Perseus Banking Malware

사이버 보안 분석가들은 퍼세우스 안드로이드 악성코드(Perseus Android malware)라는 새로운 안드로이드 악성코드 계열이 기기 장악(DTO) 및 금융 사기 실행을 위해 실제 환경에서 활발하게 유포되고 있음을 확인했습니다. 이 위협은 기존 기법에 향상된 운영 유연성을 결합하여 모바일 악성코드의 상당한 진화를 보여줍니다.

검증된 악성코드 계통의 진화

Perseus는 악명 높은 안드로이드 뱅킹 트로이목마인 Cerberus 멀웨어와 Phoenix 안드로이드 멀웨어를 기반으로 제작되었습니다. 2019년 8월에 처음 발견된 Cerberus는 안드로이드의 접근성 서비스를 악용하여 권한을 상승시키고, 민감한 데이터를 수집하며, 자격 증명 탈취를 위한 오버레이 공격을 실행했습니다. 2020년 소스 코드가 유출된 후 Alien, ERMAC, Phoenix 등 여러 변종이 등장했습니다.

Perseus는 Phoenix 코드베이스를 확장하여 더욱 적응력이 뛰어나고 강력한 플랫폼으로 발전했습니다. 광범위한 앱 내 로깅 및 비정상적인 코드 아티팩트와 같은 지표는 공격자가 개발 과정에서 대규모 언어 모델(LLM) 지원을 활용했을 가능성을 시사합니다.

감염 경로: IPTV 애플리케이션을 통한 사회공학적 공격

퍼세우스(Perseus) 배포 전략은 소셜 엔지니어링에 크게 의존합니다. 퍼세우스는 피싱 웹사이트에 호스팅된 드로퍼 애플리케이션을 통해 배포되며, 이러한 웹사이트는 종종 IPTV 서비스로 위장합니다. 이러한 접근 방식은 프리미엄 스트리밍 콘텐츠에 무단으로 접근하려는 사용자를 표적으로 삼는 매시브(Massiv) 안드로이드 악성코드와 관련된 캠페인과 유사합니다.

공격자들은 합법적인 IPTV 앱처럼 보이는 곳에 악성 페이로드를 삽입하여 사용자의 의심을 줄이고 감염 성공률을 크게 높입니다. 이번 공격은 주로 터키, 이탈리아, 폴란드, 독일, 프랑스, 아랍에미리트, 포르투갈 등 여러 지역의 사용자를 대상으로 진행되었습니다.

악성코드 배포 과정 및 알려진 흔적

페르세우스 배포 생태계의 일부로 여러 애플리케이션이 확인되었습니다.

• Roja App Directa(com.xcvuc.ocnsxn) – Dropper 애플리케이션
• TvTApp (com.tvtapps.live) – Perseus의 주요 페이로드
• PolBox Tv (com.streamview.players) – 보조 페이로드 변형

이러한 애플리케이션은 감염된 기기에 악성 소프트웨어를 설치하는 진입점 역할을 합니다.

고급 장치 제어 기능

Perseus는 안드로이드 접근성 서비스를 활용하여 원격 세션을 설정하고 감염된 기기를 실시간으로 모니터링하고 정확하게 상호 작용할 수 있도록 합니다. 이러한 기능은 기기를 완전히 장악하여 공격자가 사용자 활동을 광범위하게 제어할 수 있도록 합니다.

기존의 뱅킹 트로이목마와 달리, 퍼세우스는 단순히 자격 증명을 탈취하는 것을 넘어 메모 작성 애플리케이션을 적극적으로 모니터링합니다. 이러한 행동은 일반적인 자격 증명 필드에 저장되지 않을 수 있는 고가치 개인 및 금융 정보를 추출하는 데 의도적으로 초점을 맞추고 있음을 시사합니다.

핵심 공격 기법: 오버레이 및 입력 가로채기

페르세우스는 활성화되면 널리 알려진 안드로이드 뱅킹 악성코드 기법을 사용합니다. 정식 뱅킹 및 암호화폐 애플리케이션 위에 가짜 인터페이스를 표시하는 오버레이 공격을 통해 사용자의 자격 증명을 실시간으로 탈취합니다. 또한 키 입력 로깅을 사용하여 민감한 입력 데이터를 실시간으로 가로챕니다.

명령 및 제어 작업: 원격 조작 프레임워크

이 악성 소프트웨어는 명령 및 제어(C2) 인프라를 통해 제어되며, 운영자는 명령을 내리고, 장치 동작을 조작하고, 사기 거래를 승인할 수 있습니다. 지원되는 주요 명령은 다음과 같습니다.

• 데이터 추출 및 감시 (예: Google Keep, Evernote, Microsoft OneNote 등의 앱에서 메모 캡처)
• VNC 및 HVNC를 통한 원격 세션 관리로 실시간 또는 구조화된 UI 상호 작용 가능
• 접근성 서비스를 이용한 스크린샷 캡처
• 앱 실행 또는 제한 해제 등 애플리케이션 제어 기능
• 검은 화면 덧씌우기 및 오디오 음소거와 같은 사용자 기만 전술
• 출처를 알 수 없는 강제 설치 및 사용자 상호 작용 시뮬레이션

이처럼 포괄적인 명령어 세트를 통해 공격자는 손상된 장치에 대한 지속적이고 은밀한 제어 권한을 유지할 수 있습니다.

회피 전술 및 환경 인식

Perseus는 탐지를 피하기 위해 고급 분석 방지 기술을 통합합니다. 디버깅 도구 식별, SIM 카드 존재 여부 확인, 설치된 애플리케이션 수 분석, 배터리 사용량 측정 등 광범위한 환경 검사를 수행하여 실제 기기에서 실행되고 있음을 확인합니다.

이 악성 소프트웨어는 이러한 데이터를 종합하여 '의심 점수'를 생성하고, 이 점수를 C2 서버로 전송합니다. 운영자는 이 점수를 기반으로 추가 공격을 진행할지, 아니면 탐지를 피하기 위해 잠복 상태를 유지할지 결정합니다.

전략적 함의: 진화를 통한 효율성 향상

Perseus는 안드로이드 악성코드의 지속적인 진화를 보여주는 대표적인 사례입니다. 새로운 위협은 완전히 새롭게 개발되기보다는 기존 프레임워크를 기반으로 구축되는 경우가 점점 더 많아지고 있습니다. Perseus는 Cerberus와 Phoenix에서 계승한 기능에 노트 모니터링 및 향상된 원격 제어와 같은 특정 기능을 추가함으로써 효율성과 혁신 사이의 균형을 이루어냈습니다.

이러한 접근 방식은 사이버 범죄의 광범위한 추세를 반영합니다. 즉, 적응성, 확장성 및 고가치 데이터 추출을 우선시하여 현대의 악성코드 캠페인을 더욱 효과적이고 탐지하기 어렵게 만듭니다.