Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보한단계 더 진화한 안드로이드 BankBot 악성코드
작성일 2017-09-22 조회 1172

개요

 안드로이드를 타겟으로 하는 BankBot이 발견되었다. 해당 악성코드는 어둠의 경로로 유통되는 오픈소스 뱅킹 악성코드의 향상된 버전이다.  해당 BankBot은 합법적인 프로그램으로 위장되어 있어 위험하며 일반인들은 그 행위를 파악하기 어려우며 감염여부를 스스로 판단하기도 어렵다. 이번에 발견된 BankBot은 기존의 기능에서 SMS 문자를 가로채는 기능이 포함되어 있어 이중 인증을 우회할 수 있어 더욱 각별한 주의가 필요하다.

 

확인 내역

이번에 발견된 BankBot은 27개국에서 사용중인 앱을 대상으로 한다. 이번에는 UAE(United Arab Emirates) 은행 어플리케이션이 목록에 추가되었다. 아래의 세가지 조건을 충족하지 않으면 작동을 하지 않아 분석에 다소 어려움이 존재한다.


-실제기기환경
-CIS국가에 해당하는 기기에서는 동작하지 않음
-기기에 대상 은행 어플이 설치되어 있어야 함

 

악성코드가 설치되면 장치에 설치된 앱의 정보를 확인한다. 만약에 대상 은행 앱이 설치 되어 있다면 
C2서버에 접속하고 해당 패키지 정보를 업로드 한다. 데이터를 전달받은 C2서버는 감염 기기에 URL 정보를 보내 
라이버러리 파일을 다운로드 받도록 한다. 만약 감염된 기기에서 은행 앱을 사용할 경우 공격자가 조작한 웹페이지를 보여주고 사용자가 입력한 금융정보를 탈취한다.

<그림 1 -  실행화면>

 

 

대응 방안

1)최신의 백신으로 치료한다.


2)출처를 알 수 없는 어플리케이션은 설치 하지 않는다.

 

3)과도한 권한을 요구하는 어플리케이션 설치시에 주의한다.

 

4)당사 IPS에서는 아래의 패턴으로 대응이 가능하다.

[21233] Android/Trojan.BankBot.1411797

 

참조

http://blog.trendmicro.com/trendlabs-security-intelligence/bankbot-found-google-play-targets-ten-new-uae-banking-apps/
http://www.infosecisland.com/blogview/24975-BankBot-Spreads-via-Utility-Apps-in-Google-Play.html

첨부파일 첨부파일이 없습니다.
태그 Android  Bankbot  Banker  Trojan