해외 사이버 보안 매체 블리핑컴퓨터는 이탈리아 컴퓨터 보안 기업 클리파이(Cleafy)의 보고서를 인용, 최근 안드로이드 멀웨어 BRATA에 GPS 추적과 다중 통신 채널 사용, 기기 공장 초기화 기능 악용 능력이 추가된 사실을 보도했다.
BRATA는 2019년, 주로 브라질에서 피해 사례가 집중적으로 발생한 안드로이드 원격 제어 툴(RAT)로 알려졌으나 최근 들어 악성 활동의 악용 범위가 넓어지는 등 다양한 버전으로 업그레이드되었다.
클리파이 연구팀은 최근 등장한 BRATA 버전에 기존 화면 캡처 기능을 보완하는 키로깅(keylogging) 기능이 포함됐다.
연구팀은 새로운 BRATA 버전에 GPS 추적 기능이 포함된 점을 확인했다. 또한, 공격 성공 후 사기 범죄를 완료한 상황이나 애플리케이션이 가상 환경에서의 BRATA 실행 사실을 감지했을 때, 공장 초기화 기능을 악용해 공격을 숨긴다는 점에 주목했다.
특히, BRATA는 공격 감지를 막기 위한 목적으로 활용하면서도 피해자 기기 데이터를 모두 삭제하면서 데이터 손실이라는 큰 피해를 주기도 한다.
또, 연구팀이 새로 발견한 바에 따르면, BRATA는 C2 서버와의 데이터 교환을 위한 새로운 통신 채널을 추가하였고, 이제 HTTP와 웹소켓을 지원한다.
웹소켓은 해커 세력이 실시간 통신 및 수동 조작에 이상적인 직접 지연성이 낮은 통신 경로를 사용하도록 한다. 웹소켓은 각각의 연결에 헤더를 보내지 않아 의심스러운 네트워크 트래픽 수가 감소해, 멀웨어 감지 확률을 최소화할 수 있다.
실제로 연구팀은 최근 등장한 BRATA 버전이 새로운 악성 활동을 통해 영국과 폴란드, 이탈리아, 스페인, 중국, 남미 등에서 전자 뱅킹 서비스 사용자를 공격한 사실을 확인했다.
BRATA는 전용 오버레이(overlay) 세트와 언어, 특정 고객을 대상으로 하는 다양한 전용 앱과 함께 다양한 은행 기관을 교묘하게 공격했다.
그리고 해커 세력은 공격 과정에 APK 파일을 암호화된 JAR 또는 DEX 패키지에 래핑하는 것과 같은 모든 버전에서 유사한 난독화 기술을 동원하면서 바이러스 백신 탐지를 우회했다.
게다가 공장 초기화 기능을 악용해 기기에서 보안 툴을 삭제한 뒤 데이터 탈취를 시도한 것으로 관측됐다.
한편, 지금까지 발견된 안드로이드 뱅킹 트로이 목마 및 원격 제어 공격 멀웨어 중 세계 여러 국가로 확산돼 대중의 금융 기밀 정보를 공격하는 유일한 악성 프로그램으로 알려졌다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
