스페인어와 포르투갈어 사용하는 지역에서 주로 발견되고 있는 뱅커비알
장비에 침투해 접근성 기능 조작한 뒤 뱅킹 앱 실행되면 오버레이 공격 실시해[보안뉴스 문가용 기자] 안드로이드 환경에서 인터넷 뱅킹 혹은 모바일 뱅킹 크리덴셜을 훔치는 기능을 가진 트로이목마가 발견됐다. 이름은 뱅커비알(Banker.BR)로, IBM의 엑스포스(X-Force) 팀이 발견했으며, 스페인어와 포르투갈어를 공용어로 하는 나라들에서 주로 피해가 발생하고 있다고 한다. 현재도 멀웨어 향상이 진행 중에 있어서 더 문제다.
[이미지 = iclickart]
엑스포스 팀이 발표한 분석 보고서에 의하면 뱅커비알의 코드에서는 이전에 출현했던 여러 가지 악성 코드들의 흔적을 찾을 수 없다고 한다. 즉 새롭게 만들어진 멀웨어 패밀리라는 것이다. 다만 초기 버전이 발견된 바 있는데, 그 때는 문자 메시지 탈취 기능만을 가지고 있었다고 한다. 이번에 분석된 후속 버전에는 고급 오버레이 공격 기능도 포함되어 있었다.
공격자들은 여러 가지 방법을 동원해 사용자들을 속여 자신들이 관리하는 악성 도메인에 접속하도록 만든다. 그런 후 모바일 뱅킹을 위한 최신 보안 앱을 설치하라고 권장하는데, 이를 허용할 경우 뱅커비알이 다운로드 되기 시작한다. 다운로드 자체는 정상 파일 공유 플랫폼에서부터 시작된다.
엑스포스 팀에 의하면 뱅커비알은 B4X 프로그래밍 언어로 만들어져 있다고 한다. B4X는 비주얼 베이직(Visual Basic)의 최신 버전으로, 안드로이드와 iOS 애플리케이션을 개발하는 데에 활용된다. 멀웨어 제작에 자주 사용되는 것은 아니다.
설치가 완료되면 뱅커비알은 제일 먼저 장비 정보를 수집한다. 전화번호, IMEI, IMSI, 심카드 일련번호 등 민감한 정보들이 수집돼 C&C 서버로 전송된다. 그런 후 뱅커비알은 접근성 기능을 건드리기 시작한다. 최종 목적은 장비 주인이 알아차리지 못하는 상태에서 여러 가지 행위를 성립시키는 것이다. 접근성 기능 조작을 통해 뱅커비알은 연락처, 카메라, 문자 메시지 등에 접근할 수 있게 된다.
엑스포스 팀은 “접근성 기능을 남용하는 건 안드로이드 멀웨어에서 흔히 나타나는 전략”이라며 “이를 통해 전면에서 실행되고 있는 앱이 무엇인지 끊임없이 확인하다가 원하는 앱(주로 모바일 뱅킹 앱)이 실행되면 오버레이 화면을 띄워 사용자를 속인다”고 설명한다. 오버레이 화면은 은행 로고, ID 입력란, 비밀번호 입력란 등으로 구성되어 있다. 앱을 직접 실행시킨 피해자는 오버레이 화면을 보고 정상적인 앱 실행 화면으로 생각한다. 그리고 의심 없이 크리덴셜을 입력한다. 그 정보는 공격자들에게 넘어간다.
크리덴셜을 확보한 공격자는 피해자인 것처럼 모바일 뱅킹 앱에 접속할 수 있게 된다. 각종 은행 업무와 사기성 송금 등이 가능하게 되는 것이다. 이 외에도 뱅커비알은 피해자의 문자 메시지도 훔칠 수 있어 이중 인증 장치도 간단히 뚫린다고 한다.
이런 뱅커비알이지만, 아직 개발 단계에 있음을 나타내는 흔적들도 발견되고 있다. 엑스포스의 보고서에 따르면 “난독화 처리가 되어 있지 않아 리버스 엔지니어링이 매우 쉽다”고 한다. 또한 “가상 환경에서 실행되고 있는지 확인하는 기능도 없어 분석하기도 쉽다”는 점도 있다. 최근 멀웨어들은 여러 가지 분석 방해 기능을 기본으로 탑재하고 있다.
그럼에도 문자 메시지를 훔치는 기능만 가지고 있던 초기 버전을 고려하면 뱅커비알의 개발자들이 계속해서 멀웨어를 향상시키고 있다는 걸 추측할 수 있다고 엑스포스 팀은 강조한다. 즉 가까운 미래에 더 발전된 버전이 등장해 피해자들을 양산할 거라는 것이다. 새로운 오버레이 화면을 더 탑재한 버전이 조만간 나타날 것이라고 엑스포스 팀은 보고 있는데, 이는 더 많은 은행의 고객들이 공격에 당할 가능성이 생긴다는 뜻이다.
현재까지 피해는 브라질과 남미 지역에 집중되어 있다. 하지만 비슷한 언어권인 스페인과 포르투갈에서도 점점 피해자가 늘어나고 있는 상황이다. 이 때문에 공격자들 역시 비슷한 언어권에서 활동을 하고 있는 것으로 추측된다. 또한 비슷한 수법이 전파돼 다른 지역에서도 고급 오버레이 공격이 다시 등장할 수 있을 것으로 보인다.
보다 상세한 보고서는 여기(https://securityintelligence.com/posts/new-android-banking-trojan-targets-spanish-portuguese-speaking-users/)서 열람이 가능하다.
3줄 요약
1. 스페인과 포르투갈 언어권에서 안드로이드 모바일 뱅킹 멀웨어 등장함.
2. 이름은 뱅커비알로, 오버레이 공격을 통해 크리덴셜 훔치고 있음.
3. 아직 미숙한 점 있지만 계발 중에 있어 앞으로 더 큰 위협 될 가능성 높음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=87740&page=1&mkind=1&kind=]
