Sberbank Android 악성 앱 관련 이슈

최근 러시아와 동유럽에서 가장 큰 은행인 Sberbank의 앱으로 위장한

악성 Android앱이 발견됐습니다.
러시아의 Sberbank를 공격하기 위한 다양한 시도들이 있었으며,
모바일 장치의 유비쿼터스 특성으로 인해 악성 프로그램 개발자는 과거에도
Sberbank 고객을 모바일 장치로 타겟팅 하려고 했습니다.

최근의 멀웨어 피드에서 보았던 샘플을 보면 은행 이용자를 독특한 방식으로
타겟팅하려는 시도인 것으로 보입니다.

오늘은 Sberbank Android 악성 앱 관련 이슈에 대해 포스팅 하도록 하겠습니다.

이 악성코드는 러시아 최대 은행인 Sberbank의 온라인 뱅킹 앱으로 위장합니다.

악성 앱의 모양은 원래 앱의 모양과 비슷합니다.
피해자가 인증을 시도하자 마자 원래 앱과 유사한 로그인 화면을 표시하고 사용자

자격증명을 훔칩니다.
자격증명을 취득하면 응용프로그램은 피해자에게 기술적 오류가 있는 페이지를 표시하고 종료합니다.

오류화면은 다음과 같습니다.

감염경로는 다음과 같습니다.
Apk가 설치되고 열리면 전체 화면을 덮는 오버레이가 표시됩니다.
이 오버레이는 관리 엑세스를 요청하고 사용되는 러시아어입니다.
사용자가 이 오버레이를 닫을 방법은 없으며 권한을 부여해야합니다.

그러나 관리 엑세스 권한을 받으면 앱은 오류 메시지를 표시하고 사용자 인터페이스를 닫아버립니다.
이것은 사용자에게 앱이 작동을 멈췄다는 인상을 주지만 실제로 앱은 백그라운드에서 계속 실행됩니다.

앱은 공격자와 WebSocket 연결을 시작하고 이 프로토콜을 추가하여 추가 통신을 수행합니다.

앱은 기기에 저장된 민감한 데이터를 공격자에게 전송합니다.
• 민감한 장치 관련 데이터가 공격자에게 전송됩니다.
– IMEI
– 운영자 이름
– 전화번호
– 국가

• 사용자의 연락처 목록 :

분석 중 앱은 러시아의 은행 및 금융 서비스 회사인 Sberbank에 SMS를 보내려고 했습니다.
아래 이미지에서 볼 수 있듯이 앱이 900번에 “balance”라는 메시지를 보내면 Sberbank가

잔액을 확인하기 위해 고객에게 제공하는 기능입니다.

앱의 코드는 자동화 도구 및 보안 분석가가 실제 동기를 쉽게 이해하고 분석하는 것을

어렵게 하기 때문에 난독화 됩니다.

이 앱은 리소스 폴더에 Sberbank의 로고이미지가 있습니다.

기기에 공식 Sberbank앱을 설치했지만 이 이미지를 사용하는 활동이 보이지 않았습니다.
과거에는 특정 대상 응용 프로그램이 감염된 장치에서 열렸을 때 사용자 지정 오버레이 이미지를 표시하는
응용 프로그램을 보았지만 여기서는 그렇지 않았습니다.
아마도 이 응용프로그램에 향후 몇가지 추가 사항이 있을 것 입니다.

전반적으로 이것은 민감한 사용자 정보를 추출하고 특정 활동을 수행하기 위해 SMS 메시지를 보내려고

시도하는 또 다른 대상 안드로이드 뱅커 멀웨어 입니다.

이 외에도 멀웨어는 영구적인 상태로 유지하기 위해 매우 영리한 접근방식을 취합니다.
피해자가 멀웨어 앱의 관리자 권한을 제거하려고 시도 할 때마다 트리거 되는 브로드 캐스트 수신기를

등록하여 안드로이드 장치를 잠급니다.
따라서 관리자 권한을 취소하여 이 악성 앱을 제거 할 수 없습니다.

피해자에게 남겨진 유일한 옵션은 해당기기를 공장 출하상태로 재설정 하는 것 입니다.

오늘은 Sberbank android 악성 앱 관련 포스팅이었습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.