2024-02-28 04:15 (수)
안드로이드 악성코드, 뱅킹앱 아닌 카드 지불 요구하는 일반 앱들 노려
상태바
안드로이드 악성코드, 뱅킹앱 아닌 카드 지불 요구하는 일반 앱들 노려
  • 길민권 기자
  • 승인 2017.08.21 17:46
이 기사를 공유합니다

andr-4.jpg
최근 사용자들의 중요한 데이터를 탈취하고 파일을 암호화 하기 위한 랜섬웨어 기능을 추가한 모바일 뱅킹 악성코드가 우버와 다른 예약 앱들의 계정정보를 탈취하도록 수정되었다.

최근 보안연구원들은 안드로이드 뱅킹 악성코드인 Faketoken의 새로운 변종이 금융정보를 탈취하기 위해 감염된 기기의 전화를 녹음하고 택시 예약 앱의 맨 위에 오버레이 화면을 표시하는 것을 확인했다.

Faketoken.q라 명명 된 이 악성코드는 대량의 SMS를 통해 유포되며, 사용자들에게 이미지 파일로 위장한 악성앱을 다운로드 받으라고 요구한다.

악성앱이 다운로드 및 설치되면, 바로가기 아이콘을 숨기고 감염된 안드로이드 기기의 모든 것들을 모니터링하는 모듈들 및 메인 페이로드를 설치한다. 특정번호로 전화를 걸거나 수신하게 되면 이 악성앱은 대화 내용을 녹음하고 공격자의 서버로 전송한다.

뿐만 아니라 Faketoken.q는 자신이 시뮬레이팅할 수 있는 앱을 사용자가 실행할 경우, 이를 확인한 후 즉시 가짜 UI로 정상앱 위에 오버레이 화면을 띄운다.

이를 위해서 악성앱은 페이스북 메신저, 윈도우 매니저 등의 정식 앱들이 사용하는 안드로이드 기능인 ‘스크린 오버레이를 최상단에 표시하는’ 기능을 사용했다.

가짜 UI는 사용자들에게 은행의 인증 코드를 포함한 지불 카드 데이터를 입력하라고 요구하며 이렇게 탈취된 정보들은 추후 사기성 거래에 악용될 수도 있다.

Faketoken.q는 아래와 같은 수 많은 모바일 뱅킹 앱 위에 오버레이 스크린을 표시할 수 있다.
△안드로이드 페이
△구글 플레이스토어
△교통 범칙금 지불 앱
△항공 및 호텔 예약 앱
△택시 예약 앱

해커들은 거래 승인을 위해 은행에서 보낸 SMS코드가 필요하기 때문에, 악성앱에 수신하는 SMS 메시지 코드를 탈취하는 기능을 추가해 탈취한 정보들을 공격자의 C&C 서버로 보낸다.

Faketoken.q의 사용자 인터페이스는 러시아어로 되어있어 연구원들은 이 악성앱이 러시아 사용자들을 노리는 것으로 추측하고 있다. [정보출처. 이스트소프트]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★