1. 새로운 MailBot Android banking 악성코드
Reference: https://www.bleepingcomputer.com/news/security/new-malibot-android-banking-malware-spreads-as-a-crypto-miner/ / https://www.f5.com/labs/articles/threat-intelligence/f5-labs-investigates-malibot
이탈리아와 스페인을 타겟으로 한 새로운 안드로이드 뱅킹 악성코드인 MailBot 이 발견되었다. 해당 악성코드는 암호화폐 채굴 앱이나 크롬 웹 브라우저로 위장한다. MailBot 은 뱅킹 서비스 자격증명, 암호화폐 지갑 암호 및 개인정보 같은 금융정보를 훔치는 것이 중심이며, 알림에서 2단계 인증 코드도 탈취를 할 수 있다.
MailBot 주요 특징
Mining X또는The CryptoApp이라는 암호화폐 마이닝 앱으로 위장하며, 때로MySocialSecurity및Chrome으로 위장한다.- The CryptoApp: 실제 합법적인 TheCryptoApp 대신 악성코드를 다운로드 하도록 한다. 합법 앱은 구글 플레이 스토어에서 100만회 이상 다운로드 된 암호화폐 추적 앱이다.
- Mining X: 구글 플레이 스토어의 실제 앱이 아니라 QR 코드를 통해 악성 APK로 연결되도록 한다.
- 금융 정보, 자격 증명, 암화 지갑 및 개인 정보를 훔치며, 이탈리아 스페인 금융기관 대상으로 한다.
- 2-Factor 코드, MFA 코드를 훔치고 우회할 수 있다.
- VNC 서버 구현을 통해 감염 장치를 원격 제어 기능이 포함되어 있다.
기능
- 웹 인젝션/오버레이 공격
- 암호화폐 지갑 훔침
- MFA/2FA 훔침
- 쿠키 훔침
- SMS 메시지 훔침
- 구글 2단계 인증 우회
- 장치 및 화면 캡처에 대한 VNC 접근
- 요청 시 앱 실행 및 삭제
- SMS 메시지 전송
- 기기의 IP, 안드로이드 ID, 모델, 언어, 설치된 앱 목록, 화면 및 잠금 상태를 포함한 기기 정보 수집
- 성공 또는 실패 작업, 통화 및 SMS 및 오류에 대한 광범위 로깅
또한 MFA를 우회하기 위해 Accessibility API를 통해 의심스러운 로그인 시도에 대한 알림이 수신될 때 확인을 누르면 OTP를 C2로 보내어 자동으로 입력하게 한다. 혹은 Google Authenticator에서 보내는 MFA 코드를 훔쳐서 독립적으로 인증 앱을 사용하기도 한다.
대부분의 뱅킹 트로이목마처럼 설치된 앱 목록을 검색하여 합법적인 앱을 열면 가짜 로그인 화면이 오버레이 되도록 한다.
IOC
mining-x[.]tech
mycrypto-app[.]com
'깔짝할짝' 카테고리의 다른 글
| 2022-06-20 Mon (0) | 2022.06.20 |
|---|---|
| 2022-06-16 Thur (0) | 2022.06.16 |
| 2022-06-14 Tue (0) | 2022.06.14 |
| 2022-06-03 Fri (0) | 2022.06.03 |
| 2022-06-02 Thur (0) | 2022.06.02 |