안티바이러스 솔루션인 것처럼 숨어있던 샤크봇 멀웨어가 앱스토어에서 발견되었다. Sharkbot Malware Found in Apps Posing as Antivirus Solutions
보안 연구자들은 '샤크봇' 안드로이드 멀웨어가 구글 플레이스토어에서 안티바이러스 솔루션처럼 위장하고 숨어있는 것을 발견했습니다. 구글은 최근에 최소 6개의 가짜 안티바이러스 앱들을 앱스토에서 차단시켰습니다. 한 보고서에 따르면, 해커들은 공격자들은 샤크봇 멀웨어를 퍼트리기 위해서 의심스러운 이러한 어플들을 사용했으며, 구글스토에에서 감염된 어플들이 삭제될 당시에 다운로드 받은 숫자는 약 15,000 회 되었습니다.
Researchers have found the Sharkbot Android malware hiding under the guise of antivirus solutions on Google’s Play Store. Google recently took down at least six fake antivirus apps from the store. Attackers used these malicious apps to spread Sharkbot malware, according to a recent report. By the time the store deleted the infected apps, people had downloaded them about 15,000 times.
샤크봇이 무엇일까요? / What Is Sharkbot?
샤크봇 멀웨어의 주요한 기능은 신분정보와 은행정보를 훔치는 것 입니다. 멀웨어를 위험하게 만드는 더욱 특별한 기능이 있는데, 이는 샤크봇이 피해자들이 진짜 신분정보 입력란 처럼 보이는 곳에 본인의 신분정보를 앱 화면에 입력하도록 유인하는 것 입니다. 유저들은 자신들의 신분정보를 입력한 후에는 침해된 데이터는 해커들의 서버로 넘어갑니다.
- Atom Clean-Booster, Antivirus
- Antivirus, Super Cleaner
- Alpha Antivirus Cleaner
- Powerful Cleaner Antivirus
- Center Security – Antivirus (2 versions).
플레이스토에서 차단한 구글앱의 이름은 아래와 같으며, 이 6개의 앱들은 Zbynek Adamcik, Adelmio Pagnotto and Bingo Like Inc.의 개발자 계정으로 만들어 졌습니다.
The Sharkbot malware’s main function is to steal credentials and banking information. The malware also has special features that make it dangerous. Sharkbot lures victims to enter their credentials in app screens that appear to be honest credential input forms. After a user enters their credentials, the compromised data goes to an attacker’s server.
The names of the apps Google removed from its Play Store include:
- Atom Clean-Booster, Antivirus
- Antivirus, Super Cleaner
- Alpha Antivirus Cleaner
- Powerful Cleaner Antivirus
- Center Security – Antivirus (2 versions).
These six apps came from three developer accounts, Zbynek Adamcik, Adelmio Pagnotto and Bingo Like Inc.
샤크봇의 독특한 전략 / Sharkbot’s Special Tactics
연구자들에 따르면 샤크봇은 안드로이드 멀웨어들 사이에서 특별한 기능으로 주목을 받고 있습니다. 예를 들면 지오팬싱을 이용해서 유저들이 중국, 인도, 로마니아, 러시아, 우크라이나, 벨라루스 와 같은 지역에서 접속하는 경우 이 유저들은 무시하고 행동할 수 있는 기능을 갖고 있습니다. 또 다른 기능은 독특한 회피방식으로 이는 샤크봇의 툴박스 중에 하나 인데, 만약에 멀웨어가 샌드박스에서 운영되고 있는 것을 발견한다면, 멀웨어를 실행하는 것을 정지하고 행동을 멈춥니다.
샤크봇은 은행정보를 탈취하기 위해서 이처럼 매우 효과적은 툴킷을 실행시킵니다. 그래서 샤크봇은 유저들이 본인으 모든 데이터에 접근할 수 있게 권한을 제공하고 있는 "Access Service"를 해킹을 하고, 이 앱이 마치 사람처럼 인터페이스과정에서 상호 소통을 할 수 있게 합니다.
샤크봇은 22가지 명령어를 실행하고, 그 결과 아래와 같은 행동을 취합니다.
- SMS 메시지를 보낼 수 있는 권한 요청
- 기기에 있는 연락처를 모아서 서버로 전송
- 백그라운드에서 배터리 최적화 모드를 실해하는 것을 제한
- 푸시 메시지 선송
- 스크린 위에서 유저의 행동을 모방 (ex. 밀어 장금해제, 패턴입력 등 )
According to researchers, Sharkbot stands out among Android malware due to its special features. For example, the geofencing function allows Sharkbot to ignore users from China, India, Romania, Russia, Ukraine or Belarus. Special evasion methods are also part of Sharkbot’s toolbox. If the malware detects it is running in a sandbox, it stops the execution and quits.
Sharkbot implements a highly effective toolkit for bank data theft. It hijacks Accessibility Service, which provides the app with access to all data the user sees. The malware also allows the app to interact with an interface as though it were a person.
Overall, Sharkbot runs 22 malicious commands, including:
- Request permission for sending SMS messages
- Collect and send the device’s contact list to a server
- Disable battery optimization so malware can run in the background
- Send push messages
- Imitate the user’s swipe over the screen.
안드로이드 멀웨어에서는 흔하지 않은 주요 기능들 / Rare Android Malware Features
또 다른 샤크봇의 특징적인 무기 중 하나는 DGA(도메인 생성 알고리즘)을 이용한다는 것 입니다. DGA는 안드로이드 멀웨어에서 잘 사용되는 것은 아닙니다. DGA는 많은 수의 DNS을 생성해 내는 알고리즘 멀웨어로 공격자들은 C&C 공격 서버와 연결을 하는데에 이 DNS를 이용할 수 있습니다. 많은 수의 DNS는 해커들에게 이미 통제되고 있는 봇넷들을 차단시키는 것을 어렵게 만들 수 있습니다. 감염된 컴퓨터들은 이제 DNS를 통해 주기적으로 공격에 대한 업데이트 하고 명령을 받을 수 있습니다.
하드코드된 씨드값를 갖고 있는 한개의 DGA는 한 주에 7개의 도메인을 생성가능하며, 연구자들은 한 주에 총 56개의 도메인 까지 발견하였다고 합니다.
보안 연구에 따르면 샤크 봇은 27가지 의 버전이 지금까지 발견되는데, 이 버전들의 주요한 차이는 DGA 씨드와 봇넷과 소유자 아이디 필드간의 변수값에 차이가 있었습니다. 최근 샤크봇의 차단은 감염된 어플에 대한 보안담당자들의 끝나지 않은 싸움들 중에 하나 입니다.
Another unique feature in the Sharkbot arsenal is the use of the Domain Generation Algorithm (DGA). DGA is rarely seen in Android malware. Domain generation algorithms are malware algorithms that produce a large number of domain names. The attacker can then use the domain names as contact points with malware command and control servers. The large number makes it difficult to effectively shut down botnets. Infected devices attempt to contact some of these domain names periodically to receive updates or commands.
According to the report, with DGA one sample with a hardcoded seed generates seven domains per week, and the researchers observed a total of 56 domains per week.
During the research, 27 versions of Sharkbot were identified. The main differences between the versions were different DGA seeds and variations in botnetID and ownerID fields. The recent Sharkbot takedown is another episode in the ongoing fight against infected applications.
https://securityintelligence.com/news/sharkbot-malware-poses-antivirus-solutions/