PixPirate Banking 트로이목마
2024년 2월, 사이버 보안 연구원들은 PixPirate로 추적되는 이전에 알려지지 않은 Android 악성 코드의 존재를 밝혀냈습니다. 이 위협은 라틴 아메리카의 은행을 대상으로 한 표적 공격에 사용되었습니다. 현재 전문가들은 PixPirate Banking Trojan의 업데이트된 버전이 등장했다고 경고합니다. 이 버전은 드로퍼 애플리케이션이 제거된 후에도 장치에 남아 있을 수 있는 새로운 스텔스 기술을 특징으로 합니다.
목차
PixPirate는 두 가지 애플리케이션을 활용하여 피해자의 Android 휴대폰에서 은행 정보를 수집합니다.
연구원들은 악성 코드, 특히 PixPirate가 사용하는 기존 전략에서 크게 벗어난 점을 지적했습니다. 아이콘을 숨기려는 일반적인 악성 코드와는 달리, Android 버전 최대 9에서 가능한 전술인 PixPirate는 대신 런처 아이콘을 전혀 사용하지 않습니다. 이러한 고유한 접근 방식을 통해 악성 코드는 최신 Android 시스템에서 버전 14까지 숨겨진 상태로 유지될 수 있습니다. 그러나 아이콘이 없으면 피해자가 악성 코드를 시작할 수 있는 수단을 제공하지 않는다는 또 다른 문제가 발생합니다. 이 문제를 회피하기 위해 PixPirate는 감염된 장치에서 민감한 데이터를 수집하기 위해 함께 작동하는 두 가지 개별 응용 프로그램을 사용합니다.
'다운로더'라고 불리는 초기 애플리케이션은 APK(안드로이드 패키지 파일) 형태로 전파되며, 왓츠앱이나 SMS 등의 플랫폼에서 피싱 메시지를 통해 유포된다. 설치 시 이 다운로더 애플리케이션은 접근성 서비스를 포함하여 고위험 권한에 대한 액세스를 요청합니다. 그 후 암호화된 PixPirate 뱅킹 악성코드인 'droppee'라는 두 번째 애플리케이션을 가져와 설치합니다.
'droppee' 애플리케이션은 매니페스트에서 'android.intent.action.MAIN' 및 'android.intent.category.LAUNCHER'를 사용하여 기본 활동을 선언하는 것을 삼가하여 홈 화면에 아이콘이 없는지 확인하고 완전히 렌더링합니다. 눈에 띄지 않는. 대신, droppee 애플리케이션은 다른 애플리케이션이 액세스할 수 있는 서비스를 내보냅니다. 다운로더는 필요에 따라 PixPirate 악성 코드 실행을 시작하기 위해 이 서비스에 대한 연결을 설정합니다.
다양한 트리거로 PixPirate Banking Trojan 실행이 시작될 수 있습니다.
악성 코드를 시작하고 제어하는 드로퍼 애플리케이션의 기능 외에도 PixPirate는 장치 부팅이나 연결 변경과 같은 다양한 시스템 이벤트에 의해 트리거될 수도 있으며 이를 적극적으로 모니터링합니다. 이를 통해 PixPirate는 피해자의 장치 백그라운드에서 은밀하게 작동할 수 있습니다.
PixPirate의 droppee 구성 요소에는 'com.companian.date.sepherd'라는 서비스가 있으며, 이 서비스는 사용자 지정 작업 'com.ticket.stage.Service'를 활용하는 인텐트 필터를 내보내고 갖추고 있습니다. 다운로더가 droppee를 활성화하려고 하면 'BIND_AUTO_CREATE' 플래그와 함께 'BindService' API를 활용하여 이 서비스와의 연결을 설정합니다. 이 작업으로 인해 droppee 서비스가 생성 및 실행됩니다.
droppee 서비스 생성 및 바인딩 과정을 거쳐 droppee APK가 실행되고 작업이 시작됩니다. 이 시점에서 피해자가 장치에서 다운로더 애플리케이션을 제거하더라도 PixPirate는 사용자에게 자신의 존재를 효과적으로 숨기는 동시에 다양한 장치 이벤트에 의해 작동을 계속 유지할 수 있습니다.
PixPirate는 특히 Pix 결제 플랫폼을 목표로 합니다.
이 악성코드는 특히 브라질의 Pix 즉시 결제 플랫폼을 표적으로 삼아 사기 거래를 가로채거나 시작하여 공격자에게 자금을 빼돌리는 것을 목표로 합니다. Pix는 브라질에서 상당한 인기를 얻었으며, 2023년 3월 현재 1억 4천만 명 이상의 사용자가 2,500억 달러가 넘는 거래를 수행하고 있습니다.
PixPirate는 RAT(Remote Access Trojan) 기능을 활용하여 사용자 자격 증명 및 2단계 인증 코드 캡처부터 승인되지 않은 Pix 자금 이체 실행에 이르기까지 전체 사기 프로세스를 사용자가 인식하지 못하는 사이에 은밀하게 자동화합니다. 그러나 이러한 작업을 수행하려면 접근성 서비스 권한을 얻어야 합니다.
또한 PixPirate는 자동화된 방법이 실패한 경우를 대비한 대체 수동 제어 메커니즘을 통합하여 공격자에게 기기 내 사기를 수행할 수 있는 대체 수단을 제공합니다. 연구원들은 또한 악성 코드가 푸시 알림 악성 광고를 활용하고 Android 플랫폼의 기본 보안 기능인 Google Play Protect를 비활성화하는 기능을 강조합니다.
PixPirate가 사용하는 감염 방법은 획기적이지 않으며 승인되지 않은 APK 다운로드를 자제함으로써 완화될 수 있지만 아이콘이 없고 시스템 이벤트에 바인딩된 서비스 등록과 같은 전략을 채택하는 것은 우려스럽고 새로운 접근 방식을 나타냅니다.
