보안 동향/보안 뉴스

신종 안드로이드 뱅킹 악성코드 ‘빙고모드’ 발견…돈 훔치고 기기 초기화

Rin.a.ya 2024. 8. 5. 05:55

https://www.dailysecu.com/news/articleView.html?idxno=158265

 

신종 안드로이드 뱅킹 악성코드 ‘빙고모드’ 발견…돈 훔치고 기기 초기화 - 데일리시큐

새로운 안드로이드 원격 액세스 트로이목마(RAT)인 ‘빙고모드(BingoMod)’가 사이버 보안 연구원들에 의해 발견되었다. 이 정교한 멀웨어는 사기성 금전 이체를 수행할 뿐만 아니라, 자신의 활동

www.dailysecu.com

 

새로운 안드로이드 원격 액세스 트로이목마(RAT)인 ‘빙고모드(BingoMod)’가 발견됨. 이 멀웨어는 사기성 금전 이체와 기기 초기화 기능을 포함하여 매우 정교한 악성 소프트웨어.

발견 배경

  • 2024년 5월 이탈리아 사이버 보안 회사 클리피(Cleafy)에 의해 발견됨
  • 소스코드에 있는 루마니아어 주석으로 인해 루마니아어를 사용하는 위협 행위자가 개발한 것으로 추정

주요 기능

  • 원격 액세스 및 제어: C2 서버와의 소켓 기반 연결로 원격 운영자가 최대 40개의 명령을 실행 가능. Android의 미디어 프로젝션 API를 이용해 스크린샷 촬영 및 실시간 기기 상호작용
  • 자격 증명 탈취 및 정보 유출: 접근성 서비스를 통해 SMS 가로채기, 키로깅으로 민감한 정보 탈취
  • 오버레이 공격: 운영자가 직접 가짜 알림과 피싱 화면 표시
  • 자체 파괴 메커니즘: 기기의 외부 저장소 초기화 및 기기 전체 초기화 가능성

배포 방식

  • 스미싱(SMS 피싱) 캠페인을 통해 배포
  • 합법적인 애플리케이션으로 위장(주로 안티바이러스 도구 또는 구글 크롬 업데이트)
  • 설치 후 접근성 서비스 권한 요청

금융 사기 기능

  • 실시간 화면 제어: VNC와 유사한 메커니즘으로 기기 화면과 상호작용
  • 금전 이체: 최대 €15,000(약 $16,100)까지 이체 가능, 보안 검사를 우회

탐지 회피 기술

  • 코드 난독화 및 문자열 평탄화로 탐지 회피
  • 보안 애플리케이션 제거 또는 차단

해당 연구를 통해 얻을 수 있는 지식

1. 원격 액세스 트로이목마(RAT)의 최신 동향

  • 멀웨어의 정교화: BingoMod와 같은 현대적인 RAT는 고급 기능을 갖추고 있으며, 탐지 회피 및 자가 파괴 메커니즘을 포함하여 매우 정교하게 설계됨.
  • C2 서버와의 소켓 기반 연결: 원격 액세스 및 제어를 위한 소켓 기반 연결은 더욱 빠르고 안정적인 명령 전달을 가능하게 함.

2. 접근성 서비스의 악용

  • 접근성 서비스 권한: 멀웨어가 접근성 서비스를 악용하여 SMS 메시지 가로채기, 키로깅 등을 수행할 수 있음. 이는 안드로이드 시스템의 주요 보안 허점을 악용하는 사례임.
  • 보안 권한 관리의 중요성: 사용자 및 보안 관리자들은 애플리케이션이 요청하는 접근성 서비스 권한을 주의 깊게 검토해야 함.

3. 오버레이 공격의 진화

  • 운영자 주도 오버레이 공격: 전통적인 방식(특정 앱이 열릴 때 트리거)에서 벗어나, 운영자가 직접 가짜 알림과 피싱 화면을 표시하여 더 정교하고 표적화된 공격을 수행.

4. 자가 파괴 메커니즘

  • 법의학 분석 방해: 멀웨어가 법의학 분석을 방해하기 위해 기기의 외부 저장소를 초기화하거나 전체 초기화를 수행할 수 있는 능력.
  • 데이터 보호 전략: 기업과 개인은 중요 데이터를 정기적으로 백업하고 멀웨어 감염 시 이를 복구할 수 있는 계획을 마련해야 함.

5. 온-디바이스 사기(ODF) 기능

  • 실시간 화면 제어: 공격자가 기기의 화면을 실시간으로 제어하여 금융 사기 등을 수행할 수 있음. 이는 기기의 정당한 환경을 악용하여 보안 검사를 우회하는 방법.
  • 다중 인증(MFA): 금융 거래 시 다중 인증(MFA)을 활성화하여 추가적인 보안 레이어를 추가하는 것이 중요.

6. 탐지 회피 기술

  • 코드 난독화 및 문자열 평탄화: 이러한 기술을 통해 멀웨어가 안티바이러스 솔루션에 의해 탐지되지 않도록 함.
  • 행동 기반 탐지: 정적 분석을 우회하는 난독화 기술에 대응하기 위해 행동 기반 탐지 기술의 중요성 대두.

7. 스미싱(SMS 피싱) 경로

  • 멀웨어 배포 기법: 스미싱을 통해 악성 애플리케이션을 배포하고, 이를 합법적인 소프트웨어로 위장하는 방식.
  • 사용자 교육: 사용자들은 스미싱 메시지에 대한 경각심을 높이고, 알 수 없는 출처의 애플리케이션 설치를 피해야 함.

8. 보안 애플리케이션 차단

  • 보안 소프트웨어의 취약성: 멀웨어가 보안 애플리케이션을 제거하거나 차단하여 자신의 존재를 숨길 수 있음.
  • 보안 소프트웨어 강화: 보안 소프트웨어는 이러한 차단 시도에 대응할 수 있도록 강화되어야 함.

'보안 동향 > 보안 뉴스' 카테고리의 다른 글

안랩, 2024년 2분기 피싱 문자 트렌드 보고서 발표  (0) 2024.08.02
[기획특집] AI 기반 CCTV 관제, 주요 지자체별 다양한 활용사례  (0) 2024.07.31
[분석] 북한의 사이버 군사 조직 ‘APT45’, 공격 범위 확대중  (0) 2024.07.28
[긴급] 크라우드 스트라이크 팔콘 업데이트 했다가 PC 블루스크린... 전 세계 ‘파장’  (0) 2024.07.21
2024 파리올림픽 공식 파트너 기업 3분의 2, 이메일 사기 위협에 노출  (0) 2024.07.18

'보안 동향/보안 뉴스'의 다른글

  • 현재글신종 안드로이드 뱅킹 악성코드 ‘빙고모드’ 발견…돈 훔치고 기기 초기화

관련글

티스토리툴바