구글 플레이 스토어 악성코드 / 케르베로스 뱅킹 멀웨어?

#구글 플레이 스토어 #악성코드 #멀웨어 #해킹

단순한 환율 계산 애플리케이션인 줄 알고 이미 1만 명 이상이 구글 공식 플레이 스토어에서 다운로드 받아 설치했는데,
알고 보니 케르베로스(Cerberus)라는 뱅킹 트로이목마였다고 합니다😫

케르베로스는 ‘서비스형 멀웨어(MaaS)’의 일종으로, 모바일 장비를 감염시켜 공격자들이 원격에서 접근할 수 있도록 해주는 것으로 유명합니다. 또한 키스트로크를 로깅하며 크리덴셜을 훔쳐내고, 구글 오센티케이터(Google Authenticator)의 정보와 문자 정보를 외부로 빼돌리기도 하는데요

이번에 발견된 케르베로스는 스페인의 안드로이드 사용자들을 노리고 만들어진 것으로 보입니다. 환율 계산 앱으로 위장되어 있는데,. 구글 측은 이 앱에 숨어 있는 케르베로스를 놓친 상태에서 공식 스토어에 등록해주었고, 케르베로스는 수주 동안 여러 사용자들을 감염시켰습니다.

케르베로스는 현재까지 약 1만 번 다운로드 됐고, 이 사용자들의 온라인 뱅킹과 관련된 정보들을 훔쳐냈습니다. 케르베로스가 숨어 있던 앱은 ‘Calculadora de Moneda’이며, 지금은 보안 업체 어베스트(Avast)가 적발해 구글에 보고해 삭제된 상태입니다. 어베스트 짱짱

사실 구글을 탓하기도 힘든 것이, 공격자들이 교묘한 수법을 사용했기 때문입니다. 애플리케이션 설치 후 배포된 업데이트 속에 드로퍼 기능을 가진 코드가 포함되어 있고, C&C 서버는 업데이트가 설치되고도 한참 후에 명령을 내리기 시작했습니다. 

C&C 서버가 한참을 기다린 이후에 내린 명령은, 케르베로스 뱅킹 트로이목마를 다운로드 하라는 것이였고. 환율 앱은 케르베로스 뱅킹 트로이목마를 다운로드 해 설치하고, 케르베로스는 사용자들의 온라인 활동을 모니터링 하다가 뱅킹 애플리케이션이 시작되면 가짜 로그인 페이지를 화면에 노출시켰습니다.

아무 것도 모르는 사용자는 똑같이 생긴 로그인 화면에 크리덴셜을 입력했고, 이 정보는 해커들에게 날아갔는데요. 게다가 케르베로스는 구글 오센티케이터와 문자도 볼 수 있기 때문에 이중 인증 장치도 뚫을 수 있었습니다. 은행을 통해 사기 거래를 할 모든 조건이 갖춰진 것입니다.

보안 업체 어베스트에 의하면 C&C 서버는 아주 잠깐 동안 살아나 악성 페이로드를 배포하고 사라졌다고 합니다.

그럼에도 이런 식의 공격에 당하지 않기 위해서는 여러 가지 기본 보안 실천 사항을 지키는 것이 좋다고 어베스트는 권장했습니다.
1) 공식 뱅킹 앱만 사용한다
2) 이중 인증을 적용한다.
3) 공식 스토어에서만 앱을 다운로드 받는다
4) 다운로드 받기 전에 별점과 후기를 꼼꼼하게 확인한다
5) 설치 시 앱이 요구하는 권한을 확인하고 검토한다
6) 모바일 보안 솔루션을 설치한다

“물론 공식 스토어를 통해 멀웨어가 배포됐고, 업데이트라는 눈속임 기법으로 악성 코드가 설치됐다는 점에서 이런 권장 사항들이 무슨 소용이 있는가, 라고 물을 수 있습니다. 하지만 예를 들어 공식 스토어가 아니면 앱이 설치되지 않도록 설정해 두면, 업데이트를 통해 악성 코드가 다운로드 되는 일을 막을 수 있었을 겁니다. 따라서 예외적으로 보이는 경우라 하더라도 기본 수칙을 잘 지키는 것이 보안의 정답임에는 변함이 없습니다.”

3줄 요약
1. 스페인 환율 앱으로 위장한 케르베로스, 구글 플레이 스토어 통해 퍼짐.
2. 설치 후 진행된 업데이트 통해 실제 악성 코드 주입되고 C&C 서버도 한참 있다가 명령 내림.
3. “플레이 스토어 외 다른 출처의 앱을 설치하지 않도록 설정했다면 피해 없었을 것.”