[보안뉴스 원병철 기자] 에스케어는 최근 한국의 안드로이드 사용자를 겨냥한 뱅킹 트로이 목마 ‘숨니봇(SoumniBot)’의 활동을 경고했다.
[이미지=gettyimagesbank]
레코디드퓨처, 센티넬원, 카스퍼스키 등 다수의 보안 전문기업은 뱅킹 트로이 목마 숨니봇(SoumniBot)의 활동을 감시하고 있다. 레코디드퓨처에 따르면 ‘숨니봇’ 악성코드는 2024년 4월 17일 최초로 보고됐으며, 주로 한국 사용자를 표적으로 삼는 새로운 안드로이드 뱅킹 트로이 목마다.
해당 악성코드는 탐지를 회피하기 위해 정교한 난독화 기술을 사용하는 것이 관찰됐다. 숨니봇은 안드로이드 매니페스트 추출 및 구문 분석 프로세스의 취약점을 악용해, 회피를 위해 압축 방법 값과 매니페스트 파일 크기를 조작한다.
특히 안드로이드 뱅커에서는 흔하지 않은 한국 온라인 뱅킹 키를 훔치는 것으로 알려졌다. 이 악성코드는 설치 시 △원격 서버로부터 구성 매개변수를 요청하고 △악성 서비스를 시작하고 △애플리케이션 아이콘을 숨기고 △IP 주소, 연락처, SMS/MMS 메시지, 설치된 애플리케이션/계정과 같은 장치 정보를 수집한다. 또한 숨니봇은 볼륨 레벨을 조작하고 피해자의 연락처 목록을 보낸다. google[.]kt9[.]site 및 dbdb[.]addea[.]workers[.]dev와 같은 도메인을 통해 C&C(명령 및 제어) 통신을 설정한다.
숨니봇은 설치와 동시에 원격 서버에서 구성 매개변수를 요청하고 악성 서비스를 시작이며 피해자의 디바이스에서 다음 작업을 수행한다.
- 애플리케이션 런처에서 자신의 활동을 숨긴다.
- 배터리 절약 조치의 제한을 받지 않고 백그라운드에서 실행되도록 배터리 최적화를 비활성화한다.
- 장비에 설치된 모든 애플리케이션을 열거한다.
- CPU 정보를 검색하고 알려진 Qemu 파이프를 확인하며, 에뮬레이터 여부 및 디버거를 감지 확인한다.
- 디바이스에 저장된 계정 정보를 수집한다.
- 디바이스에 저장된 연락처에 액세스한다.
- SD 카드와 같은 디바이스의 외부 미디어에 저장된 이미지에 액세스한다.
- MMS 메시지 내용에 액세스한다.
- 기기가 절전 모드로 전환되는 것을 방지하기 위해 ‘Wake Lock’ 기능을 활성화한다.
- 장치의 IP 주소를 검색하기 위해 https[:]//www[.]cloudflare[.]com/cdn-cgi/trace/ip URL로 HTTP GET 요청을 보낸다.
- https[:]//i[.]imgur[.]com/D9wSCDs[.]png URL로 HTTP GET 요청을 보내며, 작성 시 오류 메시지를 표시한다.
- 도메인 google[.]kt9[.]site로 HTTP GET 및 POST 요청을 전송하며, 접속시 URL https[:]//www[.]google[.]com으로 리디렉션된다.
- 접속 시 ‘Response for naver[.]com’이라는 메시지를 표시하는 URL https[:]//dbdb[.]addea[.]workers[.]dev/update로 HTTP POST 요청을 보낸다.
- 피해자의 기기에 새로운 연락처 정보를 추가한다.
- 위협 행위자가 피해자의 온라인 뱅킹 계정을 인증하고 액세스하는 데 사용할 수 있는 한국은행들이 발급한 디지털 인증서와 뱅킹 키를 검색한다.
- 수집한 데이터를 15초마다 명령 및 제어(C2) 서버로 지속적으로 전송한다.
- 메시지 큐 원격 측정 전송(MQTT) 메시지를 통해 C2 서버와 통신한다.
한편, 이번 숨니봇과 관련한 자세한 내용은 에스케어에 문의하면 된다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>