은행 도둑의 공격을 받고있는 완전히 패치 된 안드로이드 폰의 취약점
은행 트로이 목마를 포함한 36 개의 앱이 악용 한 "StrandHogg"스푸핑 결함.
연구원들은 월요일 수백만 개의 완전히 패치 된 안드로이드 폰의 취약점이 감염된 사용자의 은행 계좌를 빼내기 위해 설계된 멀웨어에 의해 적극적으로 이용되고 있다고 말했다.
보안 전문가 인 프로 몬 (Promon)의 연구원들은이 취약점으로 인해 대상이 이미 설치되어 있고 신뢰할 수있는 합법적 인 앱으로 악의적 인 앱을 가장 할 수 있다고 밝혔다 . 악의적 인 앱은 이미 설치된 신뢰할 수있는 앱으로 실행되어 오디오 또는 비디오 녹화, 사진 촬영, 문자 메시지 읽기 또는 피싱 로그인 자격 증명과 같은 중요한 작업을 수행 할 수있는 권한을 요청할 수 있습니다. 그런 다음 요청에 대해 예를 클릭하는 대상이 손상됩니다.
모바일 보안 제공 업체이자 프로 몬 파트너 인 Lookout의 연구원들은 지난주 스푸핑 취약점을 악용하는 36 개의 앱을 발견 했다고보고했습니다 . 악성 앱에는 BankBot 뱅킹 트로이 목마 변종이 포함되었습니다. BankBot은 2017 년부터 활동 해 왔으며 맬웨어 제품군의 앱 이 Google Play 마켓에 반복적으로 침투하는 것으로 나타났습니다 .
이 취약점은 버전 6에서 10까지 가장 심각하며 ( Statista에 따르면 ) 전 세계 Android 전화의 약 80 %를 차지합니다. 해당 버전에 대한 공격을 통해 악성 앱이 합법적 인 앱으로 위장하면서 권한을 요청할 수 있습니다. 이러한 악성 앱이 검색 할 수있는 권한에는 제한이 없습니다. 문자 메시지, 사진, 마이크, 카메라 및 GPS에 대한 액세스가 가능한 권한 중 일부입니다. 사용자의 유일한 방어는 요청에 "아니오"를 클릭하는 것입니다.
멀티 태스킹에 대한 선호도
이 취약점은 앱이 멀티 태스킹 환경에서 실행중인 다른 앱 또는 작업의 ID를 가정 할 수있는 멀티 태스킹 기능인 TaskAffinity로 알려진 기능에서 발견됩니다 . 악성 앱은 하나 이상의 활동에 TaskAffinity를 설정하여 신뢰할 수있는 타사 앱의 패키지 이름과 일치시켜이 기능을 악용 할 수 있습니다. 스푸핑 된 활동을 추가 allowTaskReparenting 활동과 결합하거나 Intent.FLAG_ACTIVITY_NEW_TASK를 사용하여 악의적 인 활동을 시작하면 악의적 인 앱이 대상 작업의 내부와 위에 배치됩니다.
"이러한 악의적 인 활동은 표적의 업무를 가로 채고 있습니다"라고 Promon 연구원들은 썼습니다. "다음에 Launcher에서 대상 앱을 시작하면 하이재킹 된 작업이 전면으로 이동하여 악의적 인 활동이 표시됩니다. 그런 다음 악의적 인 앱만 대상 앱처럼 나타나 사용자에 대한 정교한 공격을 성공적으로 시작해야합니다. 대상 앱이 설치되기 전에 이러한 작업을 가로 챌 수 있습니다. "
Promon은 구글이 Play 마켓에서 악성 앱을 제거했지만 지금까지 모든 버전의 안드로이드에서이 취약점이 수정되지 않은 것으로 보인다고 말했다. Promon은 사람들을 몸값으로 약탈하고 붙잡기 위해 해안 지역을 습격하는 바이킹 전술에 대한 오래된 노르웨이어 용어 인 "StrandHogg"라는 취약성을 부릅니다. Promon이나 Lookout은 악성 앱의 이름을 식별하지 못했습니다. 이러한 누락은 사람들이 감염되었는지 또는 감염되었는지 알기가 어렵습니다.
Google 담당자는 결함이 언제 패치되는지, 얼마나 많은 Google Play 앱이이를 악용했는지 또는 최종 사용자가 영향을 받는지에 대한 질문에 응답하지 않았습니다. 대표자들은 다음과 같이 썼습니다 :
"우리는 연구자들의 연구에 감사하고 그들이 발견 한 잠재적으로 유해한 앱을 중단했습니다. Google Play Protect는이 기술을 사용하는 앱을 포함하여 악성 앱을 탐지하고 차단합니다. 또한 Google Play Protect의 기능을 개선하기 위해 계속해서 조사하고 있습니다. 유사한 문제로부터 사용자를 보호하는 기능 "
StrandHogg는 경험이 부족한 사용자 또는인지 장애 또는 기타 유형의 장애가있는 사용자에게 미묘한 응용 프로그램 동작에주의를 기울이는 데 가장 큰 위협이됩니다. 여전히 취약점을 악용하려는 악의적 인 앱을 탐지하기 위해 경고 사용자가 수행 할 수있는 작업이 몇 가지 있습니다. 의심스러운 징후는 다음과 같습니다.
이미 로그인 한 앱 또는 서비스에서 로그인을 요청하고 있습니다.
앱 이름이없는 권한 팝업.
앱이 요청한 권한이 필요하거나 필요하지 않은 권한. 예를 들어 GPS 권한을 요청하는 계산기 앱입니다.
사용자 인터페이스의 오타와 실수.
클릭했을 때 아무것도하지 않는 사용자 인터페이스의 버튼 및 링크.
뒤로 버튼이 예상대로 작동하지 않습니다.
체코 은행의 팁
Promon 연구원들은 체코의 여러 은행이 고객 계좌에서 돈이 사라 졌다고보고 한 금융 기관에 대한 이름없는 동유럽 보안 회사로부터 배우고 나서 StrandHogg를 식별했다고 말했다. 파트너는 Promon에게 의심되는 맬웨어 샘플을 제공했습니다. Promon은 결국 맬웨어가 취약점을 악용하고 있음을 발견했습니다. Promon 파트너 Lookout은 나중에 BankBot 변형을 포함하여 취약점을 악용하는 36 개의 앱을 식별했습니다.
월요일 포스트는 총 몇 개의 금융 기관이 타겟팅되었는지는 밝히지 않았다.
Promon이 분석 한 악성 코드 샘플은 Google Play에 배포 된 여러 드롭퍼 앱 및 다운로더를 통해 설치되었습니다. Google이이를 제거했지만 새로운 악성 앱이 Google 운영 서비스를 이용하는 것은 드문 일이 아닙니다. 업데이트 : 이 게시물이 게시 된 후 발송 된 이메일에서 Lookout 담당자는 Google Play에서 사용할 수있는 36 개의 앱을 찾지 못했습니다.
독자는 Google Play 안팎에서 사용할 수있는 Android 앱을 다시 한 번 의심하게됩니다. 또한 모든 앱에서 요청한 권한에주의를 기울여야합니다.