새로운 안드로이드 원격 액세스 트로이목마(RAT)인 ‘빙고모드(BingoMod)’가 사이버 보안 연구원들에 의해 발견되었다. 이 정교한 멀웨어는 사기성 금전 이체를 수행할 뿐만 아니라, 자신의 활동 흔적을 지우기 위해 기기를 초기화하기도 한다.
BingoMod는 2024년 5월 이탈리아 사이버 보안 회사 클리피(Cleafy)에 의해 발견되었다. 이 회사는 초기 버전 소스코드에 있는 루마니아어 주석을 바탕으로 이 멀웨어가 루마니아어를 사용하는 위협 행위자에 의해 개발되었을 가능성이 크다고 추정하고 있다.
BingoMod는 현대적인 RAT로서 감염된 기기에서 계정을 직접 탈취하여 사기 행위를 수행할 수 있게 한다. 이 기술은 기기의 정당한 환경을 악용하여 전통적인 보안 조치를 우회한다.
BingoMod의 주요 기능은 다음과 같다.
-원격 액세스 및 제어: BingoMod는 C2 서버와 소켓 기반 연결을 설정하여 원격 운영자가 최대 40개의 명령을 실행할 수 있게 한다. 여기에는 Android의 미디어 프로젝션 API를 사용하여 스크린샷을 찍고 실시간으로 기기와 상호작용하는 기능이 포함된다.
-자격 증명 탈취 및 정보 유출: 이 멀웨어는 접근성 서비스를 이용하여 SMS 메시지 가로채기와 키로깅을 통해 로그인 자격 증명 및 은행 계좌 잔액과 같은 민감한 정보를 훔친다.
-오버레이 공격: 다른 멀웨어와 달리 특정 앱이 열릴 때 오버레이 공격을 트리거하는 것이 아니라, BingoMod는 운영자가 직접 가짜 알림과 피싱 화면을 표시하여 사용자 정보를 훔친다.
-자체 파괴 메커니즘: BingoMod는 법의학 분석을 방해하기 위해 기기의 외부 저장소를 초기화할 수 있는 자체 파괴 메커니즘을 사용한다. 원격 액세스 기능을 이용하여 기기를 완전히 초기화할 수도 있을 것으로 추정된다.
BingoMod는 주로 스미싱(SMS 피싱) 캠페인을 통해 배포된다. 이 멀웨어는 사용자를 속여 설치하도록 합법적인 애플리케이션(주로 안티바이러스 도구 또는 구글 크롬 업데이트)으로 가장한다. 설치 후 접근성 서비스 권한을 요청하여 악성 활동을 수행한다.
BingoMod의 온-디바이스 사기(ODF) 기능은 위협 행위자가 다음과 같은 방법으로 금융 사기를 수행할 수 있게 한다:
-실시간 화면 제어: VNC와 유사한 메커니즘을 사용하여 공격자는 기기의 화면과 상호작용할 수 있어 버튼을 클릭하고 양식을 작성하는 등의 작업을 수행할 수 있다.
-금전 이체: 이 멀웨어는 최대 €15,000(약 $16,100)까지 이체를 시작할 수 있으며, 기기의 정당한 환경을 이용하여 보안 검사를 우회한다.
이 멀웨어는 코드 난독화 및 문자열 평탄화 등의 기술을 사용하여 탐지를 회피한다. 이러한 기술은 안티바이러스 솔루션이 멀웨어를 식별하고 제거하기 어렵게 만든다. 또한 BingoMod는 보안 애플리케이션을 제거하거나 차단하여 감염된 기기에서 자신의 존재를 유지할 수 있다.
BingoMod와 같이 정교한 원격 액세스 기능과 강력한 회피 기술, 그리고 파괴 메커니즘을 결합한 모바일 멀웨어가 계속 증가하고 있어 각별한 주의가 요구된다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★