2019-11-15 20:20 (금)
공식 구글 플레이스토어에서 클립보드 하이재커 앱 'MetaMask' 발견
상태바
공식 구글 플레이스토어에서 클립보드 하이재커 앱 'MetaMask' 발견
  • hsk 기자
  • 승인 2019.02.12 14:57
이 기사를 공유합니다

cyber-security-2765707_640.jpg
가짜 MetaMask 앱이 기기의 클립보드에서 비트코인과 이더리움 주소를 모니터링하고, 공격자가 제어할 수 있는 지갑 주소로 바꿔주는 클립보드 하이재커라는 사실이 밝혀졌다. 공격자는 이 트릭을 사용해 지갑으로 자금을 이체할 수 있다.

보안 업체 ESET은 “이 위험한 형태의 악성코드는 2017년에 윈도우 플랫폼에서 처음 만들어졌고, 2018년 여름 안드로이드 앱 스토어에서 발견되었다. 2019년2월, 보안 연구원들이 공식 안드로이드 앱 스토어인 구글 플레이에서 악성 코드를 발견했다”고 설명했다.

클립보드 하이재커는 MetaMask.io라는 합법적인 서비스의 모바일 버전으로 위장하고 있다. MetaMask.io는 전체 이더리움 노드를 실행할 필요 없이 브라우저에서 이더리움 분산 응용 프로그램을 실행하도록 설계되었다. 그러나 이 합법적인 서비스는 현재 모바일 앱을 제공하지 않는다.

루카스 스테판코(Lukas Stafanko)는 이 앱이 두가지 공격 방법을 사용해 암호화폐를 훔칠 수 있다는 것을 발견했다. 첫번째 공격 시나리오는 사용자가 이더리움 지갑 개인 키와 씨드를 저장하기 위해 앱을 사용할 때, 공격자가 앱을 통해 이들을 훔치는 것이다. 공격자가 이 데이터를 얻은 직후 텔레그램 계정으로 보낸다.

두번째 공격 시나리오는 공격자가 이더리움과 비트코인 주소에 대한 클립보드를 모니터링하고, 하나가 탐지되면 공격자의 주소로 바꿔치기 하는 것이다.

2017년 6월 치후360 Total Security의 보안 연구원이 Clipboard Wallet Hijacker로 추측되는 클립보드 하이재커를 유포하는 새로운 멀웨어 캠페인을 발견했다. 해당 캠페인으로 30만대 이상의 컴퓨터가 감염되었고, 피해를 입은 사용자는 대부분 아시아, 주로 중국에 분포되어 있었다.

2017년 7월에는 BleepingComputer가 230만개 이상 주소를 모니터링하는 동안 암호화폐 클립보드 하이재커를 발견했다. 이후 2018년 3월, 팔로알토네트웍스의 보안 연구원은 사용자가 암호화폐 주소를 윈도우 클립보드에 복사할 때 감지할 수 있는 ComboJack멀웨어 프로그램을 발견했다. 이 악성 코드는 클립보드에 있는 주소를 작성자의 주소로 바꾼다.

★정보보안 대표 미디어 데일리시큐!★