2020.10.12

에일리언 악성코드, 모바일 뱅킹 사용자에게 위협으로 등장

Lucian Constantin | CSO
컴퓨터 사용자들은 10년 이상 온라인 뱅킹 자격 증명을 훔치고 그들의 계정으로 사기 행각을 벌이기 위해 고안된 악성 프로그램에게 괴롭힘을 당했다. 지난 수년 동안 모바일 뱅킹이 보급되면서 이런 프로그램들이 트렌드를 따라 컴퓨터에서 스마트폰으로 옮겨갔다. 가장 널리 사용되는 안드로이드 뱅킹 트로이목마는 지난 달 자체 개발자들에게 버림받았다. 하지만 에일리언(Alien)이라는 더욱 강력한 악성코드가 사이버 범죄자 생태계에 빈 자리를 빠르게 채우고 있다. 

사이버 범죄 정보업체 TF(ThreatFabric)의 연구진은 최근 한 게시물에서 “새로운 안드로이드 뱅킹 트로이목마 바이러스의 수가 증가할 뿐 아니라 첨단 기능을 적용한 것들도 많다. 점차 많은 범죄자가 에일리언 악성코드를 통해 감염된 기기를 원격으로 제어해(RAT) 피해자의 기기에서 사기를 수행할 수 있는 역량을 갖추고 있다. 또한 피해자 주변의 정보를 더 많이 기록하고 훔치는 것에 대해 공격자들의 관심이 증가하고 있다. 이런 정보를 사용하거나, 이를 통해 수익을 얻는 방식은 다를 수 있지만 범죄자들은 머지않아 이런 정보의 가치를 알아낼 것이다”라고 밝혔다.


케르베로스(Cerberus)의 종말 

2014년 이후로 여러 안드로이드 뱅킹 트로이목마 바이러스가 다양한 기간에 걸쳐 모바일 위협 영역을 지배했다. GM Bot부터 시작해 마르쉐(Marcher), 엑소봇(Exobot), 레드 얼럿(Red Alert), 아누비스(Anubis) 그리고 마지막으로 2019년에 등장해 급부상한 케르베로스(Cerberus)까지 이어졌다. 이런 트로이목마의 대부분은 개발자가 다른 사이버 범죄자들에게 자신의 트로이목마 및 인프라에 대한 액세스를 판매하고 임대하는 서비스형 악성코드 모델을 따랐다.

케르베로스는 성공적이었으며 다른 앱 위에 악성 화면 표시 기능(동적 오버레이), 키로깅(Keylogging), SMS 가로채기 및 전송, 착신 전환, 연락처 훔치기, 기기 및 앱 정보 수집, 앱 설치 및 제거, 화면 잠금 등의 기능이 있었다. 트로이목마는 7개의 프랑스 뱅킹 앱, 7개의 미국 뱅킹 앱, 1개의 일본 뱅킹 앱과 15개의 비 뱅킹 앱을 대상으로 설계되었다.

이런 트로이목마의 주된 장점은 개발자가 구글 플레이 스토어가 설치되어 있는 안드로이드 기기에 탑재된 구글의 악성코드 탐지 서비스인 구글 플레이 프로텍트(Google Play Protect)를 회피하는 새로운 방법을 찾아낸 것이다. 케르베로스는 개발자들은 실력이 부족했고 몇 개월 전 플레이 프로텍트에 안드로이드 기기에서 모든 케르베로스 샘플을 탐지해 제거하는 기능이 업데이트됐다. 이로 인해 케르베로스를 유료로 사용하는 많은 사이버 범죄자들이 실망했다.

TF에 따르면, 케르베로스 개발자는 실력 부족으로 인해 이 악성코드로 인한 유료 고객들이 겪는 문제를 해결할 수 없었고 프로젝트 전체를 넘기려 시도했다. 하지만 성공하지 못했고 8월에 소스코드를 사이버 범죄 포럼의 관리자와 공유했고, 해당 소스코드는 곧 유출됐다. 이로 인해 케르베로스의 비즈니스 및 운영이 종료됐고, 이후 개발도 중단됐다.


에일리언의 등장

케르베로스가 사라지자 이전의 고객들이 케르베로스보다 더 많은 기능을 갖춘 에일리언이라는 안드로이드 뱅킹 트로이목마로 옮겨가기 시작했다고 TF의 연구원들이 말했다. 

에일리언은 2020년 1월에 등장했지만 처음에는 실제로 케르베로스의 코드 기반에 기초하고 있어 후자의 변종으로 오해하기 쉬웠기 때문에 레이더망을 피할 수 있었다. 실제로 케르베로스 개발자는 당시 사이버 범죄 포럼에서 해당 트로이목마 바이러스의 새로운 주요 버전을 개발 중이라고 밝힌 바 있다. 

사실, 케르베로스와 초기에 명칭이 확실하지 않았던 에일리언의 차이점은 에일리언에 일부 안드로이드 스마트폰에 사전 설치되어 있는 팀뷰어(TeamViewer) 구성요소를 악용하는 원격 제어 모듈이 있었다는 점이다. 이 덕분에 사이버 범죄자들은 피해자의 기기에서 직접 사기 트랜잭션을 수행할 수 있었다.

이후 몇 주가 지나고 다른 그룹의 사람들이 별도로 광고하고 포럼에서 케르베로스 팀과도 충돌을 일으키면서 그들이 에일리언을 운영하고 있다는 사실이 밝혀졌다. 에일리언 개발자들은 5월에 버전 2를 공개하면서 케르베로스 팀이 추가하지 않았던 새로운 기능인 구글 인증 앱에서 이중 인증(2FA) 코드를 훔치는 모듈도 추가했다.

인기 악성코드 프로그램의 소스코드가 공개되거나 유출된 후에 이에 기반으로 스핀 오프(spin off)가 개발되는 것은 흔한 일이다. 하지만 케르베로스의 소스코드는 8월에 유출되었고 에일리언은 1월에 등장했기 때문에 의문점이 생긴다. 에일리언 개발자들은 어떻게 오래 전에 소스코드에 액세스할 수 있었을까?

TF의 연구진은 케르베로스 개발자 가운데 한 명이 프로젝트를 떠나면서 소스코드뿐만이 아니라 공개되지 않은 2FA 코드 훔치기 모듈을 가져가 경쟁자인 에일리언을 개발한 것으로 추측했다. 연구진은 “(우리의 모바일 위협 정보(Mobile Threat Intelligence) 포털에서 제공되는) 트로이목마 바이러스에 대한 심층적인 지식을 기반으로 2020년 1월 초부터 활동하고 케르베로스와 같은 시기에 임대된 에일리언 악성코드가 케르베로스(v1)의 초기 변종의 포크(Fork)임을 입증할 수 있다. 케르베로스가 중단되면서 고객들이 사기꾼들 사이에서 유명한 새로운 MaaS가 된 에일리언으로 전환하고 있는 것 같다”라고 설명했다.


에일리언 악성코드의 매커니즘

에일리언은 다른 안드로이드 뱅킹 트로이목마와 마찬가지로 서비스 형태로 판매한다. 비용을 지불한 사이버 범죄자들은 설정에 기초해 사용자 정의 APK(Android Application Package)를 생성할 수 있는 빌더에 액세스하게 된다. 

그리고 해당 APK를 잠재적인 피해자에게 배포하는 방식(일반적으로 SMS 또는 이메일 스팸 메시지 이용)을 선택할 수 있다. 실제로 연구진이 발견해 분석한 일부 초기 에일리언 샘플은 코로나바이러스(Coronavirus)라는 이름을 갖고 있었으며, 공격자들이 코로나19 팬데믹에 편승해 이를 확산시키고 있었음을 알 수 있다. 사이버 범죄자들은 구글 플레이의 방어벽을 우회해 공식 앱 스토어에 해당 악성코드를 업로드하고 정상적인 애플리케이션으로 가장하기 때문에 사용자에게 알 수 없는 소스로부터 제공된 애플리케이션을 설치하지 말라고 경고해도 보호할 수 없다. 

설치 중 트로이목마는 접근성 권한을 요구한다. 이 특수 기능은 안드로이드에서 접근성 앱이 사용하며 다른 앱의 화면을 읽고 탭을 시뮬레이션해 UI를 제어하는 등의 기능이 있다. 에일리언은 이 권한을 이용해 많은 안드로이드 스마트폰 제조업체 및 기기 모델이 기본으로 지원하는 인기 원격 제어 애플리케이션인 팀뷰어를 설치한다. 그리고 팀뷰어에서 공격자들이 기기에 연결하고 뱅킹 앱에 액세스해 사기 트랜잭션을 수행할 수 있는 하드코딩 된 자격 증명을 구성할 수 있다.

에일리언의 또 다른 차별화된 기능은 다른 앱의 시스템 알림을 모니터링해 내용을 명령 관리 서버로 전송하는 기능이다. 이를 위해서는 안드로이드 권한이 필요하며, 이것은 위험으로 간주되기 때문에 사용자가 앱의 설정으로 들어가 수동으로 부여해야 한다. 에일리언은 접근성 권한을 사용해 이 권한을 부여하기 위해 필요한 사용자 환경 단계를 수행함으로써 이를 우회한다.

이 트로이목마에는 오버레이(overlaying), 키로깅(keylogging), SMS 목록 및 전송, 연락처 수집, 2FA 코드 훔치기, 착신 전환 및 위치 수집 등 케르베로스와 같은 기능도 포함되어 있다. 에일리언은 지메일, 페이스북, 트위터, 스냅챗, 텔레그램 및 기타 IM 앱 등 케르베로스보다 더 많은 뱅킹 및 비 뱅킹 앱을 표적으로 삼는다. 표적이 된 뱅킹 앱은 스페인, 터키, 독일, 미국, 이탈리아, 프랑스, 폴란드, 호주 및 영국 등의 앱이다. TF는 보고서에 표적이 된 앱의 목록을 포함시켰지만 에일리언을 사용하는 사이버 범죄자들은 자신의 표적을 정의할 수 있기 때문에 목록에 포함되지 않은 것들이 많다.

연구진은 “에일리언 개발자들의 다음 행보를 예측하기는 어렵지만 현재 팀뷰어에 기초하고 있는(그래서 기기에 설치되어 실행될 때 눈에 보이는) RAT을 개선할 것이다. 또한 ATS(Automated Transaction Script) 기능을 개발해 사기 프로세스를 자동화할 수 있다. 분명 새로운 뱅킹 트로이목마 바이러스의 수가 계속 증가하고 사기 성공률을 높이기 위해 새롭게 개선된 기능을 가진 것들이 많을 것이다”라고 예상했다.

연구원들은 “케르베로스 트로이목마의 소스코드가 공개됐기 때문에 2020년 마지막 분기에는 분명 위협 분야에 추가적인 변화가 있을 것이다. 앞으로 케르베로스에 기반한 새로운 악성코드들이 등장할 것이다”라고 덧붙였다. editor@itworld.co.kr


2020.10.12

에일리언 악성코드, 모바일 뱅킹 사용자에게 위협으로 등장

Lucian Constantin | CSO
컴퓨터 사용자들은 10년 이상 온라인 뱅킹 자격 증명을 훔치고 그들의 계정으로 사기 행각을 벌이기 위해 고안된 악성 프로그램에게 괴롭힘을 당했다. 지난 수년 동안 모바일 뱅킹이 보급되면서 이런 프로그램들이 트렌드를 따라 컴퓨터에서 스마트폰으로 옮겨갔다. 가장 널리 사용되는 안드로이드 뱅킹 트로이목마는 지난 달 자체 개발자들에게 버림받았다. 하지만 에일리언(Alien)이라는 더욱 강력한 악성코드가 사이버 범죄자 생태계에 빈 자리를 빠르게 채우고 있다. 

사이버 범죄 정보업체 TF(ThreatFabric)의 연구진은 최근 한 게시물에서 “새로운 안드로이드 뱅킹 트로이목마 바이러스의 수가 증가할 뿐 아니라 첨단 기능을 적용한 것들도 많다. 점차 많은 범죄자가 에일리언 악성코드를 통해 감염된 기기를 원격으로 제어해(RAT) 피해자의 기기에서 사기를 수행할 수 있는 역량을 갖추고 있다. 또한 피해자 주변의 정보를 더 많이 기록하고 훔치는 것에 대해 공격자들의 관심이 증가하고 있다. 이런 정보를 사용하거나, 이를 통해 수익을 얻는 방식은 다를 수 있지만 범죄자들은 머지않아 이런 정보의 가치를 알아낼 것이다”라고 밝혔다.


케르베로스(Cerberus)의 종말 

2014년 이후로 여러 안드로이드 뱅킹 트로이목마 바이러스가 다양한 기간에 걸쳐 모바일 위협 영역을 지배했다. GM Bot부터 시작해 마르쉐(Marcher), 엑소봇(Exobot), 레드 얼럿(Red Alert), 아누비스(Anubis) 그리고 마지막으로 2019년에 등장해 급부상한 케르베로스(Cerberus)까지 이어졌다. 이런 트로이목마의 대부분은 개발자가 다른 사이버 범죄자들에게 자신의 트로이목마 및 인프라에 대한 액세스를 판매하고 임대하는 서비스형 악성코드 모델을 따랐다.

케르베로스는 성공적이었으며 다른 앱 위에 악성 화면 표시 기능(동적 오버레이), 키로깅(Keylogging), SMS 가로채기 및 전송, 착신 전환, 연락처 훔치기, 기기 및 앱 정보 수집, 앱 설치 및 제거, 화면 잠금 등의 기능이 있었다. 트로이목마는 7개의 프랑스 뱅킹 앱, 7개의 미국 뱅킹 앱, 1개의 일본 뱅킹 앱과 15개의 비 뱅킹 앱을 대상으로 설계되었다.

이런 트로이목마의 주된 장점은 개발자가 구글 플레이 스토어가 설치되어 있는 안드로이드 기기에 탑재된 구글의 악성코드 탐지 서비스인 구글 플레이 프로텍트(Google Play Protect)를 회피하는 새로운 방법을 찾아낸 것이다. 케르베로스는 개발자들은 실력이 부족했고 몇 개월 전 플레이 프로텍트에 안드로이드 기기에서 모든 케르베로스 샘플을 탐지해 제거하는 기능이 업데이트됐다. 이로 인해 케르베로스를 유료로 사용하는 많은 사이버 범죄자들이 실망했다.

TF에 따르면, 케르베로스 개발자는 실력 부족으로 인해 이 악성코드로 인한 유료 고객들이 겪는 문제를 해결할 수 없었고 프로젝트 전체를 넘기려 시도했다. 하지만 성공하지 못했고 8월에 소스코드를 사이버 범죄 포럼의 관리자와 공유했고, 해당 소스코드는 곧 유출됐다. 이로 인해 케르베로스의 비즈니스 및 운영이 종료됐고, 이후 개발도 중단됐다.


에일리언의 등장

케르베로스가 사라지자 이전의 고객들이 케르베로스보다 더 많은 기능을 갖춘 에일리언이라는 안드로이드 뱅킹 트로이목마로 옮겨가기 시작했다고 TF의 연구원들이 말했다. 

에일리언은 2020년 1월에 등장했지만 처음에는 실제로 케르베로스의 코드 기반에 기초하고 있어 후자의 변종으로 오해하기 쉬웠기 때문에 레이더망을 피할 수 있었다. 실제로 케르베로스 개발자는 당시 사이버 범죄 포럼에서 해당 트로이목마 바이러스의 새로운 주요 버전을 개발 중이라고 밝힌 바 있다. 

사실, 케르베로스와 초기에 명칭이 확실하지 않았던 에일리언의 차이점은 에일리언에 일부 안드로이드 스마트폰에 사전 설치되어 있는 팀뷰어(TeamViewer) 구성요소를 악용하는 원격 제어 모듈이 있었다는 점이다. 이 덕분에 사이버 범죄자들은 피해자의 기기에서 직접 사기 트랜잭션을 수행할 수 있었다.

이후 몇 주가 지나고 다른 그룹의 사람들이 별도로 광고하고 포럼에서 케르베로스 팀과도 충돌을 일으키면서 그들이 에일리언을 운영하고 있다는 사실이 밝혀졌다. 에일리언 개발자들은 5월에 버전 2를 공개하면서 케르베로스 팀이 추가하지 않았던 새로운 기능인 구글 인증 앱에서 이중 인증(2FA) 코드를 훔치는 모듈도 추가했다.

인기 악성코드 프로그램의 소스코드가 공개되거나 유출된 후에 이에 기반으로 스핀 오프(spin off)가 개발되는 것은 흔한 일이다. 하지만 케르베로스의 소스코드는 8월에 유출되었고 에일리언은 1월에 등장했기 때문에 의문점이 생긴다. 에일리언 개발자들은 어떻게 오래 전에 소스코드에 액세스할 수 있었을까?

TF의 연구진은 케르베로스 개발자 가운데 한 명이 프로젝트를 떠나면서 소스코드뿐만이 아니라 공개되지 않은 2FA 코드 훔치기 모듈을 가져가 경쟁자인 에일리언을 개발한 것으로 추측했다. 연구진은 “(우리의 모바일 위협 정보(Mobile Threat Intelligence) 포털에서 제공되는) 트로이목마 바이러스에 대한 심층적인 지식을 기반으로 2020년 1월 초부터 활동하고 케르베로스와 같은 시기에 임대된 에일리언 악성코드가 케르베로스(v1)의 초기 변종의 포크(Fork)임을 입증할 수 있다. 케르베로스가 중단되면서 고객들이 사기꾼들 사이에서 유명한 새로운 MaaS가 된 에일리언으로 전환하고 있는 것 같다”라고 설명했다.


에일리언 악성코드의 매커니즘

에일리언은 다른 안드로이드 뱅킹 트로이목마와 마찬가지로 서비스 형태로 판매한다. 비용을 지불한 사이버 범죄자들은 설정에 기초해 사용자 정의 APK(Android Application Package)를 생성할 수 있는 빌더에 액세스하게 된다. 

그리고 해당 APK를 잠재적인 피해자에게 배포하는 방식(일반적으로 SMS 또는 이메일 스팸 메시지 이용)을 선택할 수 있다. 실제로 연구진이 발견해 분석한 일부 초기 에일리언 샘플은 코로나바이러스(Coronavirus)라는 이름을 갖고 있었으며, 공격자들이 코로나19 팬데믹에 편승해 이를 확산시키고 있었음을 알 수 있다. 사이버 범죄자들은 구글 플레이의 방어벽을 우회해 공식 앱 스토어에 해당 악성코드를 업로드하고 정상적인 애플리케이션으로 가장하기 때문에 사용자에게 알 수 없는 소스로부터 제공된 애플리케이션을 설치하지 말라고 경고해도 보호할 수 없다. 

설치 중 트로이목마는 접근성 권한을 요구한다. 이 특수 기능은 안드로이드에서 접근성 앱이 사용하며 다른 앱의 화면을 읽고 탭을 시뮬레이션해 UI를 제어하는 등의 기능이 있다. 에일리언은 이 권한을 이용해 많은 안드로이드 스마트폰 제조업체 및 기기 모델이 기본으로 지원하는 인기 원격 제어 애플리케이션인 팀뷰어를 설치한다. 그리고 팀뷰어에서 공격자들이 기기에 연결하고 뱅킹 앱에 액세스해 사기 트랜잭션을 수행할 수 있는 하드코딩 된 자격 증명을 구성할 수 있다.

에일리언의 또 다른 차별화된 기능은 다른 앱의 시스템 알림을 모니터링해 내용을 명령 관리 서버로 전송하는 기능이다. 이를 위해서는 안드로이드 권한이 필요하며, 이것은 위험으로 간주되기 때문에 사용자가 앱의 설정으로 들어가 수동으로 부여해야 한다. 에일리언은 접근성 권한을 사용해 이 권한을 부여하기 위해 필요한 사용자 환경 단계를 수행함으로써 이를 우회한다.

이 트로이목마에는 오버레이(overlaying), 키로깅(keylogging), SMS 목록 및 전송, 연락처 수집, 2FA 코드 훔치기, 착신 전환 및 위치 수집 등 케르베로스와 같은 기능도 포함되어 있다. 에일리언은 지메일, 페이스북, 트위터, 스냅챗, 텔레그램 및 기타 IM 앱 등 케르베로스보다 더 많은 뱅킹 및 비 뱅킹 앱을 표적으로 삼는다. 표적이 된 뱅킹 앱은 스페인, 터키, 독일, 미국, 이탈리아, 프랑스, 폴란드, 호주 및 영국 등의 앱이다. TF는 보고서에 표적이 된 앱의 목록을 포함시켰지만 에일리언을 사용하는 사이버 범죄자들은 자신의 표적을 정의할 수 있기 때문에 목록에 포함되지 않은 것들이 많다.

연구진은 “에일리언 개발자들의 다음 행보를 예측하기는 어렵지만 현재 팀뷰어에 기초하고 있는(그래서 기기에 설치되어 실행될 때 눈에 보이는) RAT을 개선할 것이다. 또한 ATS(Automated Transaction Script) 기능을 개발해 사기 프로세스를 자동화할 수 있다. 분명 새로운 뱅킹 트로이목마 바이러스의 수가 계속 증가하고 사기 성공률을 높이기 위해 새롭게 개선된 기능을 가진 것들이 많을 것이다”라고 예상했다.

연구원들은 “케르베로스 트로이목마의 소스코드가 공개됐기 때문에 2020년 마지막 분기에는 분명 위협 분야에 추가적인 변화가 있을 것이다. 앞으로 케르베로스에 기반한 새로운 악성코드들이 등장할 것이다”라고 덧붙였다. editor@itworld.co.kr


X