>
연구(Insikt)

뱅킹 웹 인젝트는 금융 부문의 주요 사이버 위협

게시일: 2020년 10월 16일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

레코디드 퓨처는 레코디드 퓨처 플랫폼(® ), 다크웹 소스, 오픈소스 인텔리전스(OSINT)의 최신 데이터를 분석하여 전 세계 여러 금융 기관을 대상으로 하는 뱅킹 웹 인젝트와 가장 많이 참조되는 뱅킹 인젝트 개발자를 파악했습니다. 이 보고서는 데이터베이스 침해, 체커와 브루트 포스, 로더와 크립터, 신용카드 스니퍼에 대한 보고서에 이어 "지하 경제의 자동화와 상품화" 보고서에서 다룬 내용을 확장한 것입니다. 이 보고서는 보안 위험 관리 및 완화를 담당하는 네트워크 방어자, 보안 연구원 및 경영진이 가장 관심을 가질 만한 보고서입니다.

Executive Summary

은행과 금융 기관은 개인 식별 정보(PII), 돈, 금융 데이터를 훔치려는 사이버 범죄자들의 주요 표적입니다. 뱅킹 웹 인젝트는 이러한 데이터를 수집하는 가장 효과적인 방법 중 하나입니다. 웹 인젝트는 일반적으로 뱅킹 트로이 목마와 결합하여 브라우저 인 더 브라우저(MitB) 공격 벡터를 활용하여 API 후킹을 수행함으로써 합법적인 은행 웹 페이지의 콘텐츠를 실시간으로 수정합니다. 웹 인젝트는 언더그라운드 포럼에서 널리 사용되고 있습니다. 이 보고서에서는 다크웹에서 다양한 뱅킹 웹 인젝트 변종의 주요 개발자와 판매자 5명을 프로파일링하고, 뱅킹 웹 인젝트의 작동 방식을 예로 들며, 이러한 종류의 공격 위험을 줄이기 위한 몇 가지 전략을 제시합니다.

주요 판단

  • 뱅킹 웹 인젝트는 여러 뱅킹 트로이 목마와 통합된 강력한 악성 도구로, 위협 행위자가 2단계 인증(2FA)을 우회하여 사용자의 은행 계좌를 탈취할 수 있게 해줍니다.
  • 위협 행위자가 뱅킹 웹 인젝트를 배포하는 데 주로 사용하는 방법은 피싱과 익스플로잇 킷입니다.
  • 다크웹에서 가장 악명 높은 뱅킹 웹 인젝터 개발자와 판매자는 "yummba", "Validolik", "Kaktys1010", "Pw0ned", ANDROID-Cerberus입니다.
  • 뱅킹 웹 인젝트는 특정 웹사이트에 고도로 맞춤화되어 있으므로 고객은 웹 인젝트 개발자와 인프라에 대한 잠재적 공격을 모니터링할 수 있습니다.
  • 레코디드 퓨처는 최근 공개된 케르베로스 안드로이드 봇의 소스 코드를 통해 사이버 범죄자들이 소스 코드를 기반으로 전 세계 은행과 금융 기관을 공격하는 새로운 인젝트를 개발할 수 있을 것으로 평가합니다.

배경

뱅킹 인젝트는 사기를 수행하는 데 널리 사용되는 강력한 도구입니다. 일반적으로 뱅킹 트로이목마는 웹 페이지가 합법적인 은행 웹사이트로 리디렉션되기 전에 악성 HTML 또는 JavaScript 코드를 웹 페이지에 삽입하는 데 사용됩니다. 일반적으로 웹 인젝트는 은행에서 실제로 요구하지 않더라도 사용자에게 결제 카드 데이터, 주민등록번호(SSN), PIN, 신용카드 인증 코드(CVV) 또는 추가 PII와 같은 추가 기밀 데이터를 입력하도록 요청하는 합법적인 은행 로그인 웹 페이지와 유사한 오버레이 역할을 합니다.

뱅킹 인젝트는 뱅킹 트로이 목마가 API 후킹을 수행하여 합법적인 은행 웹 페이지의 콘텐츠를 실시간으로 수정할 수 있는 MitB 공격의 일부입니다. 합법적인 웹 페이지에 추가되도록 설계된 수정된 감염된 콘텐츠는 일반적으로 원격 명령 및 제어(C2) 서버에서 호스팅되어 감염된 컴퓨터 또는 디바이스로 다운로드되는 웹 인젝트 구성 파일에 있습니다. 공격자는 서버와 감염된 컴퓨터의 구성 파일을 자동으로 업데이트할 수 있습니다. 사이버 범죄자들은 이러한 구성 파일을 암호화하고 난독화하여 안티바이러스 소프트웨어의 탐지를 회피합니다.

많은 뱅킹 웹 인젝트는 Windows 및 Android 운영 체제를 대상으로 하며 여러 뱅킹 트로이 목마와 통합되어 사용자의 은행 계좌를 탈취할 수 있습니다. 일반적으로 웹 인젝트와 통합되어 가장 많이 사용되는 뱅킹 트로이목마로는 케르베로스, 아누비스, 마자르, 엑소봇, 로키 봇, 레드얼럿이 있습니다.

일부 기술적으로 진보된 웹 인젝터는 자동 이체 시스템(ATS)을 사용하여 감염된 피해 컴퓨터에서 송금을 시작할 수 있습니다. 이 방법은 피해자의 계정에 로그인하고 2FA를 우회할 필요가 없습니다. ATS는 명령 및 제어(C2) 서버에 연결된 스크립트에 은행 계좌, 계좌 잔액 및 기타 개인 정보와 같은 뱅킹 정보를 삽입하여 송금을 시작할 수 있습니다. 송금이 승인되면 자금은 사이버 범죄자가 관리하는 계정으로 리디렉션됩니다.

많은 웹 인젝트에는 다음과 같은 기술적 기능도 있습니다:

  • 일부 웹 인젝트는 2FA를 우회할 수 있습니다.
  • 뱅킹 트로이목마와 통합된 웹 인젝트는 제어판을 가지고 있으며 사용자 컴퓨터를 완전히 제어할 수 있습니다.
  • 뱅킹 웹 인젝트는 다양한 방식으로 전달되지만, 가장 일반적으로 피싱 이메일과 익스플로잇 키트를 통해 배포됩니다.

일부 뱅킹 웹 인젝트 개발자는 기성 웹 인젝트와 고객 요청에 따라 개별적으로 생성되는 맞춤형 웹 인젝트를 모두 제공합니다. 이러한 제품은 훨씬 더 비싸며 가격은 최대 1,000달러에 달할 수 있지만, 단순 피싱 페이지와 기능이 유사한 기술적으로 덜 정교한 단일 뱅킹 인젝트의 평균 가격대는 40달러에서 70달러입니다.

일반적으로 웹 인젝트는 특정 조직이나 웹사이트를 타겟팅하도록 맞춤 설정됩니다. 다크웹에서 특정 조직을 표적으로 하는 특정 웹 인젝트가 광고될 때 조직이 이를 추적하면 진화하는 사이버 범죄 캠페인을 식별할 수 있습니다.

레코디드 퓨처는 연구와 분석을 바탕으로 다크웹에서 가장 기술력이 뛰어나고 참고할 만한 뱅킹 웹 인젝트 제작자로 yummba, Validolik, Kaktys1010, Pw0ned, "ANDROID-Cerberus" 등 5명의 위협 행위자를 확인했습니다.

뱅킹-웹-인젝트-1-1.png

다크웹의 뱅킹 웹 인젝션 (출처: Recorded Future)_

맞춤형 뱅킹 웹 인젝트 변종의 배후에 있는 위협 행위자###

yummba

yummba로 알려진 위협 행위자는 고도로 숙련된 러시아어를 구사하는 해커로, 전 세계 여러 금융 기관을 표적으로 삼아 수천만 달러로 추정되는 피해를 입힌 ATS 웹 인젝트의 제작자입니다. 이 위협 행위자는 2012년 10월에 처음으로 인증된 포럼에 등록했습니다. 이 위협 행위자는 또 다른 러시아어를 사용하는 'lauderdale'을 비롯한 악명 높은 사이버 범죄자들과 연결되어 있으며, 악성 소프트웨어를 광고하는 유명 지하 커뮤니티의 회원이었습니다. yummba는 고도로 맞춤화된 도구를 개발하는 회사로, 그중 일부는 고객을 위해 특별히 제작되었습니다. 이러한 제품은 가격이 미화 1,000달러 이상으로 훨씬 더 비쌉니다. 일반적으로 얌바가 제공하는 웹 인젝트에는 전체 소스 코드가 포함되어 있으며, 위협 행위자는 구매자가 언제든지 재판매할 수 있도록 허용했습니다. yummba는 포럼에서 공개적으로 웹 인젝트 판매를 중단했지만, 고객에게 비공개로 판매하고 있을 수 있습니다.

yummba의 맞춤형 웹 인젝트는 제우스 뱅킹 트로이 목마 등 사용 가능한 모든 버전의 트로이 목마와 호환됩니다. yummba는 러시아 또는 독립국가연합(CIS)의 회원국인 기타 국가를 대상으로 하는 제품 사용을 엄격히 금지하고 있습니다. 이는 러시아 또는 독립국가연합 지역에 거주하는 위협 행위자가 현지 법 집행 기관으로부터 자신을 보호하기 위해 취하는 일반적인 조치입니다. 레코디드 퓨처는 위협 행위자가 여러 국제 금융 및 결제 시스템, 소셜 미디어 및 이커머스 기업을 대상으로 웹 인젝트를 사용하는 것을 관찰했지만, 프랑스 조직에 가장 많은 노력을 집중한 것으로 보입니다.

아카마이 테크놀로지스에 따르면 얌바의 소프트웨어는 클라이언트 디바이스나 네트워크를 손상시킬 뿐만 아니라 크로스 사이트 스크립팅, 피싱, 드라이브 바이 다운로드 공격도 허용하는 ATS 엔진 웹 인젝트를 사용하기 때문에 아날로그보다 더 강력합니다.

Validolik

'발리돌', 'Валидолик', 'Валидол'로도 알려진 발리돌릭은 익스플로잇, XSS, Verified 및 현재는 없어진 하위 포럼인 WT1과 핵조나를 포함한 여러 최상위 러시아어 포럼의 회원이었거나 회원으로 활동한 적이 있는 자들입니다. 이 위협 행위자는 안드로이드 웹 인젝트의 주요 개발자 중 한 명입니다. 2017년 5월 16일, 발리돌릭은 다수의 미국 및 국제 은행, 금융, 전자상거래, 소프트웨어, 소셜 미디어 조직을 대상으로 한 표적 공격에 사용하도록 특별히 설계된 여러 안드로이드 인젝트를 익스플로잇 포럼에 공개했습니다. 위협 행위자의 게시물에 따르면, 웹 인젝트는 대부분의 Android 트로이 목마(Mazar, ExoBot, Loki Bot, Anubis 및 RedAlert)와 호환되며 HTML 및 JavaScript를 사용했습니다.

이 위협 공격자는 호주, 오스트리아, 캐나다, 체코, 프랑스, 독일, 헝가리, 홍콩, 헝가리, 인도, 아일랜드, 일본, 케냐, 네덜란드, 뉴질랜드, 폴란드, 루마니아, 스페인, 터키, 미국을 포함한 20개국 이상의 은행을 대상으로 210개 이상의 웹 인젝트를 제공했습니다.

발리돌릭에서 제공하는 서비스에는 세 가지 옵션이 포함되어 있습니다:

  • "구독" - 모든 서비스 가입자에게 다음 5가지 트로이 목마에 대한 모든 웹 인젝터에 대한 액세스 권한을 제공합니다: 마자르, 엑소봇, 로키 봇, 아누비스, 레드얼러트, 그리고 구독자에게 할인 및 혜택을 제공했습니다. 구독 서비스에 대한 일회성 결제 금액은 미화 1,500달러입니다.
  • "팔로우" - 모든 서비스 가입자에게 추가 혜택 없이 모든 웹 인젝터에 액세스할 수 있는 권한을 제공합니다. 구독 서비스에 대한 일회성 결제 금액은 미화 1,200달러입니다.
  • "좋아요" - 서비스 가입자는 가격에 관계없이 전체 목록에서 50개의 웹 인젝트 중 하나에 액세스할 수 있습니다. 구독 서비스에 대한 일회성 결제 금액은 미화 500달러입니다.

발리돌릭은 특정 피해자를 대상으로 단일 웹 인젝트를 판매하거나 같은 국가의 여러 은행과 금융 기관을 대상으로 대량으로 판매했습니다. 예를 들어, 로그인/비밀번호 정보를 훔치는 웹 인젝트 한 건의 시작 가격은 미화 10달러였습니다. 이러한 웹 인젝트의 평균 가격은 미화 20~40달러입니다. 웹 인젝트 팩당 가격은 팩당 웹 인젝트 수에 따라 120달러에서 180달러까지 다양합니다.

발리돌릭은 또한 아누비스 뱅킹 트로이 목마의 수정된 버전을 판매하고 있으며, 두 가지 버전을 제공합니다: "1,500달러의 '라이트' 버전과 5,000달러의 '프리미엄' 버전입니다.

2020년 1월, 발리돌릭은 앞서 언급한 봇넷의 품질이 좋지 않다는 이유로 다크웹 포럼에서 다른 사이버 범죄자들로부터 아누비스 봇넷에 대한 부정적인 불만과 환불 요청을 여러 차례 받았습니다. 그 결과, 해당 위협 행위자는 익스플로잇 및 인증된 포럼에서 금지되었습니다.

뱅킹-웹-인젝트-2-1.png

Validolik이 만든 오스트리아 은행 인젝트 팩 (출처: 익스플로잇 포럼) _ _.

뱅킹-웹-인젝트-3-1.png

신용카드 그래버를 사용한 2단계 은행 웹 인젝션의 예(출처: 익스플로잇 포럼)_ _ Validolik의 2단계 은행 웹 인젝션 (출처: 익스플로잇 포럼)_

Kaktys1010

현재 없어진 인프루드 포럼뿐만 아니라 익스플로잇, XSS, VLMI 포럼의 회원인 Kaktys1010은 SMS/토큰 가로채기 유무에 관계없이 윈도우 및 안드로이드 웹 인젝트와 가짜 웹페이지를 개발하는 업체입니다. 또한, 위협 행위자는 위에서 언급한 윈도우 및 안드로이드 웹 인젝트를 광고하는 어니언 웹사이트 "KTS"의 운영자입니다. 이 위협 행위자는 적어도 2015년부터 다크웹에서 뱅킹 웹 인젝트를 판매해 왔습니다. 웹사이트 KTS는 전 세계 여러 은행 및 금융 기관을 대상으로 설계된 다양한 HTML 웹 인젝트를 제공하며, 다음 범주로 나뉩니다:

  • 안드로이드 웹 인젝트
  • 가짜 웹 페이지
  • 동적 웹 페이지
  • 정적 웹 페이지
  • 트루로그인 웹 페이지
  • 주입
  • 분류

뱅킹-웹-인젝트-4-1.png

웹 인젝트를 나열하는 KTS 샵 랜딩 웹 페이지 (출처: KTS)_

위협 행위자는 주로 다음 국가에 위치한 조직을 표적으로 삼아 웹 인젝트를 판매하고 있습니다: 벨기에, 캐나다, 콜롬비아, 체코, 덴마크, 프랑스, 독일, 이란, 아일랜드, 이탈리아, 멕시코, 네덜란드, 폴란드, 스페인, 터키, 영국.

또한 Kaktys1010은 피해자가 로그인하기 위해 이메일 주소, 개인 문서, VBV(Verified by Visa) 및 마스터카드 보안코드(MC) 번호를 입력하도록 요구하는 웹 인젝트를 개발합니다. 위협 행위자의 설명에 따르면, 일부 안드로이드 뱅킹 웹 인젝트는 모바일 애플리케이션의 배포 및 설치를 위해 안드로이드 및 기타 안드로이드 기반 운영 체제에서 사용하는 파일 형식인 안드로이드 애플리케이션 패키지(apk) 파일을 다운로드하도록 요구합니다.

웹 인젝트의 가격대는 미화 60달러에서 500달러까지 다양합니다. KTS는 정가와 장바구니 기능이 있는 뱅킹 웹 인젝트를 판매용으로 제시하지만, 고객이 제품을 구매하고 장바구니에 추가하면 판매자와 협상해야 하는 포럼 익스플로잇으로 리디렉션됩니다. KTS에서 직접 웹 인젝트를 구매할 수 있는 옵션은 없습니다. KTS 웹사이트에는 나열된 웹 인젝트의 작동 방식에 대한 지침이 포함된 동영상 튜토리얼이 포함되어 있습니다. 레코디드 퓨처는 위협 행위자가 웹사이트에서 윈도우 뱅킹 인젝트를 판매하지 않고 고객의 요청에 따라 특별히 제작된 인젝트를 제작하는 것을 확인했습니다.

뱅킹-웹-인젝트-5-1.png

아일랜드 은행을 타깃으로 제작된 Kaktys1010의 뱅킹 웹 인젝트(출처: KTS)_ (자료 출처: KTS)_

또한, 위협 행위자는 결제 카드 그래버 기능이 있는 소셜 미디어 및 메신저 전용으로 제작된 Android 웹 인젝트를 개발 및 판매합니다. 예를 들어, 2016년 4월 11일, 위협 행위자는 미화 450달러에 Facebook, Instagram, WhatsApp, Viber, Skype 및 Google Play를 대상으로 하는 웹 인젝트 팩을 배포했습니다. 공격자는 피싱 생성기 기능을 웹 인젝트에 삽입하여 피싱 웹 페이지의 요소의 색상, 글꼴, 위치 및 기타 속성을 변경할 수 있습니다.

Kaktys1010의 웹 인젝트는 "uAdmin"(유니버설 관리자)이라는 관리자 패널로 제어할 수 있습니다. 관리자 패널은 다음 플러그인과 연결되어 있습니다:

  • 로그 파서
  • 이벤트 로거
  • 가상 네트워크 컴퓨팅(VNC) - VNC 및 SOCKS를 통해 봇넷 API에 대한 연결을 제공합니다.
  • 토큰 가로채기
  • 피해자 추적기
  • 텍스트 관리자 및 머니 드롭 관리자를 포함한 추가 프레임워크 플러그인

뱅킹-웹-인젝트-6-1.png

_Kaktys1010이 개발한 'uAdmin' 패널 (출처: 익스플로잇 포럼)_ (출처: 익스플로잇 포럼)_

위협 행위자가 다크웹 포럼에서 영어와 러시아어를 사용해 웹 인젝트를 광고했지만, 레코디드 퓨처는 이 모네킹과 관련된 텔레그램 계정을 운영하는 위협 행위자가 러시아어를 사용하지 않으며 영어를 모국어로 사용하는 사람도 아닌 것을 확인했습니다. "kaktys1010" 계정은 개인 네트워크에 의해 운영되는 계정일 가능성이 높습니다.

Pw0ned

'ws0', 'pwoned1', '펜트', '펠로티스', '얀 오크라소프', 'Ян Окрасов', '사용자 테스터', 'ini'로도 알려진 Pw0ned는 러시아어를 사용하는 해커, 침투 테스터, 카더로 평균 이상의 JavaScript 및 PHP 지식을 갖추고 있습니다. 이 위협 행위자는 2013년 4월 말 러시아어를 사용하는 포럼 YouHack에서 처음 활동하는 것이 관찰되었습니다. 그러나 2015년이 되어서야 Pw0ned는 다크 웹 소스에서 지속적으로 활동하기 시작했으며, 위협 행위자는 다음 러시아어를 사용하는 범죄 포럼 중 최소 6곳에 여러 계정을 만들었습니다: Exploit, Verified, FuckAV, BHF, WWH Club, Antichat. 2019년부터 이 위협 행위자는 주로 인스타그램(Instagram), 브이콘탁테(VK) 등 인기 소셜 미디어 브랜드와 Gmail, AOL, 얀덱스 등 이메일 서비스 제공업체의 가짜 웹페이지를 개발하는 것으로 알려져 있습니다. 이러한 개발에는 원격 관리자 패널, 스팸 캠페인용 가짜 HTML 문자, 웹사이트의 가짜 사본 등이 포함됩니다. 레코디드 퓨처는 이전에 Pw0ned의 활동을 조사한 결과, Pw0ned가 우크라이나 키예프 또는 키예프 지역 거주자이며 생년월일은 1998년 3월 19일로 추정된다고 평가했습니다. 또한 그의 이름이 미하일(러시아어로 Михаил)일 가능성이 높습니다.

위에서 언급한 피싱 웹 페이지의 개발 및 판매 외에도, 위협 행위자는 케르베로스 안드로이드 봇 및 아누비스 안드로이드 트로이 목마와 호환되는 뱅킹 웹 인젝트의 제작자이기도 합니다. 2020년 7월 말, 레코디드 퓨처는 '안드로이드-케르베로스' 프로젝트의 개발자 또는 판매자가 익스플로잇 및 XSS 포럼에서 케르베로스 안드로이드 봇 프로젝트를 경매에 부친다는 사실을 확인했습니다. 위협 행위자는 소스 코드, 관리자 패널의 소스 코드, 멀웨어 서버, 모든 활성 라이선스 및 연락처 정보가 포함된 고객 데이터베이스와 함께 멀웨어를 판매하고 있었습니다. 경매의 시작 가격은 미화 25,000달러였으며, 멀웨어를 직접 구매할 경우 미화 100,000달러에 구매할 수도 있었습니다. 나중에 위협 행위자는 다크웹에서 봇넷의 소스 코드를 공개적으로 공유했습니다. Pw0ned는 자신이 케르베로스 안드로이드 봇넷을 위해 210개 이상의 웹 인젝트를 만들었다고 밝혔습니다. 다크웹에서 경매에 부쳐지자마자 위협 행위자는 모든 웹 인젝트를 단 150달러에 제공했습니다.

안드로이드-서베루스

'안드로이드' 또는 '케르베로스'라고도 알려진 안드로이드-케르베로스는 여러 지하 커뮤니티의 회원이자 케르베로스 안드로이드 봇을 만든 사람입니다. 위협 행위자는 2020년 8월 11일에 멀웨어에 투자할 시간이 부족하다는 이유로 범죄 조직을 폐쇄했으며, "케르베로스 v1 + 케르베로스 v2 + 설치 스크립트 + 관리자 패널 + SQL DB"가 포함된 케르베로스 안드로이드 봇 인프라의 소스 코드를 공유했습니다. 위협 행위자는 사용 가능한 웹 인젝트의 전체 세트도 공유했습니다. 레코디드 퓨처의 분석가들은 공격자가 아카이브에 담은 소스 코드를 조사한 결과 은행, 금융 기관, 소셜 네트워크를 사칭하는 잘 만들어진 여러 웹 페이지를 확인했습니다.

이번에 공개된 웹 인젝트는 인증정보 도용을 위해 케르베로스 안드로이드 트로이목마가 지원하는 앱입니다. 케르베로스는 특정 안드로이드 앱에서 인증 정보 도용을 지원하며, 이름의 안드로이드 식별자를 기반으로 타겟팅할 앱을 결정할 수 있습니다. 예를 들어, 웹 인젝트 폴더에는 Google의 Gmail 애플리케이션 식별자(com[.]google.android[.]gm)를 가진 파일 두 개가 포함되어 있습니다. 뒤에 ".html" 및 ".png"가 이어집니다. 케르베로스는 Android의 접근성 기능을 악용하여 이러한 인젝션을 수행하고 있으며 문자 메시지, Google 인증 코드, 디바이스의 잠금 해제 패턴 등 사용자 휴대폰의 다양한 데이터에 액세스할 수 있는 것으로 보이므로 2FA가 반드시 위협을 완화하는 것은 아닙니다. 레코디드 퓨처는 소스 코드가 일반 대중에게 공개된 이후 은행 및 금융 기관에서 사기 시도가 급증할 것으로 예상하고 있습니다. 수천 명은 아니더라도 수백 명의 위협 행위자가 유출된 코드와 방법론을 일상적인 사기 활동에 사용할 가능성이 높습니다.

케르베로스 안드로이드 봇 뱅킹 인젝트 분석

레코디드 퓨처는 다크웹에서 공개적으로 공유된 케르베로스 안드로이드 봇의 소스 코드를 분석했습니다. 이 코드에는 주입 기능을 관리하기 위한 주요 루틴인 "srvSccessibility"라는 클래스가 포함되어 있습니다. 이 함수는 안드로이드 접근성 서비스 클래스를 확장하여 사용자 인터페이스에 향상된 기능을 제공합니다. "srvSccessibility"는 개발자가 정의한 "접근성 서비스"입니다. 접근성 서비스는 백그라운드에서 실행되며 개발자가 버튼 클릭이나 창 포커스 변경과 같은 컨텍스트 변경을 '수신'하고 활성 창의 콘텐츠를 쿼리할 수 있도록 합니다. 악의적으로 사용하지 않을 경우, 개발자가 대체 인터페이스 피드백을 필요로 하는 사용자에게 더 나은 서비스를 제공할 수 있도록 돕기 위한 것입니다.

이 기능을 지원하려면 개발자는 접근성 서비스에서 지정한 이벤트 필터링 매개변수와 일치하는 이벤트가 발생할 때 호출되는 'onAccessibilityEvent'를 포함하여 필요한 함수를 구현해야 합니다. 간단한 설명은 다음과 같습니다:

  • 이 함수는 초점이 맞춰진 애플리케이션이 변경되거나 사용자가 애플리케이션에 텍스트를 입력하는 등 '접근성 이벤트'가 발생할 때 호출됩니다.

  • 애플리케이션은 포커스가 있는 애플리케이션의 패키지 이름을 수집하여 "app_inject" 변수에 배치합니다. 이는 현재 실행된 애플리케이션의 이름입니다(예: "com.bankaustria.android.olb"). (1).

  • 애플리케이션은 (2)에서 정보 수집에 관심이 있는 것으로 나열된 애플리케이션의 이름에 해당 애플리케이션이 있는지 확인합니다. 애플리케이션이 수집할 메일 서비스 또는 애플리케이션 서비스 목록과 일치하면 관심 있는 애플리케이션입니다. 이러한 애플리케이션 이름에는 다음이 포함됩니다:

  • 메일 서비스: Gmail(com.google.android[.]gm), the mail[.]com Android 애플리케이션(com.mail.mobile.android[.]mail), 핫메일(com.connectivityapps[.]hotmail), Outlook(com.microsoft.office[.]outlook), 및 야후!(com.yahoo.mobile.client.android[.]mail)

  • 애플리케이션 서비스: Google Play 앱 스토어(com.android[.]vending), 텔레그램(org.telegram[.]messenger), Uber(com[.]ubercab), WhatsApp(com[.]whatsapp), WeChat(com.tencent[.]mm), Viber(com.viber[.]voip), Snapchat(com.snapchat[.]android), Instagram(com.instagram[.]android), 메신저(com.imo.android[.]imoim), 및 트위터(com.twitter[.]android)

  • 애플리케이션이 위의 기준에 따라 이 애플리케이션이 관심 있는 애플리케이션이라고 판단하면 "actViewInjection" 클래스의 인스턴스를 생성하고 이를 시작하여 주입 프로세스를 시작합니다. 이 클래스는 위협 행위자에 의해 생성되며 오버레이 생성을 담당합니다. (3)

  • 인젝션 로딩을 위한 코드는 '웹 보기'를 만들고 그 내용을 특정 뱅킹 애플리케이션의 가짜 웹 페이지 HTML(지원되는 인젝트 목록에서 사용 가능한 경우), 애플리케이션 서비스의 가짜 웹 페이지 HTML 또는 메일 서비스 애플리케이션의 가짜 웹 페이지 HTML로 설정하여 작동합니다. (4)

  • 마지막으로, 화면 위에 보기를 배치하여 애플리케이션 사용자가 실제로는 합법적인 웹사이트에 있다고 생각하지만 실제로는 케르베로스가 개인 정보를 훔칠 준비가 된 것처럼 보이도록 합니다. (5)

레코딩된 미래는 "srvSccessibility.java"의 "주석 처리된" 코드를 관찰했습니다. 파일은 2019년 8월에 케르베로스 안드로이드를 분석한 연구원들이 논의한 코드와 매우 유사해 보입니다. 이는 위협 행위자가 보고서에 설명된 오버레이 기능을 계속 사용하면서 코드를 리팩토링했음을 의미합니다.

완화 조치

웹 인젝트 공격을 탐지하고 예방하는 데 도움이 되는 좋은 규칙이 있습니다. 다음과 같은 완화 전략을 권장합니다:

  • 애플리케이션의 로그인 웹 페이지를 다시 디자인하여 유출된 소스 코드의 PNG 이미지와 다르게 보이도록 합니다. 케르베로스 안드로이드는 지원되는 각 은행에 대해 정적 이미지를 사용하므로 클라이언트별 또는 시간에 따라 변경되는 워터마크를 추가하는 것이 좋습니다. 고객에게 이미지/워터마크가 보이지 않으면 해당 앱의 정품 로그인 웹 페이지가 아니라는 안내를 제공하세요.
  • 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 애플리케이션 및 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
  • 사용자의 경우 바이러스 백신 솔루션을 설치하고, 서명 업데이트를 예약하고, 모든 장비의 바이러스 백신 상태를 모니터링하세요.
  • 인터넷에서는 HTTPS 연결만 사용하세요.
  • 모의 피싱 시나리오를 통해 직원을 교육하고 교육 세션을 진행하세요.
  • 가능하면 다단계 인증(MFA)을 사용하세요.
  • 바이러스, 빈 발신자 등을 탐지하는 스팸 필터를 배포합니다.
  • 웹 필터를 배포하여 악성 웹사이트를 차단하세요.
  • 디바이스에 있는 모든 민감한 회사 정보를 암호화하세요.
  • 사용자에게 신뢰할 수 있는 출처의 앱과 파일만 다운로드하도록 안내하세요.

전망

맞춤형 웹 인젝트 판매는 다크웹에서 수익성이 높은 비즈니스입니다. 악명 높은 사이버 범죄자들은 주로 피싱 캠페인과 익스플로잇 키트를 통해 전 세계 여러 금융 기관을 대상으로 뱅킹 트로이 목마 개발자 및 운영자를 위한 웹 인젝트를 제작합니다.

레코디드 퓨처는 특히 최근 공개된 케르베로스 안드로이드 봇 소스 코드를 고려할 때 뱅킹 웹 인젝트가 금융 부문을 노리는 주요 공격 벡터 중 하나로 남을 것으로 예상하고 있습니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

관련