BrazKing 안드로이드 맬웨어

최근 브라질의 은행 어플리케이션은 이중 인증 코드를 탈취하고 감염된 장치를 통해 금융 사기를 공격을 수행할 수 있는 보다 은밀한 버전의 안드로이드 RAT 공격의 표적이 되고 있다.

이와 관련 IBM社의 X-Force는 업그레이드된 모바일 뱅킹 악성코드를 식별, BrazKing이라고 명명했다. 이 악성코드의 이전 버전은 체크포인트社에서 PixStealer로 명명한 것으로, ThreatFabric에 따르면 이 모바일 RAT는 2018년 11월 경에 처음 등장한 것으로 알려졌다.

IBM X-Force는 공격자들이 실시간으로 C2 서버와 통신하며 오버레이 공격을 위해 멀웨어를 이전보다 더 완벽한 기능으로 만드는 작업을하고 있다고 분석했다. 지난주에 발표된 분석 보고에는 해당 멀웨어로 공격자가 키 입력을 기록하고 암호를 탈취하여 거래를 진행하거나 다른 거래 승인 세부 정보를 가져온다고 언급되어 있다.

악성코드 배포 방식은 잠재적 피해자에게 장치의 보안문제에 대해 경고하는 HTTPS 웹사이트 링크가 포함된 사회공학 메시지와 함께 운영체제를 최신 버전으로 업데이트하라는 옵션을 표시한다. 그러나 공격이 성공하려면 사용자가 출처를 알 수 없는 앱을 설치하는 설정을 활성화해야한다.

Brazking은 이전 버전과 마찬가지로 접근성 권한을 남용하여 뱅킹 앱에 대한 오버레이 공격을 수행하는데, 하드코딩된 URL에서 가짜 화면을 검색하여 합법적인 앱 위에 표시하는 대신 프로세스가 서버에서 바로 수행되므로 악성코드를 변경하지 않고도 대상 앱 목록을 수정할 수 있다.

[출처 : TheHackingNews / 11.23.]