파키스탄 사용자를 대상으로 한 새로운 안드로이드 트로이 목마

지난 해 말까지 피싱 사이트를 사용하여 악성 소프트웨어를 배포하려는 해커의 노력은 사그라지지 않았다. 최근 보안 연구원들이 새로운 안드로이드 트로이 목마를 발견했다. 이 트로이 목마는 보안 어플리케이션의 시작 프로그램에 자체 악성코드를 추가하거나 보안 어플리케이션의 구성 파일을 수정한 다음 어플리케이션을 다시 패키징하여 사용자 정보를 탈취한다. 이러한 어플리케이션은 정상 어플리케이션과 똑같이 보여지며 정상적인 기능을 수행할 수도 있다.

이 트로이 목마는 주로 파키스탄 사용자를 대상으로 한다. 프로그램이 실행되면 먼저 서버에 연결하여 악성 dex 파일을 다운로드 하여 정보를 탈취하게 되는데 주로 연락처, SMS, 통화 기록, 파일 및 다양한 정보를 빼내게 된다. 그리고 사용자는 악성코드의 비정상적인 행위를 찾아내기 어렵다.

• 공격 프로세스

파키스탄에서 발행된 것으로 보이는 파키스탄 시민 포털을 위장한 피싱 사이트는 도메인 이름이 pmdu.info로, 실제 사이트는 2019년 PMDU 기관에서 구축한 gov.pk로 끝나는 사이트이다.

사용자는 아래의 버튼 중 하나를 클릭하더라도 악성 프로그램을 직접 다운로드 하게 된다.

보안 연구원들은 파키스탄의 민간 기업인 Pakistan Trading Company Limited(TCP)의 공식 웹사이트 페이지에서 악성코드를 호스팅하는 웹사이트가 피싱 사이트로 직접 연결되는 것을 발견했다.

• 샘플 정보 : 파키스탄 어플리케이션을 리패키징 하는 것 외에도 트로이 목마의 동종 샘플도 발견했다. 패키지 이름과 MD5 값은 아래와 같다
  • com.govpk.citizensportal : 176DF6CE5CD78189A3F554961EF226FA
  • com.tos.salattime.pakistan : 1514376339E4A0B4727C6897640C7C3E
  • com.blogspot.istcpublishers.mobilepackagespakistan : A7A95c490C23F2F991F0E975D7A2BA88
  • com.tpl.insuranceapp : 44A84E62C5BB2487E3175C720803BA54
  • com.siminformation.checker) : D194CB0948E85D1D6A61959403EB38CA
  • com.PakistanChatMessenger : 1C1745F997D30D1F2E8D1AFF7322C774

[출처 : 암영안전 / 1.19.]