BeatBanker 뱅킹 트로이목마

BeatBanker는 구글 플레이 스토어를 모방한 사기 웹사이트를 통해 유포되는 정교한 안드로이드 악성 프로그램입니다. 이 악성 프로그램은 사용자를 속여 합법적인 앱처럼 보이는 앱을 다운로드하도록 유도하지만, 실제로는 암호화폐 채굴 기능을 갖춘 강력한 뱅킹 트로이목마를 설치합니다. 설치가 완료되면 감염된 기기를 장악하고 사용자 인터페이스를 조작하며 무단 금융 거래를 수행할 수 있습니다. 위협이 감지되면 즉시 제거해야 합니다. 악성 프로그램이 계속 작동할 경우 금전적 손실, 개인정보 침해, 그리고 기기 보안에 장기적인 악용을 초래할 수 있습니다.

파일리스 실행 및 분석 방지 기술

BeatBanker는 실행 시 기기의 IP 주소, 기기 유형, VPN 사용 상태 및 관련 연결 정보 등 필수 네트워크 정보를 수집하는 것으로 시작합니다. 악성 구성 요소를 기기 저장소에 파일로 저장하는 대신, 코드를 메모리에 직접 로드합니다. 이러한 파일 없는 실행 방식은 기존 모바일 보안 도구에 의한 탐지 가능성을 크게 낮춥니다.

BeatBanker는 분석을 더욱 회피하기 위해 에뮬레이터나 샌드박스와 같은 테스트 또는 연구 환경에서 실행 중인지 확인합니다. 이러한 환경이 감지되면 악성 프로그램은 즉시 작동을 종료합니다. 이러한 방어 메커니즘은 사이버 보안 연구원과 자동화 시스템이 해당 프로그램의 동작을 분석하는 것을 방지하는 데 도움이 됩니다.

가짜 구글 플레이 스토어 페이지를 이용한 소셜 엔지니어링

BeatBanker는 환경 검사를 통과한 후 'INSS Reembolso'라는 이름의 애플리케이션에 대한 Google Play 스토어 페이지와 매우 유사한 위조 인터페이스를 표시하며 소프트웨어 업데이트가 필요하다고 거짓으로 주장합니다. 사용자가 '업데이트' 옵션을 선택하면 악성 프로그램은 애플리케이션 설치 권한을 요청하고 숨겨진 악성 구성 요소를 다운로드합니다.

이 악성 프로그램은 정식 Google Play 인프라를 이용하는 대신, 관리자 권한을 악용하여 이러한 구성 요소를 직접 설치합니다. 지속적인 실행을 위해, 악성 프로그램은 위장된 시스템 업데이트 알림을 생성하고 백그라운드에서 미디어를 재생하는 서비스를 실행하여 운영 체제가 악성 프로세스를 종료하지 못하도록 합니다.

피해자 기기에서의 암호화폐 채굴

BeatBanker의 숨겨진 악성 프로그램 중 하나는 다운로드 파일에 내장된 암호화폐 채굴 프로그램입니다. 이 프로그램은 감염된 기기의 CPU 자원을 악용하여 공격자를 대신해 암호화폐를 채굴하도록 설계된 XMRig의 변형 버전입니다.

이 악성 프로그램은 배터리 잔량, 기기 온도, 사용자 활동과 같은 시스템 매개변수를 모니터링하여 채굴 활동을 지능적으로 관리합니다. 이러한 조건에 따라 채굴 프로그램은 자동으로 작업을 시작하거나 일시 중지하여 의심을 줄이고 감염 기간을 연장할 수 있습니다.

뱅킹 트로이목마 및 암호화폐 탈취 메커니즘

BeatBanker는 암호화폐 채굴 기능 외에도 접근성 권한을 획득하려는 뱅킹 트로이목마를 배포합니다. 이러한 권한을 부여받으면 공격자는 기기의 인터페이스를 제어하고 사용자 상호 작용을 모니터링할 수 있습니다.

이 악성 프로그램은 사용자가 실행하는 애플리케이션을 적극적으로 추적하며, 특히 바이낸스나 트러스트 월렛과 같은 암호화폐 플랫폼, 그중에서도 USDT 거래를 집중적으로 노립니다. 피해자가 송금을 시작하면, BeatBanker는 정상적인 거래 인터페이스 위에 가짜 화면을 덧씌웁니다. 이 과정에서 악성 프로그램은 의도된 수취인 주소를 공격자가 관리하는 주소로 몰래 변경하여, 피해자가 인지하지 못하는 사이에 자금이 다른 곳으로 이체되도록 합니다.

뱅킹 모듈은 또한 일반적으로 사용되는 여러 모바일 브라우저의 존재 여부를 평가하고 브라우징 정보를 수집합니다. 기본 브라우저에 저장된 링크를 추가, 편집, 삭제 또는 목록화하는 방식으로 조작할 수 있으며, 공격자가 제공한 URL을 열 수도 있습니다.

명령 및 제어 기능과 장치 조작

BeatBanker는 명령 및 제어(C2) 서버와 통신하여 공격자가 감염된 장치를 원격으로 관리하고 명령을 내릴 수 있도록 합니다. 이 인프라를 통해 악성코드는 가짜 시스템 업데이트 표시, 장치 화면 잠금, 클립보드 내용 추출, 오디오 녹음 파일 전송 등 다양한 악의적인 행위를 실행할 수 있습니다.

추가 기능으로는 SMS 메시지 전송, 공격자가 제어하는 링크를 브라우저에서 열기, 저장된 자격 증명 업데이트, 장치에 저장된 파일 목록 보기 등이 있습니다. 또한 이 악성 프로그램은 파일 삭제, 공장 초기화, 작업 완료 후 흔적을 완전히 제거하기 위해 자체 제거와 같은 파괴적인 작업을 수행할 수 있습니다.

감시 및 데이터 유출 기능

BeatBanker는 단순한 금전적 절도를 넘어 광범위한 감시 도구로 기능합니다. 키 입력을 기록하고, 화면에 표시되는 텍스트를 추출하고, 스크린샷을 캡처하고, 기기 화면을 실시간으로 스트리밍할 수 있습니다. 실행 중인 애플리케이션을 지속적으로 모니터링하여 공격자는 사용자의 행동을 관찰하고 민감한 정보를 수집할 수 있습니다.

이 악성 소프트웨어는 애플리케이션 모니터링, 특정 앱을 차단하거나 허용할 수 있는 내장 방화벽, 지속적인 알림 생성, VPN 연결 관리 기능 등 추가적인 장치 제어 메커니즘을 포함하고 있습니다.

권한 남용 및 지속성 메커니즘

BeatBanker는 기기에 대한 제어권을 크게 확장하는 고위험 안드로이드 권한에 크게 의존합니다. 이러한 권한을 통해 악성 프로그램은 지속성을 유지하고, 작업을 자동화하며, 사용자가 인지하지 못하는 사이에 명령을 실행할 수 있습니다.

이러한 권한을 통해 활성화되는 주요 기능은 다음과 같습니다.

• 자동 탭, 스와이프 및 인터페이스 조작을 허용하는 접근성 기능
• 정식 애플리케이션 위에 가짜 화면이 나타나도록 하는 오버레이 권한
• 출처를 알 수 없는 곳에서 애플리케이션을 설치할 수 있는 권한을 부여하여 악성 구성 요소를 자동으로 설치할 수 있도록 합니다.
• 링크를 열고, USSD 코드를 실행하고, 추가 악성코드 패키지를 배포할 수 있는 기능

이러한 권한은 감염된 장치를 복잡한 악성 작업을 실행할 수 있는 원격 제어 플랫폼으로 변모시킵니다.

스타링크 애플리케이션으로 위장한 새로운 변종

보안 연구원들은 안드로이드 사용자를 대상으로 가짜 스타링크 애플리케이션으로 위장한 비트뱅커(BeatBanker)의 새로운 변종을 발견했습니다. 이전 버전과 달리 이 변종은 기존의 뱅킹 트로이목마 구성 요소를 설치하지 않습니다.

대신, 이 공격은 BTMOB 원격 관리 트로이목마(RAT)를 배포합니다. BTMOB는 공격자에게 감염된 장치에 대한 완전한 원격 액세스 권한을 부여하며, 서비스형 악성코드(MaaS) 형태로 배포되므로 사이버 범죄자는 자체 악성코드 인프라를 구축하지 않고도 해당 도구를 구매하고 배포할 수 있습니다.

감염 경로 및 운영 영향

BeatBanker 감염은 일반적으로 공식 Google Play 스토어와 유사하게 설계된 사기 웹사이트로 피해자를 유도하는 피싱 캠페인으로 시작됩니다. 사용자들은 'INSS Reembolso'와 같은 정부 관련 서비스 또는 이와 유사한 가짜 유틸리티 앱으로 위장한 악성 애플리케이션을 다운로드하도록 유도됩니다.

피해자가 위조 애플리케이션을 설치하는 순간 기기는 감염됩니다. BeatBanker는 활성화 후 암호화폐 채굴기를 포함한 추가 구성 요소를 수집하고 기기에 대한 지속적인 접근 권한을 확보합니다.

이 악성 소프트웨어는 다양한 기능을 통해 공격자가 암호화폐를 채굴하고, 금융 데이터를 탈취하고, 거래를 조작하고, 감염된 기기를 원격으로 제어할 수 있도록 합니다. 일부 변종은 BTMOB와 같은 추가 악성 소프트웨어를 배포하여 공격자가 감염된 시스템에 장기간 무제한으로 접근할 수 있도록 합니다.