케르베로스
때때로 사이버 범죄자는 다양한 위협 작업에서 자체 해킹 도구를 사용하는 대신 서비스로 판매하는 방법을 선택합니다. 이러한 경향을 서비스로서의 악성코드라고 하며 사이버 범죄의 세계에서 오히려 인기가 있습니다. 이런 식으로 기술이 없는 개인도 위협을 조작하고 무고한 사용자를 배후로 수익을 창출할 수 있습니다. 최근 맬웨어 연구자들은 해킹 포럼에서 제공되는 새로운 서비스로서의 맬웨어를 발견했습니다. 이 위협은 Cerberus라고 불리며 러시아 연방에서 만들어진 것으로 믿어집니다. Cerberus는 중요한 데이터를 수집하고 맬웨어 디버깅 소프트웨어를 피하는 인상적인 기능을 갖춘 Android 기반 뱅킹 트로이 목마입니다.
목차
저렴하고 정기적으로 업데이트
인기 있는 Anubis 뱅킹 트로이 목마와 달리 Cerberus 뱅킹 트로이 목마는 다소 저렴하여 즉시 상당한 관심을 끌 수 있습니다. 또한 Cerberus Trojan의 제작자는 해킹 도구를 정기적으로 업데이트하여 잠재적인 구매자에게 이 Malware-as-a-Service를 더욱 매력적으로 만들 것입니다.
이번 주 맬웨어 Ep8: COVID-19 잠금으로 인해 재택 근무 사기가 증가했습니다. #thisweekinmalware
피싱 오버레이
Cerberus 뱅킹 트로이 목마는 사용자가 주로 합법적인 뱅킹 애플리케이션과 상호 작용을 시도할 때 디스플레이 피싱 오버레이에 의존합니다. 이 트로이 목마에는 또한 키로거 모듈이 있어 운영자가 다양한 계정의 사용자 이름 및 비밀번호와 같은 피해자로부터 데이터를 수집할 수 있습니다. 또한 이 위협 요소는 사용자의 연락처 목록도 수집할 수 있습니다.
Cerberus 해커는 장치 설정을 수정하고 소셜 미디어를 통해 맬웨어를 홍보하려고 합니다.
Cerberus가 감염된 장치에 액세스할 수 있도록 허용하는 기본 코드는 아래 이미지와 같이 Android 장치의 접근성 서비스가 특정 권한에 대해 수정되는 것으로 시작됩니다.
접근성 서비스 설정이 수정된 Cerberus에 감염된 Android 장치 – 출처: Threatfabric.com
여러 보안 연구원에 의해 Cerberus 뱅킹 멀웨어 배후의 위협 행위자가 과거에 멀웨어를 퍼뜨리기 위해 콘텐츠 및 미디어 콘텐츠를 홍보하는 데 사용되었던 공식 트위터 계정이 있음을 밝혀냈습니다. 아래 스크린샷은 최근 광고 캠페인의 트위터 계정에서 가져온 것입니다.
Cerberus 해커의 트위터 계정 및 악성코드를 홍보하는 트윗 이미지 – 출처: Threatfabric.com
제한된 수의 뱅킹 애플리케이션 대상
Cerberus Trojan이 표적으로 하도록 프로그래밍된 은행 웹사이트 및 애플리케이션의 수는 여전히 상당히 제한적입니다. 그 중에는 미국 뱅킹 애플리케이션 7개, 프랑스 뱅킹 애플리케이션 7개, 일본 뱅킹 애플리케이션 1개가 있습니다. 뱅킹 애플리케이션 외에도 Cerberus 트로이 목마는 목표 목록에 15개의 비은행 애플리케이션도 있습니다. 위협은 사용자가 목록에 있는 애플리케이션 중 하나를 열 때 탐지할 수 있으며 은행 포털의 합법적인 오버레이와 거의 동일한 가짜 피싱 오버레이에 로그인 자격 증명을 입력하도록 속입니다. Cerberus 뱅킹 트로이 목마는 또한 많은 은행 웹사이트가 추가적인 안전 조치로 제공하는 이중 인증을 피할 수 있습니다.
Cerberus Trojan의 많은 영리한 작업에는 Flash 오버레이가 포함됩니다. 이러한 프로세스에는 아래 이미지와 같이 무해한 로그인 화면처럼 보이는 플래시 오버레이를 표시하여 사용자를 대상으로 지정하는 작업이 포함됩니다. 이러한 오버레이를 통해 Cerberus는 표시 양식이 합법적으로 보이기 때문에 문제를 의심하지 않을 수 있는 사용자로부터 은행 세부 정보 또는 신용 카드 정보를 얻을 수 있습니다. 샌드박스 환경은 Cerberus가 데이터를 수집하고 악의적인 기능을 수행하도록 요청할 수 있습니다.
Cerberus에 감염된 장치의 플래시 오버레이 카드 양식의 예 - 출처: Threatfabric.com
잠재적인 샌드박스 환경을 피하기 위해 Cerberus 뱅킹 트로이 목마는 흥미로운 기술을 사용합니다. 이 트로이 목마는 사용자의 발자국을 계산하는 센서 중 하나를 사용하여 합법적인 장치에서 실행되고 있는지 확인합니다. 0으로 유지되면 멀웨어는 휴면 상태를 유지합니다. 그러나 일정 수의 발자취에 도달하면 케르베로스가 해로운 활동을 계속합니다.
많은 사이버 사기꾼이 이 서비스로서의 맬웨어 제안에 관심을 가질 가능성이 있으며 가까운 장래에 Cerberus 트로이 목마와 관련된 공격이 급증할 수 있습니다. Android 사용자는 장치 보안의 중요성을 과소평가하지 말고 합법적인 맬웨어 방지 애플리케이션을 설치해야 합니다. 그러면 Cerberus 뱅킹 트로이 목마와 같은 위협으로부터 스마트 장치를 안전하게 보호할 수 있습니다.
