침해사고/위협동향

“은행 앱인 줄 알았는데” 금전 털어가는 모바일 위협 여전

최민지
[디지털데일리 최민지기자] 안드로이드 모바일 기기를 대상으로 한 금융정보 탈취 위협이 여전히 상존하고 있어 사용자들의 주의가 요구되고 있다.

이스트시큐리티에 따르면 최근 새로운 KB국민은행 앱을 사칭해 기기정보와 뱅킹 관련 정보들을 탈취하는 악성앱이 발견됐다.

이 앱은 국제모바일가입자식별번호(IMSI), 전화번호, 심 시리얼 번호를 탈취한다. 또, 사용자에게 뱅킹계정과 주민등록번호를 요청하고 계좌 비밀번호와 출금계좌 입력을 유도한다. 보안카드 정보까지 입력하게 되면 공격자는 탈취한 정보를 저장해 명령제어(C&C) 서버로 전송한다.

탈취한 정보들을 성공적으로 전송하면 ‘성공(Success)’라는 응답을 받고 앱의 아이콘을 숨긴다. 뱅킹 인증과 관련된 문자를 수신하면 관련 내용을 C&C서버로 전송하고 ‘10010’ 번호의 문자 내용도 가져간다.

이러한 악성앱은 주로 소셜네트워크서비스(SNS) 링크와 써드파티 마켓을 통해 유포되고 있기 때문에 출처가 불분명한 링크 클릭와 써드파티 마켓에서의 앱 다운로드를 지양해야 한다.

이처럼 안드로이드 기기를 대상으로 한 모바일 보안 위협 이슈는 계속되고 있다. 모바일 보안기업 룩아웃에 따르면 모바일뱅킹 이용자 10명 중 1명은 악성코드 감염 위험에 노출됐다. 악성코드에 감염시킨 후 가짜 모바일 뱅킹 앱에 접속하도록 해 계정정보를 훔치고 금전을 빼내간다.

최근에는 안드로이드 기기를 타깃한 가상화폐 사기 앱도 나타났다. 지난해 구글플레이에 올라간 가짜 폴로닉스(Poloniex) 환전 앱은 가상화폐 환전 앱과 유사하게 설계돼 있다. 가짜 가상화폐 지갑 앱 또한 유사한 피싱방법을 이용해 사용자의 비밀키 등 계정 정보를 탈취할 수 있다.

오픈소스 이더리움 지갑인 ‘마이이더월렛(MyEtherWallet)’을 가장한 앱에서 이러한 종류의 악성행위가 관찰됐다. 환전소는 공식 모바일 앱을 제공하지 않아 공격자들이 자주 이용하는 사기도구다.

피해자가 코인을 공격자의 지갑으로 전송하도록 유도하는 가짜 가상화폐 지갑 앱도 발견됐다. 사용자가 새 지갑의 공개키를 생성하면 생성된 주소로 코인을 전송하도록 유도하지만 코인은 공격자의 지갑으로 전송된다.

아울러, 가상화폐 채굴 작업의 호황으로 안드로이드 기반 채굴 앱의 수도 증가하고 있다. 가상화폐 채굴 앱이 악성인지 아닌지는 사용자의 동의 여부에 달려 있으며, 다른 사람이 내 장치를 도용해 채굴을 하고 있다면 악성코드로 분류한다.

구글플레이에 등록된 인기 게임 ‘버그 스매시(Bug Smashe)’는 수만대의 안드로이드 기기에서 모네로 가상화폐를 비밀리에 채굴하고 있는 것으로 알려졌다.

문종현 이스트시큐리티 시큐리티대응센터 이사는 “아이폰은 메시지 등을 통해 앱을 별도로 설치하기 어려워 안드로이드를 대상으로 한 위협들이 주로 나오고 있다”며 “인가되지 않은 앱을 바로 설치할 수 없도록 보안 장치들을 마련하고 있으나, 설정을 통해 변경할 수 있어 공격자에게 속은 이용자가 설정을 풀고 다운로드받을 수 있어 위험하다”고 말했다.

이어 “정교하게 잘 만들어진 악성 앱들이 나오고 있어 자신도 모르게 당할 수 있어 주의가 필요하다”며 “안드로이드 기기 및 백신을 항상 최신으로 유지해야 한다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널