TrickMo Android Trojan Exploits Accessibility Services for On-Device Banking Fraud
개요
- TrickMo라는 Android 은행 트로이목마의 새로운 변종이 발견되었으며, 이 악성코드는 접근성 서비스를 악용해 피해자의 은행 로그인 정보를 탈취
- TrickMo는 독일 사용자를 주요 타겟으로 하여 OTP(일회용 비밀번호) 와 이중 인증(2FA) 코드를 탈취해 금융 사기를 실행
주요 기능
- 화면 기록, 키 입력 기록, 사진 및 SMS 메시지 수집 등의 기능을 통해 기기 내에서 온디바이스 사기(ODF) 를 수행
- HTML 오버레이 공격을 통해 가짜 로그인 페이지를 보여주고, 사용자의 클릭 및 제스처를 조작하여 인증 정보를 탈취
- Google Chrome 웹 브라우저로 위장한 드로퍼 앱을 통해 악성코드를 설치하고 접근성 서비스 활성화를 유도
접근성 서비스 악용
- 접근성 서비스는 장애가 있는 사용자를 돕기 위한 기능이지만, 악성 앱이 이를 악용하여 기기에 대한 광범위한 제어 권한을 획득
- 이를 통해 SMS 메시지 가로채기, 인증 코드 숨기기, HTML 오버레이 공격 등을 수행하며, 보안 기능 비활성화 및 시스템 업데이트 차단도 가능
명령 및 제어(C2) 서버 보안 취약점
- C2 서버에서 12GB 이상의 민감한 데이터(자격 증명, 사진 등)가 인증 없이 접근 가능하게 되어 있었음
- 이 서버에는 ATB Mobile, Alpha Bank, Binance 등 다양한 서비스의 가짜 로그인 페이지도 호스팅되어 있었음
피해자 데이터의 추가 악용 가능성
- 신원 도용, 불법 자금 이체, 사기 구매 등에 피해자 데이터를 사용할 수 있음
- 계정 탈취와 비밀번호 재설정을 통해 피해자를 완전히 차단할 위험도 존재
보안 권고 사항
- 비공식 출처에서 앱을 다운로드하지 않도록 주의하고, Play Integrity API를 사용해 Google Play에서만 앱을 설치하도록 권장
- Google Play Protect가 기본적으로 활성화되어 있어 사용자들은 알려진 위협으로부터 보호받고 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
Supershell Malware를 이용한 Linux SSH 서버 공격 요약 (1) | 2024.09.24 |
---|---|
델에서 발생한 소규모 데이터 침해 사고 (0) | 2024.09.24 |
대학 교양수업에서의 개인정보 및 초상권 침해 논란 (3) | 2024.09.24 |
중국 틱톡·틱톡라이트의 개인정보 처리와 관련된 법적 문제 (5) | 2024.09.24 |
차세대 다층보안체계(MLS) 도입이 국내 클라우드 생태계에 미칠 영향 (0) | 2024.09.24 |