최근 Carberp라는 이름의 인터넷뱅킹용 악성코드가 SMS(문자 서비스)를 통해 러시아 은행 고객들을 타깃으로 전파되고 있다. 이 악성코드는 은행에서 보낸 모바일 거래 인증 번호(mTANs)를 가로채는 악의적인 안드로이드 악성앱을 통해 전파되고 있다. 이 사실은 카스퍼스키 랩 연구원들에 의해 Google Play에서 발견되었다.
 
이 악성앱은 범죄 조직에 의해 만들어졌고 전 세계의 러시아 은행의 고객을 대상으로 일어난 일이다. 악성코드는 지난주 금요일 Denis Maslennikov에 의해 블로그 게시물로 밝혀졌으며 카스키퍼스 악성코드 분석가에게 제보된 내용이다.
 
대부분 러시아 은행들은 거래의 안전을 위해 모바일 거래 인증 번호(mTANs)를 사용하는데 악성 애플리케이션은 은행에서 보낸 인증 번호를 숨기고 해커의 서버로 메시지를 업로드 하는 역할을 한다. 현재 피해자들은 감연 된 컴퓨터에서 은행의 웹 사이트를 방문 할 때 문자메시지를 통해 악성 애플리케이션이 스마트폰에 설치된다고 한다.
 
또한 SMS를 가로채는 애플리케이션은 이전에 제우스와 스파이아이(SpyEye) 은행 트로이목마 프로그램과 함께 사용되었으며 현재 애플리케이션도 이러한 구성 요소로 알려져 있다. 악성코드를 제보한 카스퍼스키 연구원 Maslennikov는 “이렇게 구체적으로 설계가 된 악성 애플리케이션은 처음”이라고 밝혔다.
 
Carberp라는 이름의 이 악성코드 애플리케이션은 제우스와 SpyEye와는 달리 러시아, 우크라이나, 벨로루시 및 카자흐스탄 등 다른 러시아 권 국가에 온라인 뱅킹 고객을 대상으로 사용 되었다고 한다. 7월에 바이러스 백신 공급 업체(ESET)의 보고서에 따르면 제작자 3명이 Carberp을 제작했다고 밝혀져 경찰이 이들을 체포했다고 전했다.
 
이 악성코드는 다른 범죄자에 의해 계속 사용될 수 있으며 버전 및 기능에 따라 비싸게 판매되는 것으로 예상된다. Aleksandr Matrosov는 “Carberp라는 악성앱은 범죄자 조직에 의해 만들어진 악성코드이며 처음있는 일이다”라고 말했으며, 바이러스 백신 공급 업체(ESET)의 수석 악성코드 연구원은 “악성 모바일 애플리케이션의 구조는 현재 자세한 내용을 공개 할 수 없다”고 밝혔다.  
 
Google Play에서 발견 된 Carberp 모바일 악성 앱(CitMo)은 러시아에서 가장 큰 은행 Sberbank 및 Alfa-Bank에서 발견되었다. 그리고 러시아에서 가장 인기가 많은 온라인 소셜 네트워킹 서비스에서도 발견되었다. 카스퍼스키 랩은 지난 수요일에 구글에 연락을 했으며 모든 CitMo 변종 악성 앱은 마켓에서 삭제됐다고 답변이 왔다.
 
하지만 현재 악성코드 앱은 정기적으로 나오며 여러 형태를 띄고 있기 때문에 확실하게 근절하기는 어렵다고 한다. 또한 Botezatu는 Google Play에게 SMS를 가로채는 애플리케이션을 재사용 하는 방법을 제공했으며 Google Play에서 받은 애플리케이션은 자동적으로 설치하도록 구성이 되어있는데 사용자가 Google Play에서 받는다는 점에 대해 안전하다고 생각하고 있어 더욱 위험하다고 외신들은 밝히고 있다.
 
<참고사이트>
-www.cio.com/article/723953/SMS_Stealing_Apps_Uploaded_to_Google_Play
 
About 최연우 객원기자



WiseGuys. 보안팀 TeamPure 소속. 11th HUST, HolyShield2012, HISCHall,CSAW 등 대회참가. 보안분야 관심사는 BOF, FSB, 네트워크 이외 등등. 주요 연구 내용은 리눅스 버퍼오버플로우 취약점이다.
 
[데일리시큐 최연우 객원기자 kss2740@naver.com]