Android Marcher 관련 이슈

안드로이드 뱅커 악성코드인 Marcher는 2013년말부터 사용되었습니다.

Google Play 자격 증명 및 신용카드 데이터를 도용하는 사람으로 시작되었지만

목표는 시간이 지나면서 변화하였습니다.

오늘은 안드로이드 뱅커 악성코드인 Marcher에 대해 포스팅 하도록 하겠습니다.

 

Android Marcher의 Refresher 프로그램

앞서 언급했던 Marcher는 2013년 후반부터 활동하였으며 여러 국가에서 여러 캠페인에 참여했습니다.

Marcher는 설립초기부터 계속 진화되어 왔으며, 아래에 추가사항 몇가지가 있습니다.

• Google Play 자격 증명 및 신용 카드 데이터 stealer로 시작되었습니다.
• 가짜 로그인 화면을 표시하여 은행 계좌 정보를 훔치는 기능이 추가되었습니다.
• 처음에는 독일의 은행을 대상으로 했지만 나중에 프랑스와 호주의 은행을 목표로 했습니다.
• 최근에는 스팸 및 악성 SMS 메시지 외에도 Marcher는 포르노 웹 사이트를 통해 퍼지기 시작했습니다.
• 은행과 함께 몇몇 Marcher 종목은 Whatsapp, Viber 및 Facebook과 같은 인기있는 Android 앱을 타겟팅 했습니다.
• Mario Run이 인기를 얻으면서 Android 용 Mario Run 앱으로 위장했습니다.

 

감염경로

Marcher가 요청한 권한은 어느정도 동일합니다.

• write_settings
• get_tasks
• access_network_state
• uses_policy_force_lock
• change_network_state
• write_sms
• call_phone
• system_alert_window
• internet
• send_sms
• vibrate
• access_wifi_state
• change_wifi_state
• receive_boot_completed
• wake_lock
• read_contacts
• read_sms
• read_phone_state
• receive_sms

일단 설치 및 실행되면 앱 리스트에서 앱이 사라지지만, 감염된 기기의 백그라운드에서 계속 실행되는

세 가지 서비스가 있습니다.

• FDS Service
• GPS Service
• PermissionsService

이러한 서비스는 다음 활동을 수행합니다.

 

• 앱 실행 후 관리자 엑세스 요청 

 

• 기기를 모니터링하고 기기에 하드 코딩 된 보안 앱이 거의 실행되지 않는지 확인하기 위해

분석한 샘플에 대해 다음 앱을 모니터링했습니다.

 

o CM Security Master App Lock - com.cleanmaster.security
o Clean Master – Antivirus - com.cleanmaster.mguard
o CCleaner - com.piriform.ccleaner
o CM Speed Booster - com.cleanmaster.boost
o Anti-virus Dr.Web Light - com.drweb
o 360 Security – Antivirus Boost - com.qihoo.security
o Kaspersky Antivirus & Security - com.kms.free
o Mobile Security & Antivirus - com.eset.ems2.gp
o 360 Security Lite - com.qihoo.security.lite
o Norton Security and Antivirus - com.symantec.mobilesecurity
o DU Speed Booster & Cleaner - com.dianxinos.optimizer.duplay

 

• 피해자의 데이터를 도용 할 수 있는 가짜 Google 암호 화면 및 신용 카드 화면을 표시합니다.

분석한 샘플에는 이 구성 요소가 작동하지 않았습니다.

• 타겟 뱅킹 앱이 실행 될 때마다 가짜 로그인 화면을 다운로드. 

이 기능은 가짜 페이지를 호스팅하는 도메인 (rittar.com/ppcas82)이 이 블로그를 작성하는 시점에는

오프라인 상태인 것으로 나타났습니다.

 

앱에서 몇 가지 주요 이벤트를 지속적으로 모니터링하는 수신기가 거의 없습니다.

이러한 이벤트가 발생하면 특정 작업이 수행됩니다. 

대부분의 Action은 특정 Action을 제외하고는 Marcher 앱과 유사합니다.

 

• 부팅 완료 이벤트 (android.intent.action.BOOT_COMPLETED)는 com.constre.BootReceiver에 의해

모니터 됩니다. 

이 서비스는 매 부팅 시 위에서 언급한 세 가지 주요 서비스가 시작되도록 하여 앱이 부팅 될 때 앱의 악의적인 부분이 시작되도록 합니다.

 

• SMS (android.provider.Telephony.SMS_RECEIVED) 수신 이벤트는

com.constre.SmsReceiver_ receiver에 의해 모니터 됩니다.

이 멀웨어는 SMS 메시지를 통해 수신하는 명령을 실행할 수 있습니다.

 

• 장치 관리자 권한 (android.app.action.ACTION_DEVICE_ADMIN_DISABLE_REQUESTED 및 android.app.action.DEVICE_ADMIN_ENABLED, android.app.action.DEVICE_ADMIN_DISABLED)을

활성화 및 비활성화하는 이벤트는 com.constre.AdminReceiver에서 모니터링합니다.

 

이 수신기는 우리가 Marcher에게 새로운 점이 있는 설정에서 장치 관리 권한을 사용하지 않으려는 경우 장치 관리 피벗을 항상 앱에 제공합니다.

 

기기 관리자 권한을 사용 중지하면 휴대 전화가 초기화된다는 화면이 표시됩니다. 

휴대 전화 초기화 또는 초기화는 사용자가 설치한 모든 앱을 완전히 삭제합니다.

즉, 사용자가 새 기기를 구입 한 경우처럼 휴대 전화를 '공장'상태로 되돌립니다. 

'확인'을 클릭하면 "시스템 응용 프로그램을 제거 할 수 없습니다"라는 추가 화면이 나타납니다.

장치 관리자 및 Marcher

 

일반적으로 Android 마커 샘플은 기기 관리자 권한을 요청합니다.

멀웨어가 이 권한을 요청하는 주된 이유 중 하나는 제거 버튼이 설정에서 회색으로 표시되어 희생자가 기기에서 앱을 제거하기 어렵게 만드는 것입니다.

 

이 Marcher의 새 인스턴스는 장치 관리자 권한이 취소된 경우 전화가 공장 설정으로 다시 설정된다는 메시지로 희생자를 위협하여 이를 한 단계 높여줍니다.

이렇게 하면 피해자가 앱을 제거하기 전에 두 번 생각하게 됩니다.

관리자 권한을 취소해도 이 경우 장치가 재설정되지 않습니다.

그러나 관리자 권한을 요구하는 화면이 계속해서 나타나 장치를 사용하는데 매우 귀찮게 합니다.

 

검사 결과 device_admin_new.xml이라는 xml 파일을 보았습니다.

이 파일에는 위에서 언급 한 화면에 표시된 문자열이 들어 있습니다.

오래된 Marcher 샘플에는 대부분이 파일이 없으며 device_admin.xml이라는 파일만 있습니다.

 

디바이스 관리자 권한을 제거하려고 시도했을 때 동일한 화면은 보지 못했지만 동일한 파일 device_admin_new.xml로 오래된 샘플을 찾지 못했기 때문에 위의 문장에서

"오래된 대부분의 샘플"이라고 언급했습니다.

• com.inggn (cc333988a21bf08a7b2a92daffe8a64e)에는 device_admin_new.xml이 있지만

최신 샘플에서는 작동하지 않습니다.

악성 코드가 실행되어 다른 작업을 수행 할 수 없게 되는 순간 신용 카드 정보를 묻는

오버레이 화면이 표시됩니다.
• com.construct (ecae04f1367902abc89d3e1e5e6d360a)에도 device_admin_new.xml이 있지만

추가 화면을 보지 않고도 관리자 권한을 쉽게 취소 할 수 있었습니다.
이 기능이 계획되었지만 지금까지 구현 된 적이 없는 것처럼 보였습니다.

염려스러운 부분은 휴대 전화가 공장 상태로 재설정 될 것이라고 표시된 콘텐츠입니다.

가까운 미래에 실제로 장치를 재설정 할 수 있는 Marcher 샘플을 볼 수 있습니다.

 

현재 Marcher는 감염된 장치에서 사용자의 중요한 데이터를 훔쳐 온 것으로 알고 있지만

장치를 다시 설정하면 Marcher에게 파괴적인 힘이 추가됩니다.

이러한 Marcher에 대한 피해를 최소화 하기 위한 방안으로 Android 소유자는 Google의 Play 스토어 이외의 소스에서 애플리케이션을 다운로드하지 말고 신뢰할 수 있거나 친숙한 항목을 제외하고는 애플리케이션이 관리 권한에 액세스하지 못하도록 하는 것이 좋습니다.

오늘은 Android Marcher 관련 이슈에 대한 포스팅이었습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.