MalRhino 안드로이드 뱅킹 트로이목마

MalRhino Android 뱅킹 트로이 목마는 Check Point Research에서 발견한 분류되지 않은 맬웨어 계열에 속하는 두 번째 위협입니다. 위협 행위자들은 PixStealer 라는 다른 위협적인 제작물에 대해 최소한의 접근 방식을 취했지만 MalRhino는 일반적인 Android 뱅킹 트로이 목마에 더 가깝습니다. 그렇다고 위협이 몇 가지 참신하거나 드물게 볼 수 있는 기술을 갖추고 있지 않다는 의미는 아닙니다. 두 위협 간의 연결은 매니페스트, 로그 메시지, 서비스 및 메서드 이름 등의 유사성을 기반으로 이루어졌습니다.

MalRhino 분석

위협은 또한 Android 접근성 서비스를 악용하여 유해한 작업을 수행합니다. 접근성 서비스의 목적은 장애가 있는 사용자가 장치를 훨씬 쉽게 제어할 수 있도록 하는 것입니다. 해커는 이를 통해 사용할 수 있는 수많은 기능을 발견했습니다.신속하게 맬웨어 생성에 서비스를 악용했습니다. 예를 들어 장치 화면에서 발생하는 활동을 모니터링하고 가로챌 수 있습니다. 또한 공격자는 사용자가 만든 것처럼 클릭 및 탭을 시뮬레이션할 수 있습니다.

그러나 MalRhino가 접근성 이벤트를 동적으로 처리할 수 있는 방식은 매우 흥미롭습니다. 이 위협은 Mozilla의 Rhino 프레임워크를 통해 JavaScript를 사용합니다. 그런 다음 공격자는 가장 많이 실행되는 응용 프로그램을 검사할 수 있습니다. 대상 응용 프로그램 중 하나와 일치하는 경우 해커는 원격 액세스를 활용하여 특정 코드를 실행할 수 있습니다. Check Point 연구원들이 악성코드 위협에서 이 기술을 마지막으로 관찰한 것은 Xbot banker 악성코드의 일부로 2016년으로 거슬러 올라갑니다.

MalRhino의 공격 사슬

이 위협은 브라질 Inter Bank의 iToken 애플리케이션의 가짜 버전을 통해 배포되고 있습니다. 트로이 목마 응용 프로그램의 패키지 이름은 'com.gnservice.beta'이며 위협 요소가 아직 개발 초기 단계임을 나타낼 수 있습니다. 가짜 애플리케이션은 공식 Google Play 스토어에서 다운로드할 수 있습니다.

피해자의 장치에 들어가면 MalRhino는 접근성 권한을 요청하는 메시지를 표시합니다. 사용자를 속이기 위해 애플리케이션은 제대로 작동하려면 권한이 필요한 척합니다. 성공하면 트로이 목마는 대상 응용 프로그램(대부분 은행 응용 프로그램, 장치 데이터 및 설치된 응용 프로그램 목록을 수집하고 획득한 정보를 Command-and-Control(C&C, C2) 서버에 보낼 수 있습니다. 보다 구체적으로, 위협적인 기능에는 Nubank 앱에서 핀 코드를 검색하는 것이 포함됩니다.

MalRhino 위협은 애플리케이션이 공식 스토어 플랫폼을 통해 설치된 경우에도 기기의 애플리케이션에 권한을 부여할 때 주의가 필요함을 보여줍니다.