일본어와 한국어 사용자를 타깃으로 공격하는 안드로이드 정보 유출 멀웨어 “FakeSpy”

게시일: 2018-07-13 l 작성자: Trend Micro

정상적인 모바일 애플리케이션을 이용한 공격은 일반적으로 흔한 사이버범죄 방식 중 하나로, 합법적인 애플리케이션에 대한 사용자의 신뢰를 이용하여 정보를 빼내거나 페이로드는 전달하기 위해 사용됩니다. 해커는 보통 서드파티의 애플리케이션 마켓플레이스를 사용하여 악성 애플리케이션을 배포하지만 CPUMINER, BankBot 및 MilkyDoor의 경우 배포자가 구글플레이 또는 앱스토어에 애플리케이션을 게시하려고 합니다. 또한 사용자를 악성 페이지로 유도하기 위해 SmiShing과 같은 미묘한 접근법을 사용하는 사람들도 있습니다. 그 예로 최근 문자 메시지를 사용하여 정보를 유출하는 멀웨어를 발견하였고, 이를 FakeSpy로 명명하였습니다. (트렌드마이크로 탐지명: ANDROIDOS_FAKESPY.HRX).

FakeSpy는 감염된 장치에 저장된 계정 정보, 연락처 및 통화 기록 뿐만 아니라 문자 메시지 또한 유출할 수 있습니다. FakeSpy는 또한 은행의 트로이목마 공격을 위한 벡터로써도 사용될 수 있습니다. (ANDROIDOS_LOADGFISH.HRX). 해당 멀웨어는 현재 일본어 및 한국어 사용자에게 감염되는 것으로 제한되어 있지만, FakeSpy의 개발자가 멀웨어 코드 구성을 미세 조정하는 방식으로 발전한다면 피해 도달 범위는 더욱 확대될 것입니다.


공격체인

사용자는 먼저 일본 물류 및 운송회사로부터 합법적인 메시지로 위장한 문자 메시지를 수신하여 아래 그림 1과 같이 수신자에게 문자 메시지에 포함된 링크를 클릭하도록 요구합니다. 링크를 통해 악성 웹페이지로 접속하게된 사용자는 안드로이드 애플리케이션 패키지 (APK)를 다운로드 하도록 요구하는 메시지를 받게됩니다. 웹페이지에는 일본어로 작성된 가이드가 포함되어있어, 사용자가 애플리케이션을 다운로드하고 설치하는 방법도 자세하게 알려줍니다.



그림 1. 멀웨어와 관련된 악성 웹페이지 링크가 포함된 문자 메시지의 예시


분석 결과, 해당 멀웨어는 한국어 사용자 또한 공격 대상으로 삼으며, 2017년 10월 이후로 활동 중 인것으로 나타났습니다. 한국어 사용자의 경우 해당 멀웨어는 여러 지역의 소비자 금융 서비스 회사의 애플리케이션으로 둔갑하여 나타납니다. 일본어 사용자를 대상으로 할 때는 주로 운송, 물류, 택배 및 전자상거래 회사, 이동 통신 서비스 및 의류 소매 업체를 위한 애플리케이션으로 나타납니다.



그림 2. 애플리케이션 다운로드 및 설치 방법이 기재된 악성 웹페이지



그림 3. 한국어 (왼쪽)와 일본어 (가운데, 오른쪽)로 만들어진 악성 애플리케이션의 스크린샷


기술 분석

C&C 서버와 같은 FakeSpy의 구성은 탐지를 피하기 위해 암호화 되어있습니다. FakeSpy의 활동이 시작되면 감염된 장치가 받는 문자 메시지에 대한 모니터링을 시작합니다. 이러한 문자 메시지는 그대로 유출되어 C&C 서버에 업로드됩니다. 자바스크립트를 통해 명령을 보내기위해 FakeSpy는 자바스크립트 브릿지 (JavaScriptInterface)를 악용하여 원격 웹사이트에서 자바스크립트를 다운로드 한 다음, 애플리케이션의 내부 기능을 호출합니다. FakeSpy는 명령을 통해 감염된 장치에 연락처 추가, 장치 재설정, 저장된 문자 메시지 및 장치 정보 도용 및 자체 구성 업데이트 등의 악성 활동을 합니다.



그림 4. FakeSpy의 암호화된 구성



그림 5. FakeSpy가 유출한 문자 메시지를 C&C 서버에 업로드 하는 방법



그림 6. JavaScriptInterface를 이용하여 명령을 보내는 FakeSpy



그림 7. 공격자가 FakeSpy의 구성을 업데이트하라는 명령을 보내는 트래픽


뱅킹 트로이목마 공격 벡터로 사용되는 FakeSpy

정보 유출 외에도 FakeSpy는 장치에 설치된 은행 관련 애플리케이션을 확인할 수 있습니다. 감염된 장치에 설치되어 있는 은행 관련 애플리케이션이 FakeSpy가 관심있는 애플리케이션과 일치하는 경우, 해당 애플리케이션은 합법적인 애플리케이션의 사용자 인터페이스를 모방한 가짜 패키지 버전으로 대체됩니다. 그런 다음 사용자에게 정보 유출 문제를 해결하기 위해 애플리케이션을 업데이트 하였고 따라서 로그인을 다시 해야한다는 가짜 알림을 띄워 사용자 계정을 유출합니다. 또한 다시 로그인을 하지 않을 경우 계정이 잠기게 될 것이라는 경고 메시지를 보내 사용자가 반드시 자격 증명을 다시 하도록 유도합니다. 사용자가 가짜 메시지에 유도되어 로그인을 할 경우 해당 자격 증명 정보는 C&C 서버로 전송됩니다. 온라인 뱅킹 애플리케이션 외에도 디지털 통화 거래 및 전자상거래에 사용되는 애플리케이션 또한 포함됩니다.



그림 8. 공식 은행 관련 애플리케이션을 FakeSpy가 확인하고 가짜 버전으로 교체하는 코드



그림 9. 사용자의 은행 자격 증명을 유출하는 악성 애플리케이션의 사용자인터페이스



그림 10. 악성 애플리케이션이 은행 자격 증명을 유출하는 방법을 보여주는 코드 스니펫


탐지 회피

FakeSpy의 개발자는 C&C 서버를 숨기거나 업데이트하기 위해 다양한 접근 방식을 사용합니다. 접근 방식 중에는 핸들이 규칙적으로 수정된 트위터 프로필에 IP 주소를 쓰는 등의 소셜 미디어를 악용하는 방식도 있습니다. IP 주소는 ^^로 시작하고 $$로 끝납니다. FakeSpy가 실행되면 트위터 페이지에 액세스한 후 내용을 분석하여 C&C 서버의 IP 주소를 검색합니다. FakeSpy의 개발자는 포럼과 오픈소스 도메인 툴을 유사한 방식으로 남용합니다. 또한 탐지를 피하기 위해 C&C 서버 주소가 하루에 한 번 이상 업데이트 되도록 합니다. FakeSpy의 뒤에는 사이버 범죄자들이 포럼 및 멀웨어를 호스팅하기 위해 등록한 관련 URL을 기반으로 활발히 활동 중입니다.



그림 11. C&C IP 주소를 얻기 위해 FakeSpy가 액세스하는 트위터 페이지



그림 12. 포럼 (위)과 동적 도메인 도구 (아래)를 사용하여 C&C 서버를 숨기는 FakeSpy


대책 방안

SMiShing은 새로운 공격 벡터가 아니지만 소셜엔지니어링 기법을 통해 사용자가 개인 정보 또는 회사의 정보를 전달하거나 멀웨어 호스팅 웹사이트로 접속하도록 유도 할 수 있습니다. 사용자는 링크를 클릭하기 전 링크의 진위 여부를 판단하기 위해 한번 더 생각해보고, 애플리케이션은 공식 앱스토어에서만 다운로드 하여야 합니다. 또한 로그인 정보와 장치의 OS 및 애플리케이션을 정지적으로 업데이트하는 습관을 들여야 합니다. 가짜 URL에 사용되는 문법 오류 및 특정 문자와 같은 피싱의 흔적 또한 평소에 잘 알아두어야 합니다. 더불어 불필요한 긴박함을 주는 것처럼 보이는 메시지에 주의하시기 바랍니다.

트렌드마이크로 솔루션

트렌드마이크로 Mobile Security for Android (Google Play에서 다운로드하여 사용가능)는 취약점을악용하는 악성앱을 차단합니다. 또한 사용자와 기업은 다중계층 보안 기능을 통해 데이터와, 개인 정보 탈취, 랜섬웨어, 악성 웹사이트 등으로부터 보호 받을 수 있습니다. 기업을 위해 트렌드마이크로 Mobile Security for Enterprise는 장치, 규정 준수 및 응용 프로그램 관리, 데이터 보호, 취약점을 활용한 공격, 응용 프로그램에 대한 무단 액세스 방지 및 멀웨어 탐지 및 차단을 통해 디바이스를 보호합니다. 트렌드마이크로의 Mobile App Reputation Service (MARS)는 선도적인 샌드박스 및 머신러닝 기술을 사용하여 안드로이드 및 iOS 위협을 방어합니다. 멀웨어, 제로데이 및 알려진 정보유출, 으용프로그램 취약점 등으로부터 보호합니다.

[원문: FakeSpy Android Information-Stealing Malware Targets Japanese and Korean-Speaking Users]