BlankBot 뱅킹 트로이 목마
사이버 보안 연구원들이 터키 사용자를 표적으로 삼아 금융 정보를 훔치는 BlankBot이라는 새로운 안드로이드 뱅킹 트로이 목마를 발견했습니다. BlankBot은 고객 주입, 키로깅, 화면 녹화 등 다양한 위협 기능을 보유하고 있습니다. WebSocket 연결을 통해 제어 서버와 통신합니다.
2024년 7월에 처음 확인된 BlankBot은 아직까지 활발하게 개발 중인 것으로 알려졌습니다. 이 악성코드는 Android의 접근성 서비스 권한을 악용하여 감염된 장치를 완벽하게 제어합니다.
목차
가짜 애플리케이션을 통해 확산되는 BlankBot
BlankBot이 포함된 손상된 APK 파일 중 일부에는 com.abcdefg.w568b 및 com.abcdef.w568b 와 같은 패키지 식별자가 있는 app-release.apk라는 변형과 com이라는 라벨이 붙은 app-release-signed (14).apk가 포함되어 있습니다. whatsapp.chma14 . 또한 com.whatsapp.chma14p , com.whatsapp.w568bp 및 com.whatsapp.w568b 와 같은 식별자를 가진 app.apk라는 파일이 있습니다.
최근 다시 등장한 Mandrake Android 트로이목마와 마찬가지로 BlankBot은 세션 기반 패키지 설치 프로그램을 사용하여 Android 13에 도입된 제한된 설정 기능을 우회합니다. 이는 사이드로드된 애플리케이션이 안전하지 않은 권한을 직접 요청하는 것을 방지합니다. BlankBot은 피해자에게 제3자 소스의 애플리케이션 설치를 허용해 줄 것을 요청하고 암호화되지 않은 애플리케이션 자산 디렉터리에 저장된 APK 파일을 검색한 후 설치 프로세스를 진행합니다.
BlankBot 뱅킹 트로이목마의 위협적인 능력
이 악성코드는 화면 녹화, 키로깅, 원격 서버의 특정 명령에 의해 실행되는 오버레이 주입 등 다양한 기능을 제공합니다. 주요 목표는 은행 계좌 자격 증명, 결제 정보, 심지어 장치의 잠금 해제 패턴까지 캡처하는 것입니다.
이러한 기능 외에도 BlankBot은 SMS 메시지를 가로채고 임의의 애플리케이션을 제거하며 연락처 목록 및 설치된 애플리케이션과 같은 데이터를 수집할 수 있습니다. 또한 접근성 서비스 API를 활용하여 사용자가 장치 설정에 액세스하거나 맬웨어 방지 소프트웨어를 실행하지 못하도록 차단합니다.
BlankBot은 아직 개발 중인 새로운 Android 뱅킹 트로이목마이지만, 다양한 애플리케이션에서 볼 수 있는 다양한 코드 변형에서 알 수 있듯이 Android 기기를 감염시키면 이미 유해한 작업을 실행할 수 있습니다.
Google은 Android 사용자를 보호하기 위해 추가 조치를 구현합니다.
Google은 Android 휴대폰에 직접 SMS 메시지를 삽입하기 위해 Stingray와 같은 셀 사이트 시뮬레이터의 사용을 해결하기 위해 구현하고 있는 조치를 자세히 설명했습니다. SMS Blaster 사기라고 알려진 이 사기 기술은 사용자 연결을 레거시 2G 프로토콜로 되돌리는 가짜 LTE 또는 5G 네트워크를 생성하여 이동통신사 네트워크와 고급 스팸 방지 및 사기 방지 필터를 우회합니다.
이 문제를 해결하기 위해 Google은 사용자가 모뎀 수준에서 2G 연결을 비활성화하고 널 암호화를 끌 수 있도록 허용하는 완화 조치를 도입했습니다. Null 암호는 False Base Station이 SMS 페이로드를 주입하는 데 매우 중요합니다.
