 우회할 수 없어서 사용되지 않았습니다.

안드로이드 악성코드인 갓파더는 피해자가 웹사이트에 로그인하려고 할 때 은행 및 암호화폐 거래소 앱 로그인 페이지의 상단에 로그인 표시를 생성하여, 잘 만들어진 HTML 피싱 페이지에 올바른 자격 증명을 입력하도록 속입니다.

이 안드로이드 악성코드는 2021년 3월 Threat Fabric에 의해 처음 발견되었으며, 그 이후로 코드에서 상당한 개선 및 업그레이드가 있었습니다.

또한 Cyble의 보고서에 따르면 안드로이드 악성코드의 활동이 증가하고 있으며, 터키의 유명한 음악 도구를 가장한 앱이 1천만 번 다운로드되었습니다.

연구자들은 구글 플레이 스토어의 앱에서 갓파더 악성코드의 소규모 배포를 발견할 수 있었습니다. 그러나 연구자들은 아직 주요 배포 방법을 찾지 못했기 때문에 초기 감염 방법은 주로 알려져 있지 않습니다.

안드로이드 악성코드가 타겟으로 하는 앱은 주로 미국, 터키, 캐나다, 프랑스, 독일, 스페인, 영국의 은행 앱입니다. 또한 암호화폐 거래소 플랫폼과 암호화폐 지갑 앱도 타겟입니다.

또한 이 트로이 목마는 시스템 언어를 확인하고, 러시아어, 아르메니아어, 카자흐어, 키르기스어, 몰도바어, 우즈베크어 등일 경우 작동을 중지합니다. 이는 갓파더 트로이 목마 뒤에 있는 사람들이 러시아어를 구사하며, 아마도 독립국가연합(CIS) 지역의 거주자일 가능성을 나타냅니다.

트로이 목마가 장치에 설치되면, 모든 안드로이드 장치에서 사용할 수 있는 표준 보안 검사인 구글 플레이 보호를 모방합니다. 악성코드는 한 걸음 더 나아가 핸드셋에서 스캔 프로세스를 에뮬레이트합니다.

스캔의 목적은 진짜 도구처럼 보이는 접근성 서비스를 요청하는 것이며, 목표가 요청을 승인하면 악성코드는 모든 악의적인 활동을 수행할 수 있는 모든 권한을 부여받습니다.

악의적인 활동에는 알림 및 메시지, 연락처 접근, 전화 걸기, 외부 저장소에 쓰기, 핸드셋 상태 읽기가 포함됩니다.

읽기: 위협 행위자가 통신 서비스 제공업체를 타겟으로 하고 탐지 시 방어 방법을 변경합니다.

현재 접근성 서비스는 피해자가 악성코드를 제거하지 못하도록 방해하고 구글 인증 코드(OTP)를 필터링하여 비밀번호와 PIN을 훔치고 명령을 처리하는 데 악용됩니다.

안드로이드 악성코드는 C2 서버에서 자격 증명을 훔치기 위해 일치하는 (가짜 HTML 로그인) 앱 목록을 외부로 유출합니다.

웹 가짜는 합법적인 애플리케이션의 로그인 페이지를 모방하며, 가짜 HTML 페이지에 입력된 모든 데이터(사용자 이름 및 비밀번호)는 C&C 서버로 외부 유출됩니다. Threat Fabric 연구자들이 전했습니다.

이 외에도 악성코드는 피해자의 핸드셋에서 감염된 앱으로부터 가짜 알림을 보낼 수 있어, 감염된 앱이 열리기를 기다릴 필요가 없으며, 갓파더 목록에 없는 앱의 경우 안드로이드 악성코드는 화면 녹화 기능을 사용하여 피해자가 입력하는 자격 증명을 기록합니다.

또한 갓파더는 C2 서버로부터 다음 명령을 수락하며, 장치에서 가진 관리 권한을 통해 이를 수행합니다.

startUSSD - USSD 요청 실행.  
sentMessage - 피해자 장치에서 메시지 전송 (이후 악성코드 버전에서는 처리되지 않음).  
startApp - C2 서버에서 정의한 앱 실행.  
cachecleaner - C2에서 결정한 앱의 캐시 지우기.  
BookMessages - 모든 연락처에 메시지 전송 (확산을 위한 것으로 보이며, 최신 버전에서는 사용되지 않음).  
startforward/ stopforward - C2에서 결정한 번호로 전화 포워딩 활성화 또는 비활성화.  
openbrowser - 임의의 웹페이지 열기.  
startstocks5/ stopstocks5 - STOCKS5 프록시 활성화 또는 비활성화.  
Killbot- 자기 삭제.  
startPush.- 클릭 시 가짜 페이지가 열리는 웹 페이지 알림 표시.

안드로이드 악성코드는 키로깅, 화면 녹화, 무음 모드 전환, VNC 서버 시작, 디스플레이 잠금, 알림 외부 유출 및 차단과 같은 작업을 실행할 수 있는 구성 요소를 포함하고 있습니다.

앞서 언급했듯이 갓파더 악성코드는 2019년에 소스 코드가 유출된 아누비스 트로이 목마를 만든 동일한 공격자에 의해 생성되었을 수 있으며, 또는 이 악성코드는 공격자에게 전혀 새로운 위협으로 구성될 수 있습니다.

두 악성코드는 C2 주소 수신, C2 명령 실행, 가짜 웹 방법, 프록시 모드 등 유사한 방법을 채택하고 있습니다.

그렇다고 하더라도 이 트로이 목마는 아누비스 파일 암호화, GPS 추적 등을 제외하고, VNC 서버 방법, 화면 녹화 방법, 구글 인증기를 훔치는 프로세스를 추가하는 등의 특징을 포함하고 있습니다.

읽기: 머디 워터, 해커 그룹이 피싱 메시지를 보내기 위해 기업 이메일을 해킹했습니다.