BankBot RAT

BankBot은 강력한 안드로이드 원격 액세스 트로이 목마로, 설치되면 기기의 광범위한 제어권을 장악할 수 있습니다. 이 악성코드는 안드로이드의 접근성 기능을 활용하여 권한을 상승시키고, 사용자 인터페이스 작업을 자동화하고, 민감한 정보를 수집하고, 금융 사기, 신원 도용, 악성 코드 배포로 이어질 수 있는 무단 작업을 수행합니다. 감염이 확인되면 즉각적인 조치가 필요합니다.

스텔스 및 장치 프로파일링

BankBot은 적극적으로 분석을 피하고 선택된 환경만을 표적으로 삼습니다. 에뮬레이터 및 샌드박스 검사를 수행하고, 기기 속성(제조사, 모델, ROM)을 검사하며, 실험실 환경에서는 휴면 상태 또는 회피 상태로 유지하면서 선택된 실제 기기에서는 실행되도록 동작을 조정합니다. 또한 이 악성코드는 Android 버전 및 빌드, 브랜드 및 모델, 제조업체, 하드웨어 및 빌드 ID, 제품명 등의 기기 원격 측정 데이터를 수집하고 기록하여 대상 기기를 프로파일링하고 지원되지 않는 기기는 건너뜁니다.

통제력 확보: 접근성 남용 및 침묵의 지속성

핵심 전략은 접근성 서비스 악용입니다. BankBot은 접근성 설정을 열어 사용자가 악성 접근성 서비스를 활성화하도록 사회 공학적으로 조작할 수 있습니다. 이 권한을 통해 사용자 동의 없이 클릭 자동화, 텍스트 입력, 기타 권한 활성화, 그리고 작업을 수행할 수 있습니다. 또한 기기 관리자 권한도 획득할 수 있습니다. 재부팅 후에도 안전하게 장기간 접근을 유지하기 위해, 이 악성코드는 네트워크 연결이 필요하고 기기 재시작 후에도 지속되는 반복 작업(약 30초 간격)을 예약합니다.

기능 - BankBot이 할 수 있는 일

BankBot의 기능 세트는 감염된 휴대폰을 거의 완벽하게 제어할 수 있도록 합니다. 주요 기능으로는 시스템 오디오를 음소거하여 알림(벨소리, 알림, 미디어)을 억제하고, 권한을 활성화하는 동안 피해자의 주의를 분산시키기 위해 전체 화면에 가짜 메시지(예: '개인 정보 확인')를 표시하고, 서비스 및 관리자 상태를 자동으로 활성화하는 기능이 있습니다. BankBot은 프로그래밍 방식으로 앱을 열거나 닫고, 화면을 새로 고치고, 터치 및 스와이프를 시뮬레이션하고, 화면 잠금을 해제하고, 착신 전환을 제어하고, SMS 메시지를 보내고, APK를 설치 또는 제거하고, 파일을 다운로드하고, 사진 및 스크린샷을 찍고, 창을 숨기고, 입력란에 텍스트를 입력할 수 있습니다. 또한 이 악성코드는 안드로이드 클립보드를 읽고 내용을 추출하여 비밀번호, 시드 문구 및 기타 비밀 정보를 노출하고, 연락처, SMS, 설치된 앱 목록, 기기 상태 및 위치 정보를 수집합니다.

뱅킹 및 암호화폐 타겟팅 - 어떤 앱이 위험에 처해 있는가

BankBot은 명령 및 제어 서버로부터 명령을 수신하여 자격 증명 도용 또는 사기 거래의 표적이 될 금융 및 은행 앱 목록을 제공합니다. 또한 접근성 기능을 통해 지갑 앱 UI를 자동화하여 시드 구문, 개인 키 또는 거래 세부 정보와 같은 민감한 정보를 읽어들이는 등 다양한 암호화폐 지갑을 표적으로 삼습니다. 관찰된 지갑 대상의 예는 다음과 같습니다.

• AUTOS, 비트코인, BitKeep, 블록체인 지갑, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status(이더리움 암호화폐 지갑), TokenPocket, Trust Wallet, Valor.

기만 기법과 앱 위장

의심을 줄이기 위해 BankBot은 아이콘과 이름을 변경하여 합법적인 서비스(예: Google 뉴스)를 사칭한 다음, WebView 내에서 신뢰할 수 있는 것처럼 보이는 웹 콘텐츠를 열 수 있습니다. 이러한 외관상의 변경 사항은 가짜 reCAPTCHA 유사 프롬프트 또는 전체 화면 확인 대화상자와 결합되어, 백그라운드에서 악성 작업이 실행되는 동안 사용자가 앱에 권한을 부여하거나 상호작용하도록 속이는 데 사용됩니다.

사용자가 일반적으로 BankBot에 접속하는 방식

많은 경우, 피해자는 사기를 당한 후 스스로 BankBot을 설치합니다. 일반적인 감염 경로는 다음과 같습니다.

• 공격자가 제어하는 사이트나 타사 스토어에서 APK를 사이드로딩합니다.
• 신뢰할 수 없는 앱 저장소를 통해 배포되는 가짜 또는 악성 앱입니다.
• 의심스러운 사이트의 사기성 광고와 팝업을 통한 드라이브바이 설치 또는 다운로드.
• SMS, 메시징 앱 또는 피싱 이메일의 링크.

소셜 엔지니어링은 배포의 핵심입니다. 범죄자는 사용자가 맬웨어를 다운로드하고 실행하도록 설득하기 위해 설득력 있는 미끼를 만듭니다.

위험 및 예상 영향

감염된 기기는 계정 탈취, 무단 금융 거래, 신원 도용, 그리고 개인정보 유출 등의 피해를 입을 수 있습니다. 접근성 악용, 은밀한 지속성, 기기 프로파일링, 그리고 은행 및 암호화폐 앱에 대한 표적 공격 등의 조합으로 인해 BankBot은 특히 금융 앱이나 암호화폐 지갑을 사용하는 사용자에게 매우 위험합니다.

즉각적인 격리 및 복구 단계

• 의심스러운 권한 취소: 알 수 없는 앱에 대한 접근성 및 알림 권한을 제거하고 장치 관리자 권한을 취소합니다.

• 악성 앱을 제거하고, 신뢰할 수 있는 모바일 보안 제품을 사용하여 전체 검사를 실행하세요.

• 금융 계좌와 기기에서 사용하는 모든 서비스에 대해 비밀번호를 변경하고 다중 인증을 활성화하세요. 이 작업은 깨끗한 기기에서 수행하세요.

• 사기 행위가 의심되는 경우 은행이나 지갑 제공업체에 연락하고, 승인되지 않은 거래가 있는지 계정을 모니터링하세요.

• 시드 문구나 개인 키가 노출된 경우, 안전한 장치에서 생성된 키가 있는 새로운 지갑 주소로 자금을 옮기세요.

방지

기기 OS와 앱을 최신 상태로 유지하고, APK 사이드로딩이나 신뢰할 수 없는 출처의 앱 설치를 피하고, 알 수 없는 출처의 자동 설치를 비활성화하고, 접근성 또는 기기 관리 기능 활성화를 요청하는 메시지는 의심하고, 트로이 목마와 애드웨어를 탐지하고 제거할 수 있는 신뢰할 수 있는 모바일 보안 제품을 사용하세요. 사용자와 직원에게 사이드로딩 및 권한 부여를 용이하게 하는 소셜 엔지니어링 전략에 대해 교육하세요.

요약 — BankBot을 고위험으로 취급

BankBot은 접근성 악용, 환경 확인, 지속적인 예약 작업, UI 자동화, 그리고 은행 및 암호화폐 자산의 특정 목적 탈취 기능을 결합한 은밀하고 기능이 풍부한 안드로이드 RAT입니다. 심각한 금융 및 개인 정보 침해 가능성이 있으므로, 의심되는 감염은 긴급하게 처리해야 합니다. 악성코드를 제거하고, 안전한 기기에서 계정을 보호하고, 위의 예방 조치를 취하여 향후 노출을 줄이십시오.