암호화폐 시장 가치가 붕괴하는 지금도 암호화폐를 악용한 사이버 범죄 보고가 끊이지 않는다.
사이버 보안 전문 매체 블리핑 컴퓨터는 사이버 보안 기업 F5 랩스(F5 Labs) 연구팀의 보고를 인용, 암호화폐 채굴 모바일 앱이나 크롬 웹 브라우저로 위장한 안드로이드 뱅킹 멀웨어 말리봇(MaliBot) 발견 사례를 보도했다.
강력한 트로이 목마인 말리봇은 지금까지 주로 이탈리아와 스페인 사용자를 대상으로 공격을 개시한 것으로 나타났다. 또, 더 많은 공격을 위한 멀웨어를 심을 수도 있는 것으로 확인됐다.
말리봇은 구글 플레이스토어 누적 다운로드 횟수 100만 회를 돌파한 더크립토앱(TheCryptoApp)을 포함한 실제 암호화폐 프로젝트를 복제하여 악성 파일을 널리 유포했다. 또한, 마이닝X(Mining X)라는 암호화폐 채굴 앱에 멀웨어를 숨겨둔 채로 사용자가 다운로드 후 QR 코드를 스캔해 악성 APK 파일을 설치하도록 유도한 사례도 발견되었다.
이외에도 SMS 피싱 메시지를 이용해 피해자의 페이로드(payload)를 C2가 결정한 연락처 목록으로 분배한다. 피싱 메시지는 SMS 전송 권한을 남용하는 손상된 장치를 통해 전송된다.
말리봇은 기기 알림과 SMS 수신 및 전송 내역, 호출 등을 가로채고는 스크린샷을 캡처한 뒤 부팅 활동을 등록한다. 그리고 VNC 시스템을 통해 멀웨어 유포자에게 원격 제어 기능을 부여한다. VNC 시스템은 작업자가 화면 사이 탐색과 스크롤, 스크린샷 촬영, 콘텐츠 복사 및 붙여넣기 등과 같은 활동을 하도록 한다.
게다가 다중 인증을 이용한 계정 보안 조치를 무시하려 접근성 API(Accessibility API)를 사용해, 의심스러운 로그인 시도 알림 수신 시 ‘확인’ 버튼을 선택한 뒤 OTP를 C2로 보낸 뒤 계정 로그인 정보를 자동 입력한다.
대부분의 은행 트로이 목마처럼 말리봇은 설치된 앱 목록을 검색하여 피해자가 C2에서 일치하는 중복/입력(overlays/injections) 정보를 가져오기 위해 사용하는 은행 앱을 결정한다. 피해자가 합법적인 앱을 열면 가짜 로그인 화면이 UI 위에 겹쳐진다.
연구팀의 조사를 통해 말리봇의 명령 및 통제 서버는 러시아에 본거지를 둔 것으로 파악됐다. 말리봇 서버의 IP 주소는 2020년 6월부터 유포된 일부 멀웨어 유포 작전과 관련이 있는 것으로 드러났다.
한편, 블리핑컴퓨터는 말리봇 유포 웹사이트에 지금도 정상적으로 로그인할 수 있다는 사실을 확인했으며, 사용자의 주의를 당부했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
