학회_공부해요/기술_스터디

[Virus Bulletin] Nexus Android banking botnet – compromising C&C panels and dissecting mobile AppInjects

yenas0 2024. 11. 18. 14:11
반응형

https://www.virusbulletin.com/virusbulletin/2023/10/nexus-android-banking-botnet-compromising-cc-panels-and-dissecting-mobile-appinjects/

 

Virus Bulletin :: Nexus Android banking botnet – compromising C&C panels and dissecting mobile AppInjects

We have placed cookies on your device in order to improve the functionality of this site, as outlined in our cookies policy. However, you may delete and block all cookies from this site and your use of the site will be unaffected. By continuing to browse t

www.virusbulletin.com

Nexus 안드로이드 봇넷의 명령 및 제어 패널(C&C)에서 발견된 보안 취약점을 통해 C&C 패널을 침해하고 위협 정보를 수집한 과정을 설명한 글

그리고 공격작들이 감염된 안드로이드 기기에서 오버레이 공격을 수행해 사용자 계정을 탈취하고 자격 증명을 훔치는 방법을 설명하기 위해 모바일 앱 인젝션 모델도 제시함.

 

Android botnet은 사용자 수도 많고 연결이 항상 되어있어서 공격대상이 되기 쉬움. botnet은 DDoS, data theft, spam campaigns, 암호화폐 채굴 등등에 활용될 수 있음. 안드로이드가 전세계적으로 사용이 많이되니까 그만큼 공격도 증가..

 

C&C 패널에서 보안 취약점을 찾아서 침투하는게 중요한 이유?

1. 감영된 시스템과 C&C 패널 간의 통신을 차단해 감염 확산을 제한함

2. 봇의 기능을 분석해 위협 정보를 수집할 수 있음

3. 감염된 시스템에서 유출된 데이터를 분석해 보안 침해 가능성을 평가

4. 봇넷의 영향을 받은 조직과 기업에 대한 영향을 평가

5. 감염 탐지 및 방지용 서명, 휴리스틱, 머신러닝/AI 알고리즘을 설계하여 사전 예방 조치를 마련할 수 있음

 

 

 

Nexus C&C 패널의 SQL 주입 취약점 악용

보안 연구자들은 봇넷의 설계와 능력을 이해하고 위협 인텔리전스를 생성하기 위해 C&C 패널을 해킹하여 분석한다. 이를 통해 실제로 배포된 봇넷의 구조를 파악할 수 있다.

 

Nexus Android botnet C&C패널의 특정 버전은 SQL 인젝션에 취약함. C&C 패널이 손상된 Android 기기와 통신하는 데 사용하는 API 엔드포인드를 통해 원격 공격자는 페이로드를 인젝션해서 SQL 인터페이스에 직접 접근할 수 있음

http://<넥서스 안드로이드 C&C 호스트>/api/?param=sms&value=1<주입된 페이로드] &botid=f991a83c2a9f25c8de68ad597e98a91b&method=bots.update&access=1

취약한 URL이다..

 

 

Mobile AppInjects: overlay attacks

Nexus Android 봇은 손상된 기기에 overlay 공격을 함. overlay 공격은 android OS에서 지원하는 UI랑 고유 API 남용해서 손상된 안드로이드 기기에서 수행한다.

공격자의 과정..

 

 

유인 및 다운로드: 공격자가 모바일 사용자를 피싱 또는 드라이브 바이 다운로드 공격으로 유도하여, 악성 도메인에서 위장된 Android 애플리케이션을 설치

설치 및 권한 요청: 위장 애플리케이션이 기기에 설치된 후, '다른 앱 위에 표시' 권한을 요청하여 다른 애플리케이션 위에 오버레이를 표시

C&C 서버 연결: 위장 애플리케이션이 C&C 서버에 연결해 공격 성공 여부를 알리고 기기 제어 권한을 확보합니다.

봇넷 합류: C&C 서버가 명령을 내려 해당 기기를 봇넷에 추가

앱 모니터링: 위장 애플리케이션은 기기에서 실행되는 앱을 지속적으로 감시하며, 사용자가 은행, 소셜 미디어, 이메일 등 특정 앱을 실행할 때 활동을 시작

인젝션 시작: 특정 앱이 실행되면, 위장 애플리케이션이 인젝션 엔진을 작동시켜 공격을 시작

오버레이 생성: 타깃 앱이 실행되면 위장 애플리케이션이 유사한 로그인 화면 등의 오버레이를 띄워 사용자가 눈치채지 못하도록 함

민감 정보 수집: 사용자가 로그인 정보를 입력하면, 위장 애플리케이션이 이걸 수집함

데이터 전송 및 계정 접근: 수집된 자격 증명이 C&C 서버로 전송되어, 공격자가 사용자의 계정에 무단 접근해 금융 손실, 개인정보 유출 등의 피해를 일으킬 수 있게 됨.

 

 

 

권장 사항

- 공식 스토어에서 다운로드 받기

- 2FA 설정하기

- 좋은 보안 소프트웨어 사용

- 안드로이드 기기랑 애플리케이션의 정기적인 업데이트

- 불필요한 권한 차단

- 앱 확인 기능 활성화

 

결론

Android 봇넷에 대응하기 위해 위협 인텔리전스가 중요하다. 이걸 위해서 침투 테스트랑 취약점 평가가 활용되고 조직은 보안 도구에 투자하고 교육을 강화해야된다. .

반응형