Kant's IT/Issue on IT&Security

TrickMo Android 트로이목마, 접근성 서비스 악용해 기기 내 금융 사기 수행

Kant Jo 2024. 9. 24. 11:06

TrickMo Android Trojan Exploits Accessibility Services for On-Device Banking Fraud

  • 개요

    • TrickMo라는 Android 은행 트로이목마의 새로운 변종이 발견되었으며, 이 악성코드는 접근성 서비스를 악용해 피해자의 은행 로그인 정보를 탈취
    • TrickMo독일 사용자를 주요 타겟으로 하여 OTP(일회용 비밀번호)이중 인증(2FA) 코드를 탈취해 금융 사기를 실행
  • 주요 기능

    • 화면 기록, 키 입력 기록, 사진 및 SMS 메시지 수집 등의 기능을 통해 기기 내에서 온디바이스 사기(ODF) 를 수행
    • HTML 오버레이 공격을 통해 가짜 로그인 페이지를 보여주고, 사용자의 클릭 및 제스처를 조작하여 인증 정보를 탈취
    • Google Chrome 웹 브라우저로 위장한 드로퍼 앱을 통해 악성코드를 설치하고 접근성 서비스 활성화를 유도
  • 접근성 서비스 악용

    • 접근성 서비스는 장애가 있는 사용자를 돕기 위한 기능이지만, 악성 앱이 이를 악용하여 기기에 대한 광범위한 제어 권한을 획득
    • 이를 통해 SMS 메시지 가로채기, 인증 코드 숨기기, HTML 오버레이 공격 등을 수행하며, 보안 기능 비활성화시스템 업데이트 차단도 가능
  • 명령 및 제어(C2) 서버 보안 취약점

    • C2 서버에서 12GB 이상의 민감한 데이터(자격 증명, 사진 등)가 인증 없이 접근 가능하게 되어 있었음
    • 이 서버에는 ATB Mobile, Alpha Bank, Binance 등 다양한 서비스의 가짜 로그인 페이지도 호스팅되어 있었음
  • 피해자 데이터의 추가 악용 가능성

    • 신원 도용, 불법 자금 이체, 사기 구매 등에 피해자 데이터를 사용할 수 있음
    • 계정 탈취비밀번호 재설정을 통해 피해자를 완전히 차단할 위험도 존재
  • 보안 권고 사항

    • 비공식 출처에서 앱을 다운로드하지 않도록 주의하고, Play Integrity API를 사용해 Google Play에서만 앱을 설치하도록 권장
    • Google Play Protect가 기본적으로 활성화되어 있어 사용자들은 알려진 위협으로부터 보호받고 있음