0xNews - 구글 플레이스토어에서 안드로이드 보안 스캐너 활동을 막는 악성 코드 발견

McAfee 발표

민감정보 수집 목적 백도어 배포를 위해 구글 플레이 스토어에서 앱 보안 스캐너 역할을 하는 악성 안드로이드 앱 발견

이런 악성 앱은 사용자에게 구글 크롬이나 WhatsApp, PDF리더를 업데이트 하도록 요구하도록 유도

악성 앱 업데이트하는 대신 접근성 서비스 남용을 통한 안드로이드 기기의 완전 제어

현재까지 해당 앱은 미국와 남미, 유럽 등의 사용자 대상 최소 5천건 설치

DefenseScreen 이라는 또 다른 앱은 구글 플레이스토어 삭제 전까지 1만건 설치 기록

2019년 8월 Kaspersky 에서 처음 문서화한 BRATA Brazilian Remote Access Tool Android

은행 뱅킹 트로이 목마로 꾸준히 변화를 통해 화면 녹화 기능을 갖춘 안드로이드 악성 코드로 활동

화면 녹화 기능을 통해 화면에서의 잠금 해체를 위한 PIN 이나 암호, 잠금 패턴이나 키로거 등의 활동 수행

은행 자격 증명 탈취를 위한 피싱 웹 페이지를 표시

설치 후 기기 제어 후 탈취 기능 포함

백도어를 배포하는 앱은 기기의 보안 문제를 의심하지 않는 사용자에게 경고

문제 해결을 위해 유명한 특정 앱 - 구글 크롬, WhatsApp, 존재하지 않은 PDF리더 앱 등 - 의 허위 업데이트를 통해 설치하라는 메시지를 표시

피해자가 앱 설치에 동의하면 BRATA 는 기기의 접근성 서비스에 대한 접속 권한을 요청

이를 악용하여 잠금 화면의 비밀번호나 패턴을 캡처하고 키 입력을 기록하며 스크린샷을 찍고 구글 플레이 스토어를 비활성화

플레이스토어 앱을 사용 중지하면 앱 스토어에서 앱을 다운로드하기 전 사전에 앱의 보안 확인을 실행하고 안드로이드 기기에서 잠재적으로 유해한 앱을 정기적으로 검사하여 제거하는 기능인 Play Protect 를 사용 중지하는 것을 의미

BRATA 신 버전에서는 대부분의 핵심 기능을 원격 공격자가 제어하는 서버로 이동하는 것 외 추가 난독화나 암호화 계층이 장착

감시망 아래 머물러 공격자가 맬웨어를 쉽게 업데이트하고 설치된 기기를 꾸준히 악용 가능하게 함

PIN, 비밀번호, 잠금 패턴을 훔치고 화면을 기록하는 기능과 결합하여 아무 버튼이나 클릭하고 편집가능한 필드에 입력된 모든 내용을 가로채면 맬웨어 공격자는 피싱 웹을 통해 은행 자격 증명을 포함하여 원하는 모든 데이터 획득 가능

openLab